当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 被入侵系统的恢复指南(8)

安全防护
如何正确预防网页中的5种“隐形杀手”
cpu散热技巧方法和六大误区
隐患起于灰尘!机箱内部风扇清理有妙招
电源常见故障判断分析与排除
主板常见故障分类及排除方法
绝杀病毒木马的好工具:ESET NOD32
三种方法解决IIS6目录检查漏洞
硬盘坏道故障实例解决
做好防范措施 让你的MP3拒绝病毒的入侵
彻底查杀网页病毒 断绝一切安全隐患
移动安全之手机病毒入侵的解决
中国PC用户个人上网十则网络安全指南
如何使tcp包和udp包穿透网络防火墙
细说iexplore.exe是进程还是病毒
如何用网络入侵检测系统防范黑客攻击
对Autorun.inf类U盘病毒的攻防经验总结
护花使者:远程修复MM的受损系统
绕过主动防御 木马病毒刺穿卡巴斯基
脚本图片类后门病毒的完美使用方法
QQ盗号木马USBINE.SYS暂时解决方法

安全防护 中的 被入侵系统的恢复指南(8)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 38 ::
收藏到网摘: n/a

D.通知相关的CSIRT和其它被涉及的站点

1.事故报告

  入侵者通常会使用被侵入的帐户或者主机发动对其它站点的攻击。如果你发现针对其它站点的入侵活动,建议你马上和这些站点联络。告诉他们你发现的入侵征兆,建议他们检查自己的系统是否被侵入,以及如何防护。要尽可能告诉他们所有的细节,包括:日期/时间戳、时区,以及他们需要的信息。

  你还可以向CERT(计算机紧急反应组)提交事故报告,从他们那里的到一些恢复建议。

  中国大陆地区的网址是:

http://www.cert.org.cn

2.与CERT调节中心联系

  你还可以填写一份事故报告表,使用电子邮件发送到http://www.cert.org,从那里可以得到更多帮助。CERT会根据事故报告表对攻击趋势进行分析,将分析结果总结到他们的安全建议和安全总结,从而防止攻击的蔓延。可以从以下网址获得事故报告表:

http://www.cert.org/ftp/incident_reporting_form

3.获得受牵连站点的联系信息

  如果你需要获得顶级域名(.com、.edu、.net、.org等)的联系信息,建议你使用interNIC的whois数据库。

http://rs.internic.net/whois.html

  如果你想要获得登记者的确切信息,请使用interNIC的登记者目录:

http://rs.internic.net/origin.html

  想获得亚太地区和澳洲的联系信息,请查询:

http://www.apnic.net/apnic-bin/whois.pl

http://www.aunic.net/cgi-bin/whois.aunic

  如果你需要其它事故反应组的联系信息,请查阅FIRST(Forum of Incident Response and Security Teams)的联系列表:

http://www.first.org/team-info/

  要获得其它的联系信息,请参考:

http://www.cert.org/tech_tips/finding_site_contacts.html

  建议你和卷入入侵活动的主机联系时,不要发信给root或者postmaster。因为一旦这些主机已经被侵入,入侵者就可能获得了超级用户的权限,就可能读到或者拦截送到的e-mail。