当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 被入侵系统的恢复指南(8)

安全防护
2003服务器防止海洋木马的安全设置(1)
2003服务器防止海洋木马的安全设置(2)
2003服务器防止海洋木马的安全设置(3)
加固脆弱的IIS服务
linux操作系统的优化及安全配置(1)
linux操作系统的优化及安全配置(2)
linux操作系统的优化及安全配置(3)
Server2003 DNS服务安装篇(2)
Server2003 DNS服务安装篇(3)
Server2003 DNS服务安装篇(4)
WindowsServer2003安全事件ID分析(1)
WindowsServer2003安全事件ID分析(2)
打造安全的Windows 2003系统(5)
Win2003 Server手动设置全攻略(1)
Win2003 Server手动设置全攻略(2)
Win2003 Server手动设置全攻略(3)
Win2003 Server手动设置全攻略(4)
搜索型注入之我看
为Windows 2003安全—层层设防(1)
为Windows 2003安全—层层设防(2)

安全防护 中的 被入侵系统的恢复指南(8)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 53 ::
收藏到网摘: n/a

D.通知相关的CSIRT和其它被涉及的站点

1.事故报告

  入侵者通常会使用被侵入的帐户或者主机发动对其它站点的攻击。如果你发现针对其它站点的入侵活动,建议你马上和这些站点联络。告诉他们你发现的入侵征兆,建议他们检查自己的系统是否被侵入,以及如何防护。要尽可能告诉他们所有的细节,包括:日期/时间戳、时区,以及他们需要的信息。

  你还可以向CERT(计算机紧急反应组)提交事故报告,从他们那里的到一些恢复建议。

  中国大陆地区的网址是:

http://www.cert.org.cn

2.与CERT调节中心联系

  你还可以填写一份事故报告表,使用电子邮件发送到http://www.cert.org,从那里可以得到更多帮助。CERT会根据事故报告表对攻击趋势进行分析,将分析结果总结到他们的安全建议和安全总结,从而防止攻击的蔓延。可以从以下网址获得事故报告表:

http://www.cert.org/ftp/incident_reporting_form

3.获得受牵连站点的联系信息

  如果你需要获得顶级域名(.com、.edu、.net、.org等)的联系信息,建议你使用interNIC的whois数据库。

http://rs.internic.net/whois.html

  如果你想要获得登记者的确切信息,请使用interNIC的登记者目录:

http://rs.internic.net/origin.html

  想获得亚太地区和澳洲的联系信息,请查询:

http://www.apnic.net/apnic-bin/whois.pl

http://www.aunic.net/cgi-bin/whois.aunic

  如果你需要其它事故反应组的联系信息,请查阅FIRST(Forum of Incident Response and Security Teams)的联系列表:

http://www.first.org/team-info/

  要获得其它的联系信息,请参考:

http://www.cert.org/tech_tips/finding_site_contacts.html

  建议你和卷入入侵活动的主机联系时,不要发信给root或者postmaster。因为一旦这些主机已经被侵入,入侵者就可能获得了超级用户的权限,就可能读到或者拦截送到的e-mail。