当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 被入侵系统恢复指南(3)

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 被入侵系统恢复指南(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 32 ::
收藏到网摘: n/a

7.检查涉及到的或者受到威胁的远程站点
  在审查日志文件、入侵程序的输出文件和系统被侵入以来被修改的和新建立的文件时,要注意哪些站点可能会连接到被侵入的系统。根据经验那些连接到被侵入主机的站点,通常已经被侵入了。所以要尽快找出其它可能遭到入侵的系统,通知其管理人员。
D.通知相关的CSIRT和其它被涉及的站点
1.事故报告
  入侵者通常会使用被侵入的帐户或者主机发动对其它站点的攻击。如果你发现针对其它站点的入侵活动,建议你马上和这些站点联络。告诉他们你发现的入侵征兆,建议他们检查自己的系统是否被侵入,以及如何防护。要尽可能告诉他们所有的细节,包括:日期/时间戳、时区,以及他们需要的信息。
  你还可以向CERT(计算机紧急反应组)提交事故报告,从他们那里的到一些恢复建议。
  中国大陆地区的网址是:
http://www.cert.org.cn
2.与CERT调节中心联系
  你还可以填写一份事故报告表,使用电子邮件发送http://www.cert.org,从那里可以得到更多帮助。CERT会根据事故报告表对攻击趋势进行分析,将分析结果总结到他们的安全建议和安全总结,从而防止攻击的蔓延。可以从以下网址获得事故报告表:
http://www.cert.org/ftp/incident_reporting_form
3.获得受牵连站点的联系信息
  如果你需要获得顶级域名(.com、.edu、.net、.org等)的联系信息,建议你使用interNIC的whois数据库。
http://rs.internic.net/whois.html
  如果你想要获得登记者的确切信息,请使用interNIC的登记者目录:
http://rs.internic.net/origin.html
  想获得亚太地区和澳洲的联系信息,请查询:
http://www.apnic.net/apnic-bin/whois.pl
http://www.aunic.net/cgi-bin/whois.aunic
  如果你需要其它事故反应组的联系信息,请查阅FIRST(Forum of Incident Response and Security Teams)的联系列表:
http://www.first.org/team-info/
  要获得其它的联系信息,请参考:
http://www.cert.org/tech_tips/finding_site_contacts.html
  建议你和卷入入侵活动的主机联系时,不要发信给root或者postmaster。因为一旦这些主机已经被侵入,入侵者就可能获得了超级用户的权限,就可能读到或者拦截送到的e-mail。
E.恢复系统
1.安装干净的操作系统版本
  一定要记住如果主机被侵入,系统中的任何东西都可能被攻击者修改过了,包括:内核、二进制可执行文件、数据文件、正在运行的进程以及内存。通常,需要从发布介质上重装操作系统,然后在重新连接到网络上之前,安装所有的安全补丁,只有这样才会使系统不受后门和攻击者的影响。只是找出并修补被攻击者利用的安全缺陷是不够的。
  我们建议你使用干净的备份程序备份整个系统。然后重装系统。
2.取消不必要的服务
  只配置系统要提供的服务,取消那些没有必要的服务。检查并确信其配置文件没有脆弱性以及该服务是否可靠。通常,最保守的策略是取消所有的服务,只启动你需要的服务。
3.安装供应商提供的所有补丁
  我们强烈建议你安装了所有的安全补丁,要使你的系统能够抵御外来攻击,不被再次侵入,这是最重要的一步。
  你应该关注所有针对自己系统的升级和补丁信息。
4.查阅CERT的安全建议、安全总结和供应商的安全提示
  我们鼓励你查阅CERT以前的安全建议和总结,以及供应商的安全提示,一定要安装所有的安全补丁。
  CERT安全建议:
http://www.cert.org/advisories/
  CERT安全总结:
http://www.cert.org/advisories/
  供应商安全提示:
ftp://ftp.cert.org/pub/cert_bulletins/
5.谨慎使用备份数据
  在从备份中恢复数据时,要确信备份主机没有被侵入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。如果你只是恢复用户的home目录以及数据文件,请记住文件中可能藏有特洛伊木马程序。你还要注意用户起始目录下的.rhost文件。
6.改变密码
  在弥补了安全漏洞或者解决了配置问题以后,建议你改变系统中所有帐户的密码。一定要确信所有帐户的密码都不容易被猜到。你可能需要使用供应商提供的或者第三方的工具加强密码的安全。
  澳大利亚CERT发表了一篇choosing good passwords的文章,可以帮助你选择良好的密码。
F.加强系统和网络的安全
1.根据CERT的UNIX/NT配置指南检查系统的安全性
  CERT的UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。
http://www.cert.org/tech_tips/unix_configuration_guidelines.html
http://www.cert.org/tech_tips/win_configuration_guidelines.html
  查阅安全工具文档可以参考以下文章,决定使用的安全工具。
http://www.cert.org/tech_tips/security_tools.html
2.安装安全工具
  在将系统连接到网络上之前,一定要安装所有选择的安全工具。同时,最好使用Tripwire、aide等工具对系统文件进行MD5校验,