当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 判断你的用户是否真的被黑客攻击(2)

安全基础
网管技术:常见BIOS报错信息及解决方法
分布式拒绝服务(DDOS)攻击及防范研究
四种宽带接入方式及其传输速率
网管必读 解读无线网络的七大安全困惑
经验:识别系统的非法进程及剿杀
全面清除系统垃圾的方法
QQ、网游等账号防盗防骗的实用小经验
上网前保证Windows XP系统安全的办法
七种DDoS攻击技术方法简介
硬盘与内存检测 四种查毒绝招
当网站注册时输入验证码总是不正确解决方法
不让自己的秘密留在别人的电脑中
IE崩溃遭难不求人 快速简单处理方法
损招 让应用程序莫名其妙地失效
不再弹广告 破除隐身僵尸木马的隐身妖术
利用QQ传播 网络欺骗“绑架”奥运会
渗透测试的攻与守 认清网络面临的问题
手动剿杀“上兴远程控制”木马
个人电脑防黑客入侵八准则
关注Windows系统服务中的安全隐患

安全基础 中的 判断你的用户是否真的被黑客攻击(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 30 ::
收藏到网摘: n/a

你被黑了:第一阶段――分析



Lawrence Abrams:在发现和分析阶段,第一件要做的事情是冻结笔记本电脑,以使感染不被扩散,并且数据和证据不致

被破坏和丢失。在事件中,笔记本是法庭上需要的必要的证据,在分析它硬盘上的任何数据之前,你必须采取正确的步骤。



首先立即拔掉网线,并切断电脑的电源(不要使用系统内置的关机,而是直接切断)。然后,使用字节对字节的拷贝工具,比如EnCase(http://www.guidancesoftware.com/),FTK Imager(http://www.accessdata.com/ftkuser/imager.htm),
WinHex(http://www.x-ways.net/winhex/index-m.html)或者可以在Helix Linux CD(http://www.e-fense.com/helix/index2.html)上
找到的图形界面的dd gui,将硬盘上的数据从被感染的笔记本电脑镜像到备用笔记本电脑上。现在,你拥有了法庭上承认的笔记本电脑拷贝,将原始的笔记本电脑锁定,直到你需要在法庭上出具证据时才能再启动它。



一旦数据被转移到备用笔记本电脑,下一步就是辨认感染的工作。在所描述的问题场景中,我所做的第一步是下载从Foundstone
下载Fport(http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm),并且再从http://www.spywareinfo.com/~merijn/下载HijackThis,然后在电脑上运行获得大概的情况。Fport将给出哪个程序打开了哪个IP端口,HijackThis则将告诉你有哪些程序在随着Windows启动而运行。然后使用Netstat(http://www.analogx.com/contents/download/network/nsl.htm),你能够看到这台计算机正在尝试连接网络上的其它机器,并感染它们。



Kevin Beaver:这个用户的电脑很又可能被黑或者感染了某种类型的恶意软件。



Tony Bradley:在所描述的问题中,描述了一些可疑的活动,但是在场景中只提供了一部分的信息,这很难判断此活动是恶意攻击还是只是一些小问题。



你被黑了:第二阶段――立即响应



Lawrence Abrams:使用在分析阶段找到的信息,你应该巩固企业_blank">防火墙的规则,禁止被感染机器可能访问的那些端口,将网络分为不同的部分,或者与外部网络隔离。



由于AIM(AOL即时聊天工具)还能够运行,因此病毒很可能会将自己插入聊天信息中,并希望能够借助此信息传播,当收到消息的人点击其中的连接时,他们就可能中毒了。为减轻这种危险,你需要马上在网络中封掉5190端口(AIM使用的端口)。并且马上发一封邮件给所有人,让他们关闭即时聊天软件也是合情合理的,而相对孤立的网络部分,没有被感染的风险。



如果他们被SDBot/RBot
(_gci211699,00.html">http://searchwindowssecurity.techtarget.com/sDefinition/0,290660,sid45_gci211699,00.html)或者其它的恶意后门软件感染,你应该立即封禁出站端口6666和6667,除去从外部IRC服务器可能执行的命令。



使用_blank">防火墙日志,你应该能够确定这些机器是否符合你的过滤要求,并且为清除其中的巨大威胁做好准备。粗略的使用类似Fport之类的程序扫描对每台电脑都是必要的,它对发现感染非常有用,不过这看起来是一个枯燥的令人畏缩的任务,但它必须执行。



Kevin Beaver:在这个阶段,你应该按照你们公司的突发事件反应计划进行工作,并按照它包含的每一个步骤详细执行,最终消灭恶意攻击,并从灾难中恢复。突发事件响应团队然后应该确定是否需要求助外部人员,或者在未来进行此项操作。



对――严重的情况是――你们公司并不存在一个突发事件应急计划。这样的话,你应该做的第一件事情不是恐慌,忙的团团转的将每一台机器都关闭。如果用户的工作站上包含有关键的信息(比如,个人的、机密的或其它敏感信息),你至少需要将它的网络连接断开,以最小化带来的损失。



如果有可能招来外频顾问或者法律实施进行正式的调查,你所做的就只是简单的将计算机的电源线拔掉(不要使用系统内置的关机,而是直接切断电源),这是最好的操作过程。这样做的话,没有内存、临时文件或交换文件被篡改(虽然它们可能在这种暴力关机中被损坏),然后使用工具镜像整个磁盘,以便能够进行调查。



Tony Bradley:我所做的第一件事情是确认防病毒软件现在是否正在运行。我还需要运行Microsoft Baseline Security Analyzer (MBSA,_gci1008465,00.html">http://searchwindowssecurity.techtarget.com/tip/1,289483,sid45_gci1008465,00.html)或者类似的工具检查所有需要的补丁是否已经安装。



当连接断线时,使用ping命令ping Internet网关的地址和主DNS服务器的地址,能够帮助我们确定机器是否仍然能够与它们通信。很又可能是DNS服务器出现或者这台机器到