服务器被入侵后的紧急补救思路方法

  攻击者入侵某个系统总是由某个主要目所驱使例如炫耀技术得到企业机密数据破坏企业正常业务流程等等有时也有可能在入侵后攻击者攻击行为由某种目变成了另种目例如本来是炫耀技术但在进入系统后发现了些重要机密数据由于利益驱使攻击者最终窃取了这些机密数据
  而攻击者入侵系统区别使用攻击思路方法也会区别所造成影响范围和损失也就不会相同因此在处理区别系统入侵事件时就应当对症下药区别系统入侵类型应当以区别处理思路方法来解决这样才有可能做到有放矢达到最佳处理效果
  、以炫耀技术为目系统入侵恢复
  有部分攻击者入侵系统只是为了向同行或其他人炫耀其高超网络技术或者是为了实验某个系统漏洞而进行系统入侵活动对于这类系统入侵事件攻击者般会在被入侵系统中留下些证据来证明他已经成功入侵了这个系统有时还会在互联网上某个论坛中公布他入侵成果例如攻击者入侵台 WEB服务器他们就会通过更改此WEB站点首页信息来介绍说明自己已经入侵了这个系统或者会通过安装后门方式使被入侵系统成他肉鸡然后公然出售或在某些论坛上公布以宣告自己已经入侵了某系统也就是说我们可以将这种类型系统入侵再细分为以控制系统为目系统入侵和修改服务内容为目系统入侵
  对于以修改服务内容为目系统入侵活动可以不需要停机就可改完成系统恢复工作
  1.应当采用处理方式
  (1)、建立被入侵系统当前完整系统快照或只保存被修改部分快照以便事后分析和留作证据
  (2)、立即通过备份恢复被修改网页
  (3)、在Windows系统下通过网络监控软件Software或“netstat -an”命令来查看系统目前网络连接情况如果发现不正常网络连接应当立即断开和它连接然后通过查看系统进程、服务和分析系统和服务日志文件来检查系统攻击者在系统中还做了什么样操作以便做相应恢复
  (4)、通过分析系统日志文件或者通过弱点检测工具来了解攻击者入侵系统所利用漏洞如果攻击者是利用系统或网络应用漏洞来入侵系统那么就应当寻找相应系统或应用漏洞补丁来修补它如果目前还没有这些漏洞相关补丁我们就应当使用其它手段来暂时防范再次利用这些漏洞入侵活动如果攻击者是利用其它方式例如社会工程方式入侵系统而检查系统中不存在新漏洞那么就可以不必做这个步骤而必需对社会工程攻击实施对象进行了解和培训
  (5)、修复系统或应用漏洞后还应当添加相应防火墙规则来防止此类事件再次发生如果安装有IDS/IPS和杀毒软件Software还应当升级它们特征库
  (6)、最后使用系统或相应应用检测软件Software对系统或服务进行次彻底弱点检测在检测的前要确保其检测特征库是最新所有工作完成后还应当在后续段时间内安排专人对此系统进行实时监控以确信系统已经不会再次被此类入侵事件攻击
  如果攻击者攻击系统是为了控制系统成为肉鸡那么他们为了能够长期控制系统就会在系统中安装相应后门同时为了防止被系统用户或管理员发现攻击者就会千方百计地隐藏他在系统中操作痕迹以及隐藏他所安装后门
  因而我们只能通过查看系统进程、网络连接状况和端口使用情况来了解系统是否已经被攻击者控制如果确定系统已经成为了攻击者肉鸡那么就应当按下列方式来进行入侵恢复:
  (1)、立即分析系统被入侵具体时间目前造成影响范围和严重程度然后将被入侵系统建立个快照保存当前受损状况以更事后分析和留作证据
  (2)、使用网络连接监控软件Software或端口监视软件Software检测系统当前已经建立网络连接和端口使用情况如果发现存在非法网络连接就立即将它们全部断开并在防火墙中添加对此IP或端口禁用规则
  (3)、通过Windows任务管理器来检查是否有非法进程或服务在运行并且立即结束找到所有非法进程但是些通过特殊处理后门进程是不会出现在 Windows任务管理器中此时我们就可以通过使用Icesword这样工具软件Software来找到这些隐藏进程、服务和加载内核模块然后将它们全部结束任务
  可是有时我们并不能通过这些方式终止某些后门进程那么我们就只能暂停业务转到安全模式下进行操作如果在安全模式下还不能结束掉这些后门进程运行就只能对业务数据做备份后恢复系统到某个安全时间段再恢复业务数据
  这样就会造成业务中断事件因此在处理时速度应当尽量快以减少由于业务中断造成影响和损失有时我们还应当检测系统服务中是否存在非法注册后门服务这可以通过打开“控制面板”—“管理工具”中“服务”来检查将找到非法服务全部禁用
  (4)、在寻找后门进程和服务时应当将找到进程和服务名称全部记录下来然后在系统注册表和系统分区中搜索这些文件将找到和此后门相关所有数据全部删除还应将“开始菜单”—“所有”—“启动”菜单项中内容全部删除
  (5)、分析系统日志了解攻击者是通过什么途径入侵系统以及他在系统中做了什么样操作然后将攻击者在系统中所做所有修改全部更正过来如果他是利用系统或应用漏洞入侵系统就应当找到相应漏洞补丁来修复这个漏洞
  如果目前没有这个漏洞相关补丁就应当使用其它安全手段例如通过防火墙来阻止某些IP地址网络连接方式来暂时防范通过这些漏洞入侵攻击并且要不断关注这个漏洞最新状态出现相关修复补丁后就应当立即修改给系统和应用打补丁我们可以通过相应软件Software来自动化进行
  (6)、在完成系统修复工作后还应当使用弱点检测工具来对系统和应用进行次全面弱点检测以确保没有已经系统或应用弱点出现我们还应用使用手动方式检查系统中是否添加了新用户帐户以及被攻击做修改了相应安装设置例如修改了防火墙过滤规则IDS/IPS检测灵敏度启用被攻击者禁用了服务和安全软件Software
  2.进步保证入侵恢复成果
  (1)、修改系统管理员或其它用户帐户名称和登录密码;
  (2)、修改数据库或其它应用管理员和用户账户名称和登录密码;
  (3)、检查防火墙规则;
  (4)、如果系统中安装有杀毒软件Software和IDS/IPS分别更新它们病毒库和攻击特征库;
  (5)、重新设置用户权限;
  (6)、重新设置文件访问控制规则;
  (7)、重新设置数据库访问控制规则;
  (8)、修改系统中和网络操作相关所有帐户名称和登录密码等
  当我们完成上述所示所有系统恢复和修补任务后我们就可以对系统和服务进行次完全备份并且将新完全备份和旧完全备份分开保存
  在这里要注意是:对于以控制系统为目入侵活动攻击者会想方设法来隐藏自己不被用户发现他们除了通过修改或删除系统和防火墙等产生和他操作相关日志文件外高明黑客还会通过些软件Software来修改其所创建、修改文件基本属性信息这些基本属性包括文件最后访问时间修改时间等以防止用户通过查看文件属性来了解系统已经被入侵因此在检测系统文件是否被修改时应当使用RootKit Revealer
Tags: 

延伸阅读

最新评论

发表评论