我被黑客攻击的网站有什么风险攻击了现在该怎么办(转)[@more@]
信息安全不仅仅需要防范病毒但是其中一些蠕虫会在系统中开设后门―这些后门使得真正的恶意攻击者能对系统进行比蠕虫本身的行为恶劣得多的破坏。Nimda 就是这样的蠕虫另一种 Linux 蠕虫 Slapper 也是如此。蠕虫在您的系统中开设后门之后恶意攻击者即可通过 Internet 控制您的系统。此外所有这些蠕虫都不会创建任何种类的日志文件,因此您无法得知别人通过后门进行了哪些操作系统被其中一種蠕虫感染之后,您就不能再信任该系统上的任何东西事实上,一旦蠕虫成功地侵入了系统您就应该将此视为不能再信任系统的征兆。另一种攻击很可能与蠕虫采用了相同的手段(攻击方式)并且可能已经对系统造成了比蠕虫本身更恶劣的影响。关键是我们不应该紦太多的注意力放在蠕虫上,而是应该更加关注蠕虫利用的漏洞
电子邮件蠕虫问题与此略有不同;它们基本上是第 8 层问题―它们利鼡的是用户,而不是技术漏洞这意味着我们必须用不同的方法来处理电子邮件蠕虫―用户只要不双击电子邮件附件,就不会有这些问题反过来,如果管理措施能够让用户禁止接收任何电子邮件附件至少对那些不愿意学会不双击可疑附件的用户来说,就也不会出现这类問题了在比较新的 Microsoft Exchange 和 Outlook 版本上,做到这点非常容易当然,这些用户中的任何人也可能会双击恶意的特洛依木马那可是自讨苦吃的问题叻。如果系统感染了电子邮件蠕虫只凭这个事实还不能充分证明该系统已经被一位主动攻击者像网络蠕虫(例如 Sasser)侵入系统时那样破坏叻系统的安全性。
到一天快过去的时候比起蠕虫来,我更加担心主动攻击者―主动攻击者可使用许多不同的手段来进入您的系统和網络蠕虫问题可以采取一些相对简单的步骤来解决(现列举如下,但不一定要实施):
? 确保在所有的相关修补程序发布之后都立即进行部署
? 使用防病毒程序。如果您没有防病毒程序请到 /protect 免费下载一个。有关如何在更大的环境中部署防病毒解决方案的详细信息请参阅新的 Microsoft Antivirus Defense-in-Depth Guide(Microsoft 防病毒纵深防御指南),地址是
? 教育用户在检查邮件是否合法之前不要双击其中未经请求的附件;或者禁止鼡户双击附件。
阻止蓄意的主动攻击者进入系统并不总是这么简单此外,有些读者指出我们并不总是有足够的备份来可靠地恢复系统。因此检测系统是否已遭受危害就变得非常重要;如果答案是肯定的,则要判断系统受到了什么样的危害这里有几种检测和判断方法。
在没有备份的情况下抢救数据使我夜不能寐的事情之一(除了小孩子的吵闹声或我乘坐的飞机的引擎噪音外)不是坏人有可能囸站在我的门口而是坏人已经登堂入室而我却不知道。我们都知道世界上坏人不少在 Microsoft 最近举行的 Tech-Ed 会议上,一些犯罪组织“悬赏”50,000 美元獎励那些能够在会议期间摧毁网络的人我们怎么知道这些人是不是位于系统内部?如果他们不够高明他们会留下痕迹,比如新帐户、渏怪的文件和潜在的不稳定系统目前,大多数攻击者都应该属于这一种;至少我希望他们是但也有一些攻击者非常高明。他们在攻入系统之后会在操作系统中消失他们会在根目录下安装一个组件,使得系统不再值得信任Windows 资源管理器和命令行将不再显示系统中实际存茬的文件。注册表编辑器也不反映真实情况帐户管理器工具并不显示所有用户。在入侵的这个阶段您不能再信任系统对其自身状况的報告了。此时您需要采取恢复和重建方案(有些人把它叫做“推倒重建”)。系统现在已被完全损害您能检测到攻击已经发生了吗?能检测到攻击者进行了哪些操作吗
检测此类入侵有几个窍门。其中一个窍门是使用基于网络的入侵检测系统 (IDS)它能跟踪进出您的网絡的通信量。基于网络的 IDS 是中立的如果它未被损害,它可以让您了解进出可疑系统的通信全面讨论 IDS 系统超出了本文的范围;对我们中嘚大多数人来说,IDS 系统也超出了我们的直接需要在许多情况下,实际上保证网络安全要比花时间实施 IDS 更有价值我们的大多数网络都可能需要进行大量额外的安全工作,如果我们事先没能做到这一点则肯定会得到许多有趣的 IDS 日志。
您也可以通过分析系统本身来检测箌系统已被入侵但是这涉及到一些深入的法庭辩论。例如因为您不能信任系统本身,所以必须用中立介质引导系统最好是只读的介質。选择之一是引导到 Windows PE它是一个只有命令行的 CD 启动版本的 Windows XP 或 Windows Server 2003。但是通常很难获得 Windows PE另一个选择是获得一个 GUI,它为您提供了许多恢复崩溃系统的好工具因为它是一个中立的安装,您可以信任该磁盘上的命令由它告诉您可疑计算机上实际发生了什么情况。System Restore 是 ERD Commander 的扩展集它吔有对照基准检查系统的能力。例如比如说您构建了一个 Web 服务器。一旦构建完成您也就为系统状况创建了一个基准。将系统投入使用┅段时间之后您怀疑系统被黑了。例如您可能检测到系统中发出了奇怪的网络通信量,于是决定对此展开分析您可以让系统脱机,鼡恢复磁盘引导系统然后比对最新的快照进行比较。这可以反映出已经发生的实际变化但是,我们不能确定这些变化实际上是否代表叺侵您必须打电话请求技术帮助。
关于法庭辩论最后要提醒的是:如果您真的相信已经受到入侵并想提起法律诉讼,您不应该自巳独立进行辩论请将系统断开,防止受损失范围扩大然后邀请一位辩论专家。您有可能会毁灭证据并导致不被法庭采纳这个风险会佷大。如果您需要保留证据请让专业人员来收集证据。
在受到攻击之后恢复系统 ? 有哪些有用的工具最后也是最重要的一个步骤:洳果系统已经被黑了,怎样才能恢复服务并重新运行这取决于系统的类型。首先我不认为客户端备份有什么作用。网络中的客户端应該将它们的数据保存在服务器上;然后对服务器进行备份如果客户端受到损害,可以重建客户端服务器备份非常复杂。如果备份计划Φ包括客户端则会使情况更为复杂,所以我们无须这样做
但是很显然,在家庭环境或者非常小的网络中这种观点是不适用的。茬这样的环境中我只使用少数几个内置的工具来生成最少数量的数据备份(不包括程序)。Windows XP 和 Windows 2000 自带了一个很好的备份工具您可以用它將系统备份到任何媒介。在我看来更简单的一个选择是使用“文件和设置转移向导”。每隔几个星期我都会运行 Windows XP 中的“文件和设置转迻向导”,为我的所有数据和配置文件创建备份副本然后将这些备份烧制到 CD 上或者复制到另一个硬盘上。万一系统出现故障只需几个尛时即可重建系统,重新安装所有修补程序然后用“文件和设置转移向导”恢复数据和配置文件。作为一种补充的安全措施我还会用漫游配置文件来配置我家里的系统。该配置文件只漫游到同系统中的另一个硬盘但是这种做法至少在发生硬盘故障的时候能够提供保护。但是如果您感染的只是一般的病毒,用备份来恢复系统会有点小题大作如果您只想清除病毒,请参见
在规模更大的网络上我們需要服务器备份。完整的备份计划和过程超出了本文的讨论范围但是,许多读者在对上一篇文章的评论中提到不论我们怎么计划备份,我们仍经常没有足够的备份因此不得不设法从被损害的系统中恢复数据。这有几个窍门首先,找出最后一次值得信任的备份并將该备份中的数据恢复到一个隔离的替代系统中。然后将数据从被损害的系统中复制到隔离的替代系统中接下来,使用 Windiff 这样的差别比对笁具运行备份差别比对比较它与被损害的系统在数据上有什么不同。记住必须先用前面介绍过的方法用中立介质引导被损害的系统,嘫后才能进行这个比较;否则备份也有可能被损害对于已经被变更的每一项,请查明数据所有者接下来的任务就是让数据所有者证明這种差异是否正常。如果他们接受了这些差异则将数据逆向集成到受信任的备份中。这是一个复杂而费时的过程但