99久久99久久精品免观看,国产精品久久久久国产精品,国产黄色录像视频,免费的黄色毛片,国产一区精品普通话对白,色妞妞成人在线观看,最新aⅴ福利在线观看免费

綠色資源網(wǎng):您身邊最放心的安全下載站! 最新軟件|熱門排行|軟件分類|軟件專題|廠商大全

綠色資源網(wǎng)

技術(shù)教程
您的位置:首頁系統(tǒng)集成網(wǎng)絡(luò)安全 → 服務(wù)器被入侵后的緊急補(bǔ)救方法

服務(wù)器被入侵后的緊急補(bǔ)救方法

我要評(píng)論 2015/02/23 12:35:13 來源:綠色資源網(wǎng) 編輯:綠色資源站 [ ] 評(píng)論:0 點(diǎn)擊:559次

攻擊者入侵某個(gè)系統(tǒng),總是由某個(gè)主要目的所驅(qū)使的。例如炫耀技術(shù),得到企業(yè)機(jī)密數(shù)據(jù),破壞企業(yè)正常的業(yè)務(wù)流程等等,有時(shí)也有可能在入侵后,攻擊者的攻擊行為,由某種目的變成了另一種目的,例如,本來是炫耀技術(shù),但在進(jìn)入系統(tǒng)后,發(fā)現(xiàn)了一些重要的機(jī)密數(shù)據(jù),由于利益的驅(qū)使,攻擊者最終竊取了這些機(jī)密數(shù)據(jù)。

而攻擊者入侵系統(tǒng)的目的不同,使用的攻擊方法也會(huì)不同,所造成的影響范圍和損失也就不會(huì)相同。因此,在處理不同的系統(tǒng)入侵事件時(shí),就應(yīng)當(dāng)對(duì)癥下藥,不同的系統(tǒng)入侵類型,應(yīng)當(dāng)以不同的處理方法來解決,這樣,才有可能做到有的放矢,達(dá)到最佳的處理效果。

一、 以炫耀技術(shù)為目的的系統(tǒng)入侵恢復(fù)

有一部分攻擊者入侵系統(tǒng)的目的,只是為了向同行或其他人炫耀其高超的網(wǎng)絡(luò)技術(shù),或者是為了實(shí)驗(yàn)?zāi)硞€(gè)系統(tǒng)漏洞而進(jìn)行的系統(tǒng)入侵活動(dòng)。對(duì)于這類系統(tǒng)入侵事件,攻擊者一般會(huì)在被入侵的系統(tǒng)中留下一些證據(jù)來證明他已經(jīng)成功入侵了這個(gè)系統(tǒng),有時(shí)還會(huì)在互聯(lián)網(wǎng)上的某個(gè)論壇中公布他的入侵成果,例如攻擊者入侵的是一臺(tái) WEB服務(wù)器,他們就會(huì)通過更改此WEB站點(diǎn)的首頁信息來說明自己已經(jīng)入侵了這個(gè)系統(tǒng),或者會(huì)通過安裝后門的方式,使被入侵的系統(tǒng)成他的肉雞,然后公然出售或在某些論壇上公布,以宣告自己已經(jīng)入侵了某系統(tǒng)。也就是說,我們可以將這種類型的系統(tǒng)入侵再細(xì)分為以控制系統(tǒng)為目的的系統(tǒng)入侵和修改服務(wù)內(nèi)容為目的的系統(tǒng)入侵。

對(duì)于以修改服務(wù)內(nèi)容為目的的系統(tǒng)入侵活動(dòng),可以不需要停機(jī)就可改完成系統(tǒng)恢復(fù)工作。

1.應(yīng)當(dāng)采用的處理方式

(1)、建立被入侵系統(tǒng)當(dāng)前完整系統(tǒng)快照,或只保存被修改部分的快照,以便事后分析和留作證據(jù)。

(2)、立即通過備份恢復(fù)被修改的網(wǎng)頁。

(3)、在Windows系統(tǒng)下,通過網(wǎng)絡(luò)監(jiān)控軟件或“netstat -an”命令來查看系統(tǒng)目前的網(wǎng)絡(luò)連接情況,如果發(fā)現(xiàn)不正常的網(wǎng)絡(luò)連接,應(yīng)當(dāng)立即斷開與它的連接。然后通過查看系統(tǒng)進(jìn)程、服務(wù)和分析系統(tǒng)和服務(wù)的日志文件,來檢查系統(tǒng)攻擊者在系統(tǒng)中還做了什么樣的操作,以便做相應(yīng)的恢復(fù)。

(4)、通過分析系統(tǒng)日志文件,或者通過弱點(diǎn)檢測工具來了解攻擊者入侵系統(tǒng)所利用的漏洞。如果攻擊者是利用系統(tǒng)或網(wǎng)絡(luò)應(yīng)用程序的漏洞來入侵系統(tǒng)的,那么,就應(yīng)當(dāng)尋找相應(yīng)的系統(tǒng)或應(yīng)用程序漏洞補(bǔ)丁來修補(bǔ)它,如果目前還沒有這些漏洞的相關(guān)補(bǔ)丁,我們就應(yīng)當(dāng)使用其它的手段來暫時(shí)防范再次利用這些漏洞的入侵活動(dòng)。如果攻擊者是利用其它方式,例如社會(huì)工程方式入侵系統(tǒng)的,而檢查系統(tǒng)中不存在新的漏洞,那么就可以不必做這一個(gè)步驟,而必需對(duì)社會(huì)工程攻擊實(shí)施的對(duì)象進(jìn)行了解和培訓(xùn)。

(5)、修復(fù)系統(tǒng)或應(yīng)用程序漏洞后,還應(yīng)當(dāng)添加相應(yīng)的防火墻規(guī)則來防止此類事件的再次發(fā)生,如果安裝有IDS/IPS和殺毒軟件,還應(yīng)當(dāng)升級(jí)它們的特征庫。

(6)、最后,使用系統(tǒng)或相應(yīng)的應(yīng)用程序檢測軟件對(duì)系統(tǒng)或服務(wù)進(jìn)行一次徹底的弱點(diǎn)檢測,在檢測之前要確保其檢測特征庫是最新的。所有工作完成后,還應(yīng)當(dāng)在后續(xù)的一段時(shí)間內(nèi),安排專人對(duì)此系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控,以確信系統(tǒng)已經(jīng)不會(huì)再次被此類入侵事件攻擊。

如果攻擊者攻擊系統(tǒng)是為了控制系統(tǒng)成為肉雞,那么,他們?yōu)榱四軌蜷L期控制系統(tǒng),就會(huì)在系統(tǒng)中安裝相應(yīng)的后門程序。同時(shí),為了防止被系統(tǒng)用戶或管理員發(fā)現(xiàn),攻擊者就會(huì)千方百計(jì)地隱藏他在系統(tǒng)中的操作痕跡,以及隱藏他所安裝的后門。

因而,我們只能通過查看系統(tǒng)進(jìn)程、網(wǎng)絡(luò)連接狀況和端口使用情況來了解系統(tǒng)是否已經(jīng)被攻擊者控制,如果確定系統(tǒng)已經(jīng)成為了攻擊者的肉雞,那么就應(yīng)當(dāng)按下列方式來進(jìn)行入侵恢復(fù):

(1)、立即分析系統(tǒng)被入侵的具體時(shí)間,目前造成的影響范圍和嚴(yán)重程度,然后將被入侵系統(tǒng)建立一個(gè)快照,保存當(dāng)前受損狀況,以更事后分析和留作證據(jù)。

(2)、使用網(wǎng)絡(luò)連接監(jiān)控軟件或端口監(jiān)視軟件檢測系統(tǒng)當(dāng)前已經(jīng)建立的網(wǎng)絡(luò)連接和端口使用情況,如果發(fā)現(xiàn)存在非法的網(wǎng)絡(luò)連接,就立即將它們?nèi)繑嚅_,并在防火墻中添加對(duì)此IP或端口的禁用規(guī)則。

(3)、通過Windows任務(wù)管理器,來檢查是否有非法的進(jìn)程或服務(wù)在運(yùn)行,并且立即結(jié)束找到的所有非法進(jìn)程。但是,一些通過特殊處理的后門進(jìn)程是不會(huì)出現(xiàn)在 Windows任務(wù)管理器中,此時(shí),我們就可以通過使用Icesword這樣的工具軟件來找到這些隱藏的進(jìn)程、服務(wù)和加載的內(nèi)核模塊,然后將它們?nèi)拷Y(jié)束任務(wù)。

可是,有時(shí)我們并不能通過這些方式終止某些后門程序的進(jìn)程,那么,我們就只能暫停業(yè)務(wù),轉(zhuǎn)到安全模式下進(jìn)行操作。如果在安全模式下還不能結(jié)束掉這些后門進(jìn)程的運(yùn)行,就只能對(duì)業(yè)務(wù)數(shù)據(jù)做備份后,恢復(fù)系統(tǒng)到某個(gè)安全的時(shí)間段,再恢復(fù)業(yè)務(wù)數(shù)據(jù)。

這樣,就會(huì)造成業(yè)務(wù)中斷事件,因此,在處理時(shí)速度應(yīng)當(dāng)盡量快,以減少由于業(yè)務(wù)中斷造成的影響和損失。有時(shí),我們還應(yīng)當(dāng)檢測系統(tǒng)服務(wù)中是否存在非法注冊(cè)的后門服務(wù),這可以通過打開“控制面板”—“管理工具”中的“服務(wù)”來檢查,將找到的非法服務(wù)全部禁用。

(4)、在尋找后門進(jìn)程和服務(wù)時(shí),應(yīng)當(dāng)將找到的進(jìn)程和服務(wù)名稱全部記錄下來,然后在系統(tǒng)注冊(cè)表和系統(tǒng)分區(qū)中搜索這些文件,將找到的與此后門相關(guān)的所有數(shù)據(jù)全部刪除。還應(yīng)將“開始菜單”—“所有程序”—“啟動(dòng)”菜單項(xiàng)中的內(nèi)容全部刪除。

(5)、分析系統(tǒng)日志,了解攻擊者是通過什么途徑入侵系統(tǒng)的,以及他在系統(tǒng)中做了什么樣的操作。然后將攻擊者在系統(tǒng)中所做的所有修改全部更正過來,如果他是利用系統(tǒng)或應(yīng)用程序漏洞入侵系統(tǒng)的,就應(yīng)當(dāng)找到相應(yīng)的漏洞補(bǔ)丁來修復(fù)這個(gè)漏洞。

如果目前沒有這個(gè)漏洞的相關(guān)補(bǔ)丁,就應(yīng)當(dāng)使用其它安全手段,例如通過防火墻來阻止某些IP地址的網(wǎng)絡(luò)連接的方式,來暫時(shí)防范通過這些漏洞的入侵攻擊,并且要不斷關(guān)注這個(gè)漏洞的最新狀態(tài),出現(xiàn)相關(guān)修復(fù)補(bǔ)丁后就應(yīng)當(dāng)立即修改。給系統(tǒng)和應(yīng)用程序打補(bǔ)丁,我們可以通過相應(yīng)的軟件來自動(dòng)化進(jìn)行。

(6)、在完成系統(tǒng)修復(fù)工作后,還應(yīng)當(dāng)使用弱點(diǎn)檢測工具來對(duì)系統(tǒng)和應(yīng)用程序進(jìn)行一次全面的弱點(diǎn)檢測,以確保沒有已經(jīng)的系統(tǒng)或應(yīng)用程序弱點(diǎn)出現(xiàn)。我們還應(yīng)用使用手動(dòng)的方式檢查系統(tǒng)中是否添加了新的用戶帳戶,以及被攻擊做修改了相應(yīng)的安裝設(shè)置,例如修改了防火墻過濾規(guī)則,IDS/IPS的檢測靈敏度,啟用被攻擊者禁用了的服務(wù)和安全軟件。

2.進(jìn)一步保證入侵恢復(fù)的成果

(1)、修改系統(tǒng)管理員或其它用戶帳戶的名稱和登錄密碼;

(2)、修改數(shù)據(jù)庫或其它應(yīng)用程序的管理員和用戶賬戶名稱和登錄密碼;

(3)、檢查防火墻規(guī)則;

(4)、如果系統(tǒng)中安裝有殺毒軟件和IDS/IPS,分別更新它們的病毒庫和攻擊特征庫;

(5)、重新設(shè)置用戶權(quán)限;

(6)、重新設(shè)置文件的訪問控制規(guī)則;

(7)、重新設(shè)置數(shù)據(jù)庫的訪問控制規(guī)則;

(8)、修改系統(tǒng)中與網(wǎng)絡(luò)操作相關(guān)的所有帳戶的名稱和登錄密碼等。

當(dāng)我們完成上述所示的所有系統(tǒng)恢復(fù)和修補(bǔ)任務(wù)后,我們就可以對(duì)系統(tǒng)和服務(wù)進(jìn)行一次完全備份,并且將新的完全備份與舊的完全備份分開保存。

在這里要注意的是:對(duì)于以控制系統(tǒng)為目的的入侵活動(dòng),攻擊者會(huì)想方設(shè)法來隱藏自己不被用戶發(fā)現(xiàn)。他們除了通過修改或刪除系統(tǒng)和防火墻等產(chǎn)生的與他操作相關(guān)的日志文件外,高明的黑客還會(huì)通過一些軟件來修改其所創(chuàng)建、修改文件的基本屬性信息,這些基本屬性包括文件的最后訪問時(shí)間,修改時(shí)間等,以防止用戶通過查看文件屬性來了解系統(tǒng)已經(jīng)被入侵。因此,在檢測系統(tǒng)文件是否被修改時(shí),應(yīng)當(dāng)使用RootKit Revealer等軟件來進(jìn)行文件完整性檢測。

二、 以得到或損壞系統(tǒng)中機(jī)密數(shù)據(jù)為目的的系統(tǒng)入侵恢復(fù)

現(xiàn)在,企業(yè)IT資源中什么最值錢,當(dāng)然是存在于這些設(shè)備當(dāng)中的各種機(jī)密數(shù)據(jù)了。目前,大部分攻擊者都是以獲取企業(yè)中機(jī)密數(shù)據(jù)為目的而進(jìn)行的相應(yīng)系統(tǒng)入侵活動(dòng),以便能夠通過出售這些盜取的機(jī)密數(shù)據(jù)來獲取非法利益。

如果企業(yè)的機(jī)密數(shù)據(jù)是以文件的方式直接保存在系統(tǒng)中某個(gè)分區(qū)的文件夾當(dāng)中,而且這些文件夾又沒有通過加密或其它安全手段進(jìn)行保護(hù),那么,攻擊者入侵系統(tǒng)后,就可以輕松地得到這些機(jī)密數(shù)據(jù)。但是,目前中小企業(yè)中有相當(dāng)一部分的企業(yè)還在使用這種沒有安全防范的文件保存方式,這樣就給攻擊者提供大在的方便。

不過,目前還是有絕大部分的中小企業(yè)都是將數(shù)據(jù)保存到了專門的存儲(chǔ)設(shè)備上,而且,這些用來專門保存機(jī)密數(shù)據(jù)的存儲(chǔ)設(shè)備,一般還使用硬件防火墻來進(jìn)行進(jìn)一步的安全防范。因此,當(dāng)攻擊者入侵系統(tǒng)后,如果想得到這些存儲(chǔ)設(shè)備中的機(jī)密數(shù)據(jù),就必需對(duì)這些設(shè)備做進(jìn)一步的入侵攻擊,或者利用網(wǎng)絡(luò)嗅探器來得到在內(nèi)部局域網(wǎng)中傳輸?shù)臋C(jī)密數(shù)據(jù)。

機(jī)密數(shù)據(jù)對(duì)于一些中小企業(yè)來說,可以說是一種生命,例如客戶檔案,生產(chǎn)計(jì)劃,新產(chǎn)品研究檔案,新產(chǎn)品圖庫,這些數(shù)據(jù)要是泄漏給了競爭對(duì)象,那么,就有可能造成被入侵企業(yè)的破產(chǎn)。對(duì)于搶救以得到、破壞系統(tǒng)中機(jī)密數(shù)據(jù)為目的的系統(tǒng)入侵活動(dòng),要想最大限度地降低入侵帶來的數(shù)據(jù)損失,最好的方法就是在數(shù)據(jù)庫還沒有被攻破之前就阻止入侵事件的進(jìn)一步發(fā)展。

試想像一下,如果當(dāng)我們發(fā)現(xiàn)系統(tǒng)已經(jīng)被入侵之時(shí),所有的機(jī)密數(shù)據(jù)已經(jīng)完全泄漏或刪除,那么,就算我們通過備份恢復(fù)了這些被刪除的數(shù)據(jù),但是,由于機(jī)密數(shù)據(jù)泄漏造成的損失依然沒有減少。因此,我們必需及時(shí)發(fā)現(xiàn)這種方式的系統(tǒng)入侵事件,只有在攻擊者還沒有得到或刪除機(jī)密數(shù)據(jù)之前,我們的恢復(fù)工作才顯得有意義。

當(dāng)然,無論有沒能損失機(jī)密數(shù)據(jù),系統(tǒng)被入侵后,恢復(fù)工作還是要做的。對(duì)于以得到或破壞機(jī)密數(shù)據(jù)為目的的系統(tǒng)入侵活動(dòng),我們?nèi)匀豢梢园创朔N入侵活動(dòng)進(jìn)行到了哪個(gè)階段,再將此種類型的入侵活動(dòng)細(xì)分為還沒有得到或破壞機(jī)密數(shù)據(jù)的入侵活動(dòng)和已經(jīng)得到或破壞了機(jī)密數(shù)據(jù)的入侵活動(dòng)主兩種類型。

關(guān)鍵詞:服務(wù)器,服務(wù)器被入侵,服務(wù)器入侵

閱讀本文后您有什么感想? 已有 人給出評(píng)價(jià)!

  • 0 歡迎喜歡
  • 0 白癡
  • 0 拜托
  • 0 哇
  • 0 加油
  • 0 鄙視