当前位置:Linux教程 - Linux - Unix遭到入侵紧急响应操作步骤 0.1

Unix遭到入侵紧急响应操作步骤 0.1



         Unix遭到入侵紧急响应操作步骤 0.1
    (未完成)
    --------------------------------------------------------------------------------

    作者:KCN <[email protected]>
    这是一个未完成版,如果想得到她的更新版本请到http://51open.com获得。

      网络安全如此薄弱的今天,只要你的系统连在Internet上,随时都会有可能被入侵,计算机网络中的“入侵”活动已经引起了公众的高度重视。有关国际互联网的入侵者和破坏者的报道经常见诸于报端。针对这安全而发出的疑问就是:如何发现入侵?如何把入侵者请出门外。

    一、如何发现入侵

      如果的系统已经被入侵者控制,或者入侵者已经获得了一些权限,那么系统总会有一些症状反映出来,有些症状也往往暗示着有人正在打你系统的主意,你的系统将被入侵。

    1.异常的访问日志
      入侵者在入侵并控制系统之前,往往会先用自动或者手动扫描这个系统,以获取更多的信息,了解并入侵您的系统。
      系统被扫描的征兆:
      1.一个IP连续多次出现在系统的各种服务日志中,并试图访问越权访问管理程序,这很有可能是入侵者在试图寻找并尝试漏洞。
      2.一个IP连续多次在同一系统多个服务建立了空连接,这很有可能是入侵者在搜集服务的版本信息。
      3.有人访问了系统不必要的服务,或者系统不存在的但是有严重安全隐患的漏洞。
    比如:finger、rpc.statd。
      4.有人telnet、ftp、pop3、su等服务日志连续出现了大量的连续性失败登入日志,着很有可能是入侵者在尝试猜测系统的密码。

    2.网络流量增大
      如果一台服务器突然间流量大了许多,这就预示着你的系统有可能已经被入侵者控制,并用来扫描和攻击其它的服务器。事实证明,流量突然过大不容忽视,许多入侵者都用中间主机下载并提供扫描软件,对远程主机扫描、分析和测试漏洞,进而造成网络流量突然增大。

    3.非法访问
      如果你发现某个用户试图访问控制并修改/etc/shadow、系统日志和系统配置文件,那么很有可能这个用户已经被入侵者控制,并且试图夺取更高的权限。

    4.正常服务终止
      比如系统的日志服务突然奇怪的停掉了,你的IDS程序突然终止,这暗示着入侵者试图停掉这些有威胁的服务,在系统上留下空日志来逃避管理员的追查。

    5.可疑的进程,非法服务
      系统中任何可疑的进程都应该仔细检查,比如以root启动的httpd服务,系统中本来关闭的服务重新被启动。这些可疑进程和服务,很有可能是入侵者启动的攻击进程、后门进程、sniffer进程。

    6.系统文件或用户数据被更改
      入侵者通常会更改系统中的配置文件来逃避追查,或者加载后门、攻击程序之类,比如修改syslog.conf文件去掉secure的条目来躲避login后门的审计;修改hosts.deny、hosts.allow来解除tcpwrapper对入侵者IP的过滤;增加一个条目在rc.d里面,以便系统启动的时候,同时启动后门程序;增加了一个用户、一个suid程序都意味着你的系统已经被入侵着控制了。

    7.可疑的数据
      系统中出现了诸如" "(空格空格)、".. "(点点空格)、"..^M"(点点ctrl+M)、"..."(点点点)这样可疑的目录,入侵者经常在这样的目录中使用和隐藏文件.系统命令被修改(比如安装了lrk,ps输出有变化),有些目录里面(特别是/tmp)出现了常用扫描器的产生的临时文件,攻击程序,磁盘空间突然变小,主页被修改,用户数据被修改。


    8.系统被sniffer
      系统入侵发生时,入侵者经常在UNIX系统上安装一个网络监视程序,通常称为sniffer,用于捕获用户账号和密码信息。是否有进程把任何网络设备置成混杂模式是判断sniffer存在的证据,如果任一网络设备处于混杂模式,那系统中就有sniffer程序在运行。传统的sniffer不能在交换环境成功使用,交换环境通过mac地置发送数据,这就产生了各种ARC欺骗工具,sniffer和snoop永远都是同时存在的。

    9.worm攻击
      近来Linux病毒也开始盛行,worm自动侦察攻击并复制自己,worm使受害服务器以几何级数增加,安全危害不容忽视,worm以攻击、安置后门、自我复制几部分组成,受害主机都有着相同的症状,如果发现你的系统已经被worm攻击,请立即断开网络连接,以减少受害主机的增多。


    二、紧急情况处理
      管理员面对着自己的服务器被入侵着侵占,茫然不知所措,慌乱中出错只能增加更大的损失,下面介绍了如果发现了服务器被入侵,如何紧急处理。

    1.立刻断开网络连接
      入侵着控制了系统,往往得到的都是root权限,如果不把被入侵的主机从网络上断开,入侵者可能连入这台主机并撤销你所做的恢复工作。他们知道了管理员发现了自己,也可能会做出一些破坏性举动,诸如发出 rm -rf / &等指令来彻底清除自己的罪证,为了防止这种情况发生,请先断开网络连接,并且启用备份域服务器。紧急情况下可以直接拔掉自己的网线,关掉相关的网络设备,如交换机和路由器等。

    2.制作遭受入侵的系统的镜象
      为了提供系统入侵时的快照,作为起诉入侵者的证据,使你的损失得到赔偿,你应该建立一个系统的当前备份。如果你有一块备用的磁盘,大小和型号都与被入侵主机上的磁盘相同,可以使用UNIX的dd命令制作被入侵系统的一个额外拷贝。如果你有磁带机可用ufsdump为系统做一个0级备份。

    3.报案、通知cert
      向当地公安局报案,使你的损失在以后能得到赔偿。通知cert,引起大家注意,以免internet上其他主机也收到同样的攻击。

    发布人:kcn 来自:KCN网上世界