网站首页/网络技术列表/内容

判断你的用户是否真的被黑客攻击(2)

网络技术2021-02-28阅读
网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。

你被黑了:第一阶段――分析



Lawrence Abrams:在发现和分析阶段,第一件要做的事情是冻结笔记本电脑,以使感染不被扩散,并且数据和证据不致

被破坏和丢失。在事件中,笔记本是法庭上需要的必要的证据,在分析它硬盘上的任何数据之前,你必须采取正确的步骤。



首先立即拔掉网线,并切断电脑的电源(不要使用系统内置的关机,而是直接切断)。然后,使用字节对字节的拷贝工具,比如EnCase(http://www.guidancesoftware.com/),FTK Imager(http://www.accessdata.com/ftkuser/imager.htm),
WinHex(http://www.x-ways.net/winhex/index-m.html)或者可以在Helix Linux CD(http://www.e-fense.com/helix/index2.html)上
找到的图形界面的dd gui,将硬盘上的数据从被感染的笔记本电脑镜像到备用笔记本电脑上。现在,你拥有了法庭上承认的笔记本电脑拷贝,将原始的笔记本电脑锁定,直到你需要在法庭上出具证据时才能再启动它。



一旦数据被转移到备用笔记本电脑,下一步就是辨认感染的工作。在所描述的问题场景中,我所做的第一步是下载从Foundstone
下载Fport(http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm),并且再从http://www.spywareinfo.com/~merijn/下载HijackThis,然后在电脑上运行获得大概的情况。Fport将给出哪个程序打开了哪个IP端口,HijackThis则将告诉你有哪些程序在随着Windows启动而运行。然后使用Netstat(http://www.analogx.com/contents/download/network/nsl.htm),你能够看到这台计算机正在尝试连接网络上的其它机器,并感染它们。



Kevin Beaver:这个用户的电脑很又可能被黑或者感染了某种类型的恶意软件。



Tony Bradley:在所描述的问题中,描述了一些可疑的活动,但是在场景中只提供了一部分的信息,这很难判断此活动是恶意攻击还是只是一些小问题。



你被黑了:第二阶段――立即响应



Lawrence Abrams:使用在分析阶段找到的信息,你应该巩固企业_blank">防火墙的规则,禁止被感染机器可能访问的那些端口,将网络分为不同的部分,或者与外部网络隔离。



由于AIM(AOL即时聊天工具)还能够运行,因此病毒很可能会将自己插入聊天信息中,并希望能够借助此信息传播,当收到消息的人点击其中的连接时,他们就可能中毒了。为减轻这种危险,你需要马上在网络中封掉5190端口(AIM使用的端口)。并且马上发一封邮件给所有人,让他们关闭即时聊天软件也是合情合理的,而相对孤立的网络部分,没有被感染的风险。



如果他们被SDBot/RBot
(_gci211699,00.html">http://searchwindowssecurity.techtarget.com/sDefinition/0,290660,sid45_gci211699,00.html)或者其它的恶意后门软件感染,你应该立即封禁出站端口6666和6667,除去从外部IRC服务器可能执行的命令。



使用_blank">防火墙日志,你应该能够确定这些机器是否符合你的过滤要求,并且为清除其中的巨大威胁做好准备。粗略的使用类似Fport之类的程序扫描对每台电脑都是必要的,它对发现感染非常有用,不过这看起来是一个枯燥的令人畏缩的任务,但它必须执行。



Kevin Beaver:在这个阶段,你应该按照你们公司的突发事件反应计划进行工作,并按照它包含的每一个步骤详细执行,最终消灭恶意攻击,并从灾难中恢复。突发事件响应团队然后应该确定是否需要求助外部人员,或者在未来进行此项操作。



对――严重的情况是――你们公司并不存在一个突发事件应急计划。这样的话,你应该做的第一件事情不是恐慌,忙的团团转的将每一台机器都关闭。如果用户的工作站上包含有关键的信息(比如,个人的、机密的或其它敏感信息),你至少需要将它的网络连接断开,以最小化带来的损失。



如果有可能招来外频顾问或者法律实施进行正式的调查,你所做的就只是简单的将计算机的电源线拔掉(不要使用系统内置的关机,而是直接切断电源),这是最好的操作过程。这样做的话,没有内存、临时文件或交换文件被篡改(虽然它们可能在这种暴力关机中被损坏),然后使用工具镜像整个磁盘,以便能够进行调查。



Tony Bradley:我所做的第一件事情是确认防病毒软件现在是否正在运行。我还需要运行Microsoft Baseline Security Analyzer (MBSA,_gci1008465,00.html">http://searchwindowssecurity.techtarget.com/tip/1,289483,sid45_gci1008465,00.html)或者类似的工具检查所有需要的补丁是否已经安装。



当连接断线时,使用ping命令ping Internet网关的地址和主DNS服务器的地址,能够帮助我们确定机器是否仍然能够与它们通信。很又可能是DNS服务器出现或者这台机器到DNS服务器的连接出现了问题。



网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。

……

标签:判断你的用户是否真的被黑客攻击(2)
相关阅读