当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 被入侵系统的恢复指南(2)

安全防护
如何正确预防网页中的5种“隐形杀手”
cpu散热技巧方法和六大误区
隐患起于灰尘!机箱内部风扇清理有妙招
电源常见故障判断分析与排除
主板常见故障分类及排除方法
绝杀病毒木马的好工具:ESET NOD32
三种方法解决IIS6目录检查漏洞
硬盘坏道故障实例解决
做好防范措施 让你的MP3拒绝病毒的入侵
彻底查杀网页病毒 断绝一切安全隐患
移动安全之手机病毒入侵的解决
中国PC用户个人上网十则网络安全指南
如何使tcp包和udp包穿透网络防火墙
细说iexplore.exe是进程还是病毒
如何用网络入侵检测系统防范黑客攻击
对Autorun.inf类U盘病毒的攻防经验总结
护花使者:远程修复MM的受损系统
绕过主动防御 木马病毒刺穿卡巴斯基
脚本图片类后门病毒的完美使用方法
QQ盗号木马USBINE.SYS暂时解决方法

安全防护 中的 被入侵系统的恢复指南(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 40 ::
收藏到网摘: n/a

1.3.报警

  通常,如果你想进行任何类型的调查或者起诉入侵者,最好先跟管理人员和法律顾问商量以下。然后通知有关执法机构。

  一定要记住,除非执法部门的参与,否则你对入侵者进行的一切跟踪都可能是非法的。

1.4.知会其他有关人员

  除了管理者和法律顾问之外,你还需要通知你的恢复工作可能影响到的人员,例如其他网络管理人员和用户。

2.记录恢复过程中所有的步骤

  毫不夸张地讲,记录恢复过程中你采取的每一步措施,是非常重要的。恢复一个被侵入的系统是一件很麻烦的事,要耗费大量的时间,因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定,还可以留作以后的参考。记录还可能对法律调查提供帮助。

B.夺回对系统的控制权

1.将被侵入的系统从网络上断开

  为了夺回对被侵入系统的控制权,你需要将其从网络上断开,包括播号连接。断开以后,你可能想进入UNIX系统的单用户模式或者NT的本地管理者(local administrator)模式,以夺回系统控制权。然而,重启或者切换到单用户/本地管理者模式,会丢失一些有用的信息,因为被侵入系统当前运行的所有进程都会被杀死。

  因此,你可能需要进入C.5.检查网络嗅探器节,以确定被侵入的系统是否有网络嗅探器正在运行。

  在对系统进行恢复的过程中,如果系统处于UNIX单用户模式下,会阻止用户、入侵者和入侵进程对系统的访问或者切换主机的运行状态。

如果在恢复过程中,没有断开被侵入系统和网络的连接,在你进行恢复的过程中,入侵者就可能连接到你的主机,破坏你的恢复工作。

2.复制一份被侵入系统的影象

  在进行入侵分析之前,建议你备份被侵入的系统。以后,你可能会用得着。

  如果有一个相同大小和类型的硬盘,你就可以使用UNIX命令dd将被侵入系统复制到这个硬盘。

  例如,在一个有两个SCSI硬盘的Linux系统,以下命令将在相同大小和类型的备份硬盘(/dev/sdb)上复制被侵入系统(在/dev/sda盘上)的一个精确拷贝。

# dd if=/dev/sda of=/dev/sdb

  请阅读dd命令的手册页获得这个命令更详细的信息。

  还有一些其它的方法备份被侵入的系统。在NT系统中没有类似于dd的内置命令,你可以使用一些第三方的程序复制被侵入系统的整个硬盘影象。

  建立一个备份非常重要,你可能会需要将系统恢复到侵入刚被发现时的状态。它对法律调查可能有帮助。记录下备份的卷标、标志和日期,然后保存到一个安全的地方以保持数据的完整性。