IT貓撲網:您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉貼|軟件發(fā)布

您當前所在位置: 首頁網絡安全安全防護 → 安全防護:對癥下藥 搶救被入侵的系統(tǒng)

安全防護:對癥下藥 搶救被入侵的系統(tǒng)

時間:2015-06-28 00:00:00 來源:IT貓撲網 作者:網管聯(lián)盟 我要評論(0)

攻擊者入侵某個系統(tǒng),總是由某個主要目的所驅使的。例如炫耀技術,得到企業(yè)機密數據,破壞企業(yè)正常的業(yè)務流程等等,有時也有可能在入侵后,攻擊者的攻擊行為,由某種目的變成了另一種目的,例如,本來是炫耀技術,但在進入系統(tǒng)后,發(fā)現了一些重要的機密數據,由于利益的驅使,攻擊者最終竊取了這些機密數據。

而攻擊者入侵系統(tǒng)的目的不同,使用的攻擊方法也會不同,所造成的影響范圍和損失也就不會相同。因此,在處理不同的系統(tǒng)入侵事件時,就應當對癥下藥,不同的系統(tǒng)入侵類型,應當以不同的處理方法來解決,這樣,才有可能做到有的放矢,達到最佳的處理效果。

一、 以炫耀技術目的的系統(tǒng)入侵恢復

有一部分攻擊者入侵系統(tǒng)的目的,只是為了向同行或其他人炫耀其高超的網絡技術,或者是為了實驗某個系統(tǒng)漏洞而進行的系統(tǒng)入侵活動。對于這類系統(tǒng)入侵事件,攻擊者一般會在被入侵的系統(tǒng)中留下一些證據來證明他已經成功入侵了這個系統(tǒng),有時還會在互聯(lián)網上的某個論壇中公布他的入侵成果,例如攻擊者入侵的是一臺WEB服務器,他們就會通過更改此WEB站點的首頁信息來說明自己已經入侵了這個系統(tǒng),或者會通過安裝后門的方式,使被入侵的系統(tǒng)成他的肉雞,然后公然出售或在某些論壇上公布,以宣告自己已經入侵了某系統(tǒng)。也就是說,我們可以將這種類型的系統(tǒng)入侵再細分為以控制系統(tǒng)為目的的系統(tǒng)入侵和修改服務內容為目的的系統(tǒng)入侵。

對于以修改服務內容為目的的系統(tǒng)入侵活動,可以不需要停機就可改完成系統(tǒng)恢復工作。

1.應當采用的處理方式

(1)、建立被入侵系統(tǒng)當前完整系統(tǒng)快照,或只保存被修改部分的快照,以便事后分析和留作證據。

(2)、立即通過備份恢復被修改的網頁。

(3)、在Windows系統(tǒng)下,通過網絡監(jiān)控軟件或"netstat -an"命令來查看系統(tǒng)目前的網絡連接情況,如果發(fā)現不正常的網絡連接,應當立即斷開與它的連接。然后通過查看系統(tǒng)進程、服務和分析系統(tǒng)和服務的日志文件,來檢查系統(tǒng)攻擊者在系統(tǒng)中還做了什么樣的操作,以便做相應的恢復。

(4)、通過分析系統(tǒng)日志文件,或者通過弱點檢測工具來了解攻擊者入侵系統(tǒng)所利用的漏洞。如果攻擊者是利用系統(tǒng)或網絡應用程序的漏洞來入侵系統(tǒng)的,那么,就應當尋找相應的系統(tǒng)或應用程序漏洞補丁來修補它,如果目前還沒有這些漏洞的相關補丁,我們就應當使用其它的手段來暫時防范再次利用這些漏洞的入侵活動。如果攻擊者是利用其它方式,例如社會工程方式入侵系統(tǒng)的,而檢查系統(tǒng)中不存在新的漏洞,那么就可以不必做這一個步驟,而必需對社會工程攻擊實施的對象進行了解和培訓。

(5)、修復系統(tǒng)或應用程序漏洞后,還應當添加相應的防火墻規(guī)則來防止此類事件的再次發(fā)生,如果安裝有IDS/IPS和殺毒軟件,還應當升級它們的特征庫。

(6)、最后,使用系統(tǒng)或相應的應用程序檢測軟件對系統(tǒng)或服務進行一次徹底的弱點檢測,在檢測之前要確保其檢測特征庫是最新的。所有工作完成后,還應當在后續(xù)的一段時間內,安排專人對此系統(tǒng)進行實時監(jiān)控,以確信系統(tǒng)已經不會再次被此類入侵事件攻擊。

如果攻擊者攻擊系統(tǒng)是為了控制系統(tǒng)成為肉雞,那么,他們?yōu)榱四軌蜷L期控制系統(tǒng),就會在系統(tǒng)中安裝相應的后門程序。同時,為了防止被系統(tǒng)用戶或管理員發(fā)現,攻擊者就會千方百計地隱藏他在系統(tǒng)中的操作痕跡,以及隱藏他所安裝的后門。

因而,我們只能通過查看系統(tǒng)進程、網絡連接狀況和端口使用情況來了解系統(tǒng)是否已經被攻擊者控制,如果確定系統(tǒng)已經成為了攻擊者的肉雞,那么就應當按下列方式來進行入侵恢復:

(1)、立即分析系統(tǒng)被入侵的具體時間,目前造成的影響范圍和嚴重程度,然后將被入侵系統(tǒng)建立一個快照,保存當前受損狀況,以更事后分析和留作證據。

(2)、使用網絡連接監(jiān)控軟件或端口監(jiān)視軟件檢測系統(tǒng)當前已經建立的網絡連接和端口使用情況,如果發(fā)現存在非法的網絡連接,就立即將它們全部斷開,并在防火墻中添加對此IP或端口的禁用規(guī)則。

(3)、通過Windows任務管理器,來檢查是否有非法的進程或服務在運行,并且立即結束找到的所有非法進程。但是,一些通過特殊處理的后門進程是不會出現在Windows任務管理器中,此時,我們就可以通過使用Icesword這樣的工具軟件來找到這些隱藏的進程、服務和加載的內核模塊,然后將它們全部結束任務。

可是,有時我們并不能通過這些方式終止某些后門程序的進程,那么,我們就只能暫停業(yè)務,轉到安全模式下進行操作。如果在安全模式下還不能結束掉這些后門進程的運行,就只能對業(yè)務數據做備份后,恢復系統(tǒng)到某個安全的時間段,再恢復業(yè)務數據。

這樣,就會造成業(yè)務中斷事件,因此,在處理時速度應當盡量快,以減少由于業(yè)務中斷造成的影響和損失。有時,我們還應當檢測系統(tǒng)服務中是否存在非法注冊的后門服務,這可以通過打開"控制面板"—"管理工具"中的"服務"來檢查,將找到的非法服務全部禁用。

(4)、在尋找后門進程和服務時,應當將找到的進程和服務名稱全部記錄下來,然后在系統(tǒng)注冊表和系統(tǒng)分區(qū)中搜索這些文件,將找到的與此后門相關的所有數據全部刪除。還應將"開始菜單"—"所有程序"—"啟動"菜單項中的內容全部刪除。

(5)、分析系統(tǒng)日志,了解攻擊者是通過什么途徑入侵系統(tǒng)的,以及他在系統(tǒng)中做了什么樣的操作。然后將攻擊者在系統(tǒng)中所做的所有修改全部更正過來,如果他是利用系統(tǒng)或應用程序漏洞入侵系統(tǒng)的,就應當找到相應的漏洞補丁來修復這個漏洞。

如果目前沒有這個漏洞的相關補丁,就應當使用其它安全手段,例如通過防火墻來阻止某些IP地址的網絡連接的方式,來暫時防范通過這些漏洞的入侵攻擊,并且要不斷關注這個漏洞的最新狀態(tài),出現相關修復補丁后就應當立即修改。給系統(tǒng)和應用程序打補丁,我們可以通過相應的軟件來自動化進行。

(6)、在完成系統(tǒng)修復工作后,還應當使用弱點檢測工具來對系統(tǒng)和應用程序進行一次全面的弱點檢測,以確保沒有已經的系統(tǒng)或應用程序弱點出現。我們還應用使用手動的方式檢查系統(tǒng)中是否添加了新的用戶帳戶,以及被攻擊做修改了相應的安裝設置,例如修改了防火墻過濾規(guī)則,IDS/IPS的檢測靈敏度,啟用被攻擊者禁用了的服務和安全軟件。

2.進一步保證入侵恢復的成果

(1)、修改系統(tǒng)管理員或其它用戶帳戶的名稱和登錄密碼;

(2)、修改數據庫或其它應用程序的管理員和用戶賬戶名稱和登錄密碼;

(3)、檢查防火墻規(guī)則;

(4)、如果系統(tǒng)中安裝有殺毒軟件和IDS/IPS,分別更新它們的病毒庫和攻擊特征庫;

(5)、重新設置用戶權限;

(6)、重新設置文件的訪問控制規(guī)則;

(7)、重新設置數據庫的訪問控制規(guī)則;

(8)、修改系統(tǒng)中與網絡操作相關的所有帳戶的名稱和登錄密碼等。

當我們完成上述所示的所有系統(tǒng)恢復和修補任務后,我們就可以對系統(tǒng)和服務進行一次完全備份,并且將新的完全備份與舊的完全備份分開保存。

在這里要注意的是:對于以控制系統(tǒng)為目的的入侵活動,攻擊者會想方設法來隱藏自己不被用戶發(fā)現。他們除了通過修改或刪除系統(tǒng)和防火墻等產生的與他操作相關的日志文件外,高明的黑客還會通過一些軟件來修改其所創(chuàng)建、修改文件的基本屬性信息,這些基本屬性包括文件的最后訪問時間,修改時間等,以防止用戶通過查看文件屬性來了解系統(tǒng)已經被入侵。因此,在檢測系統(tǒng)文件是否被修改時,應當使用RootKit Revealer等軟件來進行文件完整性檢測。

二、 以得到或損壞系統(tǒng)中機密數據為目的的系統(tǒng)入侵恢復

現在,企業(yè)IT資源中什么最值錢,當然是存在于這些設備當中的各種機密數據了。目前,大部分攻擊者都是以獲取企業(yè)中機密數據為目的而進行的相應系統(tǒng)入侵活動,以便能夠通過出售這些盜取的機密數據來獲取非法利益。

如果企業(yè)的機密數據是以文件的方式直接保存在系統(tǒng)中某個分區(qū)的文件夾當中,而且這些文件夾又沒有通過加密或其它安全手段進行保護,那么,攻擊者入侵系統(tǒng)后,就可以輕松地得到這些機密數據。但是,目前中小企業(yè)中有相當一部分的企業(yè)還在使用這種沒有安全防范的文件保存方式,這樣就給攻擊者提供大在的方便。

不過,目前還是有絕大部分的中小企業(yè)都是將數據保存到了專門的存儲設備上,而且,這些用來專門保存機密數據的存儲設備,一般還使用硬件防火墻來進行進一步的安全防范。因此,當攻擊者入侵系統(tǒng)后,如果想得到這些存儲設備中的機密數據,就必需對這些設備做進一步的入侵攻擊,或者利用網絡嗅探器來得到在內部局域網中傳輸的機密數據。

機密數據對于一些中小企業(yè)來說,可以說是一種生命,例如客戶檔案,生產計劃,新產品研究檔案,新產品圖庫,這些數據要是泄漏給了競爭對象,那么,就有可能造成被入侵企業(yè)的破產。對于搶救以得到、破壞系統(tǒng)中機密數據為目的的系統(tǒng)入侵活動,要想最大限度地降低入侵帶來的數據損失,最好的方法就是在數據庫還沒有被攻破之前就阻止入侵事件的進一步發(fā)展。

試想像一下,如果當我們發(fā)現系統(tǒng)已經被入侵之時,所有的機密數據已經完全泄漏或刪除,那么,就算我們通過備份恢復了這些被刪除的數據,但是,由于機密數據泄漏造成的損失依然沒有減少。因此,我們必需及時發(fā)現這種方式的系統(tǒng)入侵事件,只有在攻擊者還沒有得到或刪除機密數據之前,我們的恢復工作才顯得有意義。

當然,無論有沒能損失機密數據,系統(tǒng)被入侵后,恢復工作還是要做的。對于以得到或破壞機密數據為目的的系統(tǒng)入侵活動,我們仍然可以按此種入侵活動進行到了哪個階段,再將此種類型的入侵活動細分為還沒有得到或破壞機密數據的入侵活動和已經得到或破壞了機密數據的入侵活動主兩種類型。

#p#副標題#e#

1、恢復還沒

關鍵詞標簽:安全防護,入侵

相關閱讀

文章評論
發(fā)表評論

熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網速 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網速 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 網絡安全管理軟件-PCHunter使用教程 網絡安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議 騰訊QQ密碼防盜十大建議

相關下載

    人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網速 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 網絡安全管理軟件-PCHunter使用教程 xp系統(tǒng)關閉445端口方法_ 教你如何關閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網絡安全事件應急響應方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設置