攻擊者入侵某個系統,總是由某個主要目的所驅使的,在處理不同的系統入侵事件時,就應當對症下藥,不同的系統入侵型別,應當以不同的處理方法來解決,這樣,才有可能做到有的放矢,達到最佳的處理效果。
攻擊者入侵某個系統,總是由某個主要目的所驅使的。例如炫耀技術,得到企業機密資料,破壞企業正常的業務流程等等,有時也有可能在入侵後,攻擊者的攻擊行為,由某種目的變成了另一種目的,例如,本來是炫耀技術,但在進入系統後,發現了一些重要的機密資料,由於利益的驅使,攻擊者最終竊取了這些機密資料。
而攻擊者入侵系統的目的不同,使用的攻擊方法也會不同,所造成的影響範圍和損失也就不會相同。因此,在處理不同的系統入侵事件時,就應當對症下藥,不同的系統入侵型別,應當以不同的處理方法來解決,這樣,才有可能做到有的放矢,達到最佳的處理效果。
一、以炫耀技術為目的的系統入侵恢復
有一部分攻擊者入侵系統的目的,只是為了向同行或其他人炫耀其高超的網路技術,或者是為了實驗某個系統漏洞而進行的系統入侵活動。對於這類系統入侵事件,攻擊者一般會在被入侵的系統中留下一些證據來證明他已經成功入侵了這個系統,有時還會在網際網路上的某個論壇中公布他的入侵成果,例如攻擊者入侵的是一台 web伺服器,他們就會通過更改此web站點的首頁資訊來說明自己已經入侵了這個系統,或者會通過安裝後門的方式,使被入侵的系統成他的肉雞,然後公然**或在某些論壇上公布,以宣告自己已經入侵了某系統。也就是說,我們可以將這種型別的系統入侵再細分為以控制系統為目的的系統入侵和修改服務內容為目的的系統入侵。
對於以修改服務內容為目的的系統入侵活動,可以不需要停機就可改完成系統恢復工作。
1.應當採用的處理方式
(1)、建立被入侵系統當前完整系統快照,或只儲存被修改部分的快照,以便事後分析和留作證據。
(2)、立即通過備份恢復被修改的網頁。
(3)、在windows系統下,通過網路監控軟體或「***stat -an」命令來檢視系統目前的網路連線情況,如果發現不正常的網路連線,應當立即斷開與它的連線。然後通過檢視系統程序、服務和分析系統和服務的日誌檔案,來檢查系統攻擊者在系統中還做了什麼樣的操作,以便做相應的恢復。
(4)、通過分析系統日誌檔案,或者通過弱點檢測工具來了解攻擊者入侵系統所利用的漏洞。如果攻擊者是利用系統或網路應用程式的漏洞來入侵系統的,那麼,就應當尋找相應的系統或應用程式漏洞補丁來修補它,如果目前還沒有這些漏洞的相關補丁,我們就應當使用其它的手段來暫時防範再次利用這些漏洞的入侵活動。如果攻擊者是利用其它方式,例如社會工程方式入侵系統的,而檢查系統中不存在新的漏洞,那麼就可以不必做這乙個步驟,而必需對社會工程攻擊實施的物件進行了解和培訓。
(5)、修復系統或應用程式漏洞後,還應當新增相應的防火牆規則來防止此類事件的再次發生,如果安裝有ids/ips和防毒軟體,還應當公升級它們的特徵庫。
(6)、最後,使用系統或相應的應用程式檢測軟體對系統或服務進行一次徹底的弱點檢測,在檢測之前要確保其檢測特徵庫是最新的。所有工作完成後,還應當在後續的一段時間內,安排專人對此系統進行實時監控,以確信系統已經不會再次被此類入侵事件攻擊。
如果攻擊者攻擊系統是為了控制系統成為肉雞,那麼,他們為了能夠長期控制系統,就會在系統中安裝相應的後門程式。同時,為了防止被系統使用者或管理員發現,攻擊者就會千方百計地隱藏他在系統中的操作痕跡,以及隱藏他所安裝的後門。
因而,我們只能通過檢視系統程序、網路連線狀況和埠使用情況來了解系統是否已經被攻擊者控制,如果確定系統已經成為了攻擊者的肉雞,那麼就應當按下列方式來進行入侵恢復:
(1)、立即分析系統被入侵的具體時間,目前造成的影響範圍和嚴重程度,然後將被入侵系統建立乙個快照,儲存當前受損狀況,以更事後分析和留作證據。
(2)、使用網路連線監控軟體或埠監視軟體檢測系統當前已經建立的網路連線和埠使用情況,如果發現存在非法的網路連線,就立即將它們全部斷開,並在防火牆中新增對此ip或埠的禁用規則。
(3)、通過windows任務管理器,來檢查是否有非法的程序或服務在執行,並且立即結束找到的所有非法程序。但是,一些通過特殊處理的後門程序是不會出現在windows任務管理器中,此時,我們就可以通過使用一些工具軟體來找到這些隱藏的程序、服務和載入的核心模組,然後將它們全部結束任務。
可是,有時我們並不能通過這些方式終止某些後門程式的程序,那麼,我們就只能暫停業務,轉到安全模式下進行操作。如果在安全模式下還不能結束掉這些後門程序的執行,就只能對業務資料做備份後,恢復系統到某個安全的時間段,再恢復業務資料。
這樣,就會造成業務中斷事件,因此,在處理時速度應當盡量快,以減少由於業務中斷造成的影響和損失。有時,我們還應當檢測系統服務中是否存在非法註冊的後門服務,這可以通過開啟「控制面板」—「管理工具」中的「服務」來檢查,將找到的非法服務全部禁用。
(4)、在尋找後門程序和服務時,應當將找到的程序和服務名稱全部記錄下來,然後在系統登錄檔和系統分割槽中搜尋這些檔案,將找到的與此後門相關的所有資料全部刪除。還應將「開始選單」—「所有程式」—「啟動」選單項中的內容全部刪除。
(5)、分析系統日誌,了解攻擊者是通過什麼途徑入侵系統的,以及他在系統中做了什麼樣的操作。然後將攻擊者在系統中所做的所有修改全部更正過來,如果他是利用系統或應用程式漏洞入侵系統的,就應當找到相應的漏洞補丁來修復這個漏洞。
如果目前沒有這個漏洞的相關補丁,就應當使用其它安全手段,例如通過防火牆來阻止某些ip位址的網路連線的方式,來暫時防範通過這些漏洞的入侵攻擊,並且要不斷關注這個漏洞的最新狀態,出現相關修復補丁後就應當立即修改。給系統和應用程式打補丁,我們可以通過相應的軟體來自動化進行。
(6)、在完成系統修復工作後,還應當使用弱點檢測工具來對系統和應用程式進行一次全面的弱點檢測,以確保沒有已經的系統或應用程式弱點出現。我們還應用使用手動的方式檢查系統中是否新增了新的使用者帳戶,以及被攻擊做修改了相應的安裝設定,例如修改了防火牆過濾規則,ids/ips的檢測靈敏度,啟用被攻擊者禁用了的服務和安全軟體。
2.進一步保證入侵恢復的成果
(1)、修改系統管理員或其它使用者帳戶的名稱和登入密碼;
(2)、修改資料庫或其它應用程式的管理員和使用者賬戶名稱和登入密碼;
(3)、檢查防火牆規則;
(4)、如果系統中安裝有防毒軟體和ids/ips,分別更新它們的病毒庫和攻擊特徵庫;
(5)、重新設定使用者許可權;
(6)、重新設定檔案的訪問控制規則;
(7)、重新設定資料庫的訪問控制規則;
(8)、修改系統中與網路操作相關的所有帳戶的名稱和登入密碼等。
當我們完成上述所示的所有系統恢復和修補任務後,我們就可以對系統和服務進行一次完全備份,並且將新的完全備份與舊的完全備份分開儲存。
在這裡要注意的是:對於以控制系統為目的的入侵活動,攻擊者會想方設法來隱藏自己不被使用者發現。他們除了通過修改或刪除系統和防火牆等產生的與他操作相關的日誌檔案外,高明的黑客還會通過一些軟體來修改其所建立、修改檔案的基本屬性資訊,這些基本屬性包括檔案的最後訪問時間,修改時間等,以防止使用者通過檢視檔案屬性來了解系統已經被入侵。
因此,在檢測系統檔案是否被修改時,應當使用一些軟體來進行檔案完整性檢測。
二、以得到或損壞系統中機密資料為目的的系統入侵恢復
現在,企業it資源中什麼最值錢,當然是存在於這些裝置當中的各種機密資料了。目前,大部分攻擊者都是以獲取企業中機密資料為目的而進行的相應系統入侵活動,以便能夠通過**這些盜取的機密資料來獲取非法利益。
如果企業的機密資料是以檔案的方式直接儲存在系統中某個分割槽的資料夾當中,而且這些資料夾又沒有通過加密或其它安全手段進行保護,那麼,攻擊者入侵系統後,就可以輕鬆地得到這些機密資料。但是,目前中小企業中有相當一部分的企業還在使用這種沒有安全防範的檔案儲存方式,這樣就給攻擊者提供大在的方便。
不過,目前還是有絕大部分的中小企業都是將資料儲存到了專門的儲存裝置上,而且,這些用來專門儲存機密資料的儲存裝置,一般還使用硬體防火牆來進行進一步的安全防範。因此,當攻擊者入侵系統後,如果想得到這些儲存裝置中的機密資料,就必需對這些裝置做進一步的入侵攻擊,或者利用網路嗅探器來得到在內部區域網中傳輸的機密資料。
機密資料對於一些中小企業來說,可以說是一種生命,例如客戶檔案,生產計畫,新產品研究檔案,新產品相簿,這些資料要是洩漏給了競爭物件,那麼,就有可能造成被入侵企業的破產。對於搶救以得到、破壞系統中機密資料為目的的系統入侵活動,要想最大限度地降低入侵帶來的資料損失,最好的方法就是在資料庫還沒有被攻破之前就阻止入侵事件的進一步發展。
試想像一下,如果當我們發現系統已經被入侵之時,所有的機密資料已經完全洩漏或刪除,那麼,就算我們通過備份恢復了這些被刪除的資料,但是,由於機密資料洩漏造成的損失依然沒有減少。因此,我們必需及時發現這種方式的系統入侵事件,只有在攻擊者還沒有得到或刪除機密資料之前,我們的恢復工作才顯得有意義。
當然,無論有沒能損失機密資料,系統被入侵後,恢復工作還是要做的。對於以得到或破壞機密資料為目的的系統入侵活動,我們仍然可以按此種入侵活動進行到了哪個階段,。
1、恢復還沒有得到或破壞機密資料的被入侵系統
假設我們發現系統已經被入侵,並且通過分析系統日誌,或者通過直接觀察攻擊者對資料庫進行的後續入侵活動,已經了解到機密資料還沒有被攻擊者竊取,只是進入了系統而已,那麼,我們就可以按下列方式來應對這樣的入侵活動:如果企業規定在處理這樣的系統入侵事件時,不允許系統停機,那麼就應當按這種方式來處理:
(1)、立即找到與攻擊源的網路連線並斷開,然後通過新增防火牆規則來阻止。通常,當我們一開始就立即斷開與攻擊源的網路連線,攻擊者就會立即察覺到,並由此迅速消失,以防止自己被反向追蹤。因而,如果我們想抓到攻擊者,讓他受到法律的懲罰,在知道目前攻擊者進行的入侵攻擊不會對資料庫中的機密資料造成影響的前提下,我們就可以先對系統當前狀態做乙個快照,用來做事後分析和證據,然後使用ip追捕軟體來反向追蹤攻擊者,找到後再斷開與他的網路連線。
伺服器被入侵後的緊急補救方法
攻擊者入侵某個系統,總是由某個主要目的所驅使的。例如炫耀技術,得到企業機密資料,破壞企業正常的業務流程等等,有時也有可能在入侵後,攻擊者的攻擊行為,由某種目的變成了另一種目的,例如,本來是炫耀技術,但在進入系統後,發現了一些重要的機密資料,由於利益的驅使,攻擊者最終竊取了這些機密資料。而攻擊者入侵系...
伺服器被入侵的原因及安全如何保障
遭遇網路黑客可以歸咎於兩個原因 一是外部因素。如今黑客們的攻擊手段是越來越高明了,即使有不少機構已經加強了 的管理,但是黑客就如同白蟻一樣,只要木料上有乙個地方的防蟲塗料沒有塗好,他們都能通過這種漏洞進行攻擊。當然正是因為你做的夠好讓你妒忌才會有人攻擊,不然攻擊你又為了什麼呢?中華合租網的負責人說道...
伺服器防禦篇之cc攻擊的防範方法
前段時間上海一家遊戲娛樂公司的 遭到了基於頁面請求的ddos分布式拒絕服務攻擊,陷入完全癱瘓狀態,並被黑客的匿名信勒索,金額高達10萬元,而在勒索過程中,這群黑客還表示會對騰訊qq等 下手,隨後幾天.12月5號的時候,全球bittorrent伺服器也受到了很強烈的ddos攻擊,一度陷入癱瘓.本文特邀...