|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專家資源、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 本文主要講述UNIX或者NT系統(tǒng)如果被侵入,應(yīng)該如何應(yīng)對(duì)。 注意:你在系統(tǒng)恢復(fù)過(guò)程中的所有步驟都應(yīng)該與你所在組織的網(wǎng)絡(luò)安全策略相符。 A.準(zhǔn)備工作 1.商討安全策略 如果你的組織沒(méi)有自己的安全策略,那么需要按照以下步驟建立自己的安全策略。 1.1.和管理人員協(xié)商 將入侵事故通知管理人員,可能在有的組織中很重要。在be aware進(jìn)行事故恢復(fù)的時(shí)候,網(wǎng)絡(luò)管理人員能夠得到內(nèi)部各部門的配合。也應(yīng)該明白入侵可能引起傳媒的注意。 1.2.和法律顧問(wèn)協(xié)商 在開始你的恢復(fù)工作之前,你的組織需要決定是否進(jìn)行法律調(diào)查。 注意CERT(Computer Emergency Response Team)只提供技術(shù)方面的幫助和提高網(wǎng)絡(luò)主機(jī)對(duì)安全事件的反應(yīng)速度。它們不會(huì)提出法律方面的建議。所以,對(duì)于法律方面的問(wèn)題建議你咨詢自己的法律顧問(wèn)。你的法律顧問(wèn)能夠告訴你入侵者應(yīng)該承擔(dān)的法律責(zé)任(民事的或者是刑事的),以及有關(guān)的法律程序。 現(xiàn)在,是你決定如何處理這起事故的時(shí)候了,你可以加強(qiáng)自己系統(tǒng)的安全或者選擇報(bào)警。 如果你想找出入侵者是誰(shuí),建議你與管理人員協(xié)商并咨詢法律顧問(wèn),看看入侵者是否觸犯了地方或者全國(guó)的法律。根據(jù)這些,你可以報(bào)案,看看警方是否愿意對(duì)此進(jìn)行調(diào)查。 針對(duì)與入侵事件,你應(yīng)該與管理人員和法律顧問(wèn)討論以下問(wèn)題: 如果你要追蹤入侵者或者跟蹤網(wǎng)絡(luò)連接,是否會(huì)觸犯法律。 如果你的站點(diǎn)已經(jīng)意識(shí)到入侵但是沒(méi)有采取措施阻止,要承擔(dān)什么法律責(zé)任。 入侵者是否觸犯了全國(guó)或者本地的法律。 是否需要進(jìn)行調(diào)查。 是否應(yīng)該報(bào)警。 1.3.報(bào)警 通常,如果你想進(jìn)行任何類型的調(diào)查或者起訴入侵者,最好先跟管理人員和法律顧問(wèn)商量以下。然后通知有關(guān)執(zhí)法機(jī)構(gòu)。 一定要記住,除非執(zhí)法部門的參與,否則你對(duì)入侵者進(jìn)行的一切跟蹤都可能是非法的。 1.4.知會(huì)其他有關(guān)人員 除了管理者和法律顧問(wèn)之外,你還需要通知你的恢復(fù)工作可能影響到的人員,例如其他網(wǎng)絡(luò)管理人員和用戶。 2.記錄恢復(fù)過(guò)程中所有的步驟 毫不夸張地講,記錄恢復(fù)過(guò)程中你采取的每一步措施,是非常重要的。恢復(fù)一個(gè)被侵入的系統(tǒng)是一件很麻煩的事,要耗費(fèi)大量的時(shí)間,因此經(jīng)常會(huì)使人作出一些草率的決定。記錄自己所做的每一步可以幫助你避免作出草率的決定,還可以留作以后的參考。記錄還可能對(duì)法律調(diào)查提供幫助。 B.奪回對(duì)系統(tǒng)的控制權(quán) 1.將被侵入的系統(tǒng)從網(wǎng)絡(luò)上斷開 為了奪回對(duì)被侵入系統(tǒng)的控制權(quán),你需要將其從網(wǎng)絡(luò)上斷開,包括播號(hào)連接。斷開以后,你可能想進(jìn)入U(xiǎn)NIX系統(tǒng)的單用戶模式或者NT的本地管理者(local administrator)模式,以?shī)Z回系統(tǒng)控制權(quán)。然而,重啟或者切換到單用戶/本地管理者模式,會(huì)丟失一些有用的信息,因?yàn)楸磺秩胂到y(tǒng)當(dāng)前運(yùn)行的所有進(jìn)程都會(huì)被殺死。 因此,你可能需要進(jìn)入C.5.檢查網(wǎng)絡(luò)嗅探器節(jié),以確定被侵入的系統(tǒng)是否有網(wǎng)絡(luò)嗅探器正在運(yùn)行。 在對(duì)系統(tǒng)進(jìn)行恢復(fù)的過(guò)程中,如果系統(tǒng)處于UNIX單用戶模式下,會(huì)阻止用戶、入侵者和入侵進(jìn)程對(duì)系統(tǒng)的訪問(wèn)或者切換主機(jī)的運(yùn)行狀態(tài)。 如果在恢復(fù)過(guò)程中,沒(méi)有斷開被侵入系統(tǒng)和網(wǎng)絡(luò)的連接,在你進(jìn)行恢復(fù)的過(guò)程中,入侵者就可能連接到你的主機(jī),破壞你的恢復(fù)工作。 2.復(fù)制一份被侵入系統(tǒng)的影象 在進(jìn)行入侵分析之前,建議你備份被侵入的系統(tǒng)。以后,你可能會(huì)用得著。 如果有一個(gè)相同大小和類型的硬盤,你就可以使用UNIX命令dd將被侵入系統(tǒng)復(fù)制到這個(gè)硬盤。 例如,在一個(gè)有兩個(gè)SCSI硬盤的Linux系統(tǒng),以下命令將在相同大小和類型的備份硬盤(/dev/sdb)上復(fù)制被侵入系統(tǒng)(在/dev/sda盤上)的一個(gè)精確拷貝。 # dd if=/dev/sda of=/dev/sdb 請(qǐng)閱讀dd命令的手冊(cè)頁(yè)獲得這個(gè)命令更詳細(xì)的信息。 還有一些其它的方法備份被侵入的系統(tǒng)。在NT系統(tǒng)中沒(méi)有類似于dd的內(nèi)置命令,你可以使用一些第三方的程序復(fù)制被侵入系統(tǒng)的整個(gè)硬盤影象。 建立一個(gè)備份非常重要,你可能會(huì)需要將系統(tǒng)恢復(fù)到侵入剛被發(fā)現(xiàn)時(shí)的狀態(tài)。它對(duì)法律調(diào)查可能有幫助。記錄下備份的卷標(biāo)、標(biāo)志和日期,然后保存到一個(gè)安全的地方以保持?jǐn)?shù)據(jù)的完整性。 C.入侵分析 現(xiàn)在你可以審查日志文件和系統(tǒng)配置文件了,檢查入侵的蛛絲馬跡,入侵者對(duì)系統(tǒng)的修改,和系統(tǒng)配置的脆弱性。 1.檢查入侵者對(duì)系統(tǒng)軟件和配置文件的修改 a.校驗(yàn)系統(tǒng)中所有的二進(jìn)制文件 在檢查入侵者對(duì)系統(tǒng)軟件和配置文件的修改時(shí),一定要記住:你使用的校驗(yàn)工具本身可能已經(jīng)被修改過(guò),操作系統(tǒng)的內(nèi)核也有可能被修改了,這非常普遍。因此,建議你使用一個(gè)可信任的內(nèi)核啟動(dòng)系統(tǒng),而且你使用的所有分析工具都應(yīng)該是干凈的。對(duì)于UNIX系統(tǒng),你可以通過(guò)建立一個(gè)啟動(dòng)盤,然后對(duì)其寫保護(hù)來(lái)獲得一個(gè)可以信賴的操作系統(tǒng)內(nèi)核。 你應(yīng)該徹底檢查所有的系統(tǒng)二進(jìn)制文件,把它們與原始發(fā)布介質(zhì)(例如光盤)做比較。因?yàn)楝F(xiàn)在已經(jīng)發(fā)現(xiàn)了大量的特洛伊木馬二進(jìn)制文件,攻擊者可以安裝到系統(tǒng)中。 在UNIX系統(tǒng)上,通常有如下的二進(jìn)制文件會(huì)被特洛伊木馬代替:telnet、in.telnetd、login、su、ftp、ls、ps、netstat、ifconfig、find、du、df、libc、sync、inetd和syslogd。除此之外,你還需要檢查所有被/etc/inetd.conf文件引用的文件,重要的網(wǎng)絡(luò)和系統(tǒng)程序以及共享庫(kù)文件。 在NT系統(tǒng)上。特洛伊木馬通常會(huì)傳播病毒,或者所謂的"遠(yuǎn)程管理程序",例如Back Orifice和NetBus。特洛伊木馬會(huì)取代處理網(wǎng)絡(luò)連接的一些系統(tǒng)文件。 一些木馬程序具有和原始二進(jìn)制文件相同的時(shí)間戳和sum校驗(yàn)值,通過(guò)校驗(yàn)和無(wú)法判斷文件是否被修改。因此,對(duì)于UNIX系統(tǒng),我們建議你使用cmp程序直接把系統(tǒng)中的二進(jìn)制文件和原始發(fā)布介質(zhì)上對(duì)應(yīng)的文件進(jìn)行比較。 你還可以選擇另一種方法檢查可疑的二進(jìn)制文件。向供應(yīng)商索取其發(fā)布的二進(jìn)制文件的MD5校驗(yàn)值,然后使用MD5校驗(yàn)值對(duì)可疑的二進(jìn)制文件進(jìn)行檢查。這種方法適用于UNIX和NT。 b.校驗(yàn)系統(tǒng)配置文件 在UNIX系統(tǒng)中,你應(yīng)該進(jìn)行如下檢查: 檢查/etc/passwd文件中是否有可疑的用戶 檢查/etc/inet.conf文件是否被修改過(guò) 如果你的系統(tǒng)允許使用r命令,例如rlogin、rsh、rexec,你需要檢查/etc/hosts.equiv或者.rhosts文件。 檢查新的SUID和SGID文件。下面命令會(huì)打印出系統(tǒng)中的所有SUID和SGID文件: #find / ( -perm -004000 -o -perm -002000 ) -type f -print 對(duì)于NT,你需要進(jìn)行如下檢查: 檢查不成對(duì)的用戶和組成員 檢查啟動(dòng)登錄或者服務(wù)的程序的注冊(cè)表入口是否被修改 檢查"net share"命令和服務(wù)器管理工具共有的非驗(yàn)證隱藏文件 檢查pulist.ext程序無(wú)法識(shí)別的進(jìn)程 2.檢查被修改的數(shù)據(jù) 入侵者經(jīng)常會(huì)修改系統(tǒng)中的數(shù)據(jù)。所以建議你對(duì)web頁(yè)面文件、ftp存檔文件、用戶目錄下的文件以及其它的文件進(jìn)行校驗(yàn)。 3.檢查入侵者留下的工具和數(shù)據(jù) 入侵者通常會(huì)在系統(tǒng)中安裝一些工具,以便繼續(xù)監(jiān)視被侵入的系統(tǒng)。 入侵者一般會(huì)在系統(tǒng)中留下如下種類的文件: 網(wǎng)絡(luò)嗅探器 網(wǎng)絡(luò)嗅探器就是監(jiān)視和記錄網(wǎng)絡(luò)行動(dòng)的一種工具程序。入侵者通常會(huì)使用網(wǎng)絡(luò)嗅探器獲得在網(wǎng)絡(luò)上以明文進(jìn)行傳輸?shù)挠脩裘兔艽a。(見C.5) 嗅探器在UNIX系統(tǒng)中更為常見。 特洛伊木馬程序 特洛伊木馬程序能夠在表面上執(zhí)行某種功能,而實(shí)際上執(zhí)行另外的功能。因此,入侵者可以使用特洛伊木馬程序隱藏自己的行為,獲得用戶名和密碼數(shù)據(jù),建立后門以便將來(lái)對(duì)系統(tǒng)在此訪問(wèn)被侵入系統(tǒng)。 后門 后門程序?qū)⒆约弘[藏在被侵入的系統(tǒng),入侵者通過(guò)它就能夠不通過(guò)正常的系統(tǒng)驗(yàn)證,不必使用安全缺陷攻擊程序就可以進(jìn)入系統(tǒng)。 安全缺陷攻擊程序 系統(tǒng)運(yùn)行存在安全缺陷的軟件是其被侵入的一個(gè)主要原因。入侵者經(jīng)常會(huì)使用一些針對(duì)已知安全缺陷的攻擊工具,以此獲得對(duì)系統(tǒng)的非法訪問(wèn)權(quán)限。這些工具通常會(huì)留在系統(tǒng)中,保存在一個(gè)隱蔽的目錄中。 網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì),對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。 |
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個(gè)人學(xué)習(xí)測(cè)試使用,請(qǐng)?jiān)谙螺d后24小時(shí)內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負(fù),請(qǐng)支持購(gòu)買微軟正版軟件!
本站所有資源全部來(lái)自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請(qǐng)及時(shí)通知我們(),我們會(huì)及時(shí)處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機(jī)站 關(guān)于本站
