当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 判断你的用户是否真的被黑客攻击(2)

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

安全基础 中的 判断你的用户是否真的被黑客攻击(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 36 ::
收藏到网摘: n/a

你被黑了:第一阶段――分析



Lawrence Abrams:在发现和分析阶段,第一件要做的事情是冻结笔记本电脑,以使感染不被扩散,并且数据和证据不致

被破坏和丢失。在事件中,笔记本是法庭上需要的必要的证据,在分析它硬盘上的任何数据之前,你必须采取正确的步骤。



首先立即拔掉网线,并切断电脑的电源(不要使用系统内置的关机,而是直接切断)。然后,使用字节对字节的拷贝工具,比如EnCase(http://www.guidancesoftware.com/),FTK Imager(http://www.accessdata.com/ftkuser/imager.htm),
WinHex(http://www.x-ways.net/winhex/index-m.html)或者可以在Helix Linux CD(http://www.e-fense.com/helix/index2.html)上
找到的图形界面的dd gui,将硬盘上的数据从被感染的笔记本电脑镜像到备用笔记本电脑上。现在,你拥有了法庭上承认的笔记本电脑拷贝,将原始的笔记本电脑锁定,直到你需要在法庭上出具证据时才能再启动它。



一旦数据被转移到备用笔记本电脑,下一步就是辨认感染的工作。在所描述的问题场景中,我所做的第一步是下载从Foundstone
下载Fport(http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm),并且再从http://www.spywareinfo.com/~merijn/下载HijackThis,然后在电脑上运行获得大概的情况。Fport将给出哪个程序打开了哪个IP端口,HijackThis则将告诉你有哪些程序在随着Windows启动而运行。然后使用Netstat(http://www.analogx.com/contents/download/network/nsl.htm),你能够看到这台计算机正在尝试连接网络上的其它机器,并感染它们。



Kevin Beaver:这个用户的电脑很又可能被黑或者感染了某种类型的恶意软件。



Tony Bradley:在所描述的问题中,描述了一些可疑的活动,但是在场景中只提供了一部分的信息,这很难判断此活动是恶意攻击还是只是一些小问题。



你被黑了:第二阶段――立即响应



Lawrence Abrams:使用在分析阶段找到的信息,你应该巩固企业_blank">防火墙的规则,禁止被感染机器可能访问的那些端口,将网络分为不同的部分,或者与外部网络隔离。



由于AIM(AOL即时聊天工具)还能够运行,因此病毒很可能会将自己插入聊天信息中,并希望能够借助此信息传播,当收到消息的人点击其中的连接时,他们就可能中毒了。为减轻这种危险,你需要马上在网络中封掉5190端口(AIM使用的端口)。并且马上发一封邮件给所有人,让他们关闭即时聊天软件也是合情合理的,而相对孤立的网络部分,没有被感染的风险。



如果他们被SDBot/RBot
(_gci211699,00.html">http://searchwindowssecurity.techtarget.com/sDefinition/0,290660,sid45_gci211699,00.html)或者其它的恶意后门软件感染,你应该立即封禁出站端口6666和6667,除去从外部IRC服务器可能执行的命令。



使用_blank">防火墙日志,你应该能够确定这些机器是否符合你的过滤要求,并且为清除其中的巨大威胁做好准备。粗略的使用类似Fport之类的程序扫描对每台电脑都是必要的,它对发现感染非常有用,不过这看起来是一个枯燥的令人畏缩的任务,但它必须执行。



Kevin Beaver:在这个阶段,你应该按照你们公司的突发事件反应计划进行工作,并按照它包含的每一个步骤详细执行,最终消灭恶意攻击,并从灾难中恢复。突发事件响应团队然后应该确定是否需要求助外部人员,或者在未来进行此项操作。



对――严重的情况是――你们公司并不存在一个突发事件应急计划。这样的话,你应该做的第一件事情不是恐慌,忙的团团转的将每一台机器都关闭。如果用户的工作站上包含有关键的信息(比如,个人的、机密的或其它敏感信息),你至少需要将它的网络连接断开,以最小化带来的损失。



如果有可能招来外频顾问或者法律实施进行正式的调查,你所做的就只是简单的将计算机的电源线拔掉(不要使用系统内置的关机,而是直接切断电源),这是最好的操作过程。这样做的话,没有内存、临时文件或交换文件被篡改(虽然它们可能在这种暴力关机中被损坏),然后使用工具镜像整个磁盘,以便能够进行调查。



Tony Bradley:我所做的第一件事情是确认防病毒软件现在是否正在运行。我还需要运行Microsoft Baseline Security Analyzer (MBSA,_gci1008465,00.html">http://searchwindowssecurity.techtarget.com/tip/1,289483,sid45_gci1008465,00.html)或者类似的工具检查所有需要的补丁是否已经安装。



当连接断线时,使用ping命令ping Internet网关的地址和主DNS服务器的地址,能够帮助我们确定机器是否仍然能够与它们通信。很又可能是DNS服务器出现或者这台机器到