用户登录  |  傲看软件园 用户注册
文章中心广告代码ASP源码PHP源码JSP源码.NET源码源码相关傲看留言板繁體中文
当前位置:傲看软件园文章中心电脑安全安防业界

被入侵系统恢复指南(3)

减小字体 增大字体 作者:郁郁小蝎  来源:中国站长学院  发布时间:2008-10-20 20:08:23
7.检查涉及到的或者受到威胁的远程站点
  在审查日志文件、入侵程序的输出文件和系统被侵入以来被修改的和新建立的文件时,要注意哪些站点可能会连接到被侵入的系统。根据经验那些连接到被侵入主机的站点,通常已经被侵入了。所以要尽快找出其它可能遭到入侵的系统,通知其管理人员。
D.通知相关的CSIRT和其它被涉及的站点
1.事故报告
  入侵者通常会使用被侵入的帐户或者主机发动对其它站点的攻击。如果你发现针对其它站点的入侵活动,建议你马上和这些站点联络。告诉他们你发现的入侵征兆,建议他们检查自己的系统是否被侵入,以及如何防护。要尽可能告诉他们所有的细节,包括:日期/时间戳、时区,以及他们需要的信息。
  你还可以向CERT(计算机紧急反应组)提交事故报告,从他们那里的到一些恢复建议。
  中国大陆地区的网址是:
http://www.cert.org.cn
2.与CERT调节中心联系
  你还可以填写一份事故报告表,使用电子邮件发送http://www.cert.org,从那里可以得到更多帮助。CERT会根据事故报告表对攻击趋势进行分析,将分析结果总结到他们的安全建议和安全总结,从而防止攻击的蔓延。可以从以下网址获得事故报告表:
http://www.cert.org/ftp/incident_reporting_form
3.获得受牵连站点的联系信息
  如果你需要获得顶级域名(.com、.edu、.net、.org等)的联系信息,建议你使用interNIC的whois数据库。
http://rs.internic.net/whois.html
  如果你想要获得登记者的确切信息,请使用interNIC的登记者目录:
http://rs.internic.net/origin.html
  想获得亚太地区和澳洲的联系信息,请查询:
http://www.apnic.net/apnic-bin/whois.pl
http://www.aunic.net/cgi-bin/whois.aunic
  如果你需要其它事故反应组的联系信息,请查阅FIRST(Forum of Incident Response and Security Teams)的联系列表:
http://www.first.org/team-info/
  要获得其它的联系信息,请参考:
http://www.cert.org/tech_tips/finding_site_contacts.html
  建议你和卷入入侵活动的主机联系时,不要发信给root或者postmaster。因为一旦这些主机已经被侵入,入侵者就可能获得了超级用户的权限,就可能读到或者拦截送到的e-mail。
E.恢复系统
1.安装干净的操作系统版本
  一定要记住如果主机被侵入,系统中的任何东西都可能被攻击者修改过了,包括:内核、二进制可执行文件、数据文件、正在运行的进程以及内存。通常,需要从发布介质上重装操作系统,然后在重新连接到网络上之前,安装所有的安全补丁,只有这样才会使系统不受后门和攻击者的影响。只是找出并修补被攻击者利用的安全缺陷是不够的。
  我们建议你使用干净的备份程序备份整个系统。然后重装系统。
2.取消不必要的服务
  只配置系统要提供的服务,取消那些没有必要的服务。检查并确信其配置文件没有脆弱性以及该服务是否可靠。通常,最保守的策略是取消所有的服务,只启动你需要的服务。
3.安装供应商提供的所有补丁
  我们强烈建议你安装了所有的安全补丁,要使你的系统能够抵御外来攻击,不被再次侵入,这是最重要的一步。
  你应该关注所有针对自己系统的升级和补丁信息。
4.查阅CERT的安全建议、安全总结和供应商的安全提示
  我们鼓励你查阅CERT以前的安全建议和总结,以及供应商的安全提示,一定要安装所有的安全补丁。
  CERT安全建议:
http://www.cert.org/advisories/
  CERT安全总结:
http://www.cert.org/advisories/
  供应商安全提示:
ftp://ftp.cert.org/pub/cert_bulletins/
5.谨慎使用备份数据
  在从备份中恢复数据时,要确信备份主机没有被侵入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。如果你只是恢复用户的home目录以及数据文件,请记住文件中可能藏有特洛伊木马程序。你还要注意用户起始目录下的.rhost文件。
6.改变密码
  在弥补了安全漏洞或者解决了配置问题以后,建议你改变系统中所有帐户的密码。一定要确信所有帐户的密码都不容易被猜到。你可能需要使用供应商提供的或者第三方的工具加强密码的安全。
  澳大利亚CERT发表了一篇choosing good passwords的文章,可以帮助你选择良好的密码。
F.加强系统和网络的安全
1.根据CERT的UNIX/NT配置指南检查系统的安全性
  CERT的UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。
http://www.cert.org/tech_tips/unix_configuration_guidelines.html
http://www.cert.org/tech_tips/win_configuration_guidelines.html
  查阅安全工具文档可以参考以下文章,决定使用的安全工具。
http://www.cert.org/tech_tips/security_tools.html
2.安装安全工具
  在将系统连接到网络上之前,一定要安装所有选择的安全工具。同时,最好使用Tripwire、aide等工具对系统文件进行MD5校验,把校验码放到安全的地方,以便以后对系统进行检查。
3.打开日志
  启动日志(logging)/检查(auditing)/记帐(accounting)程序,将它们设置到准确的级别,例如sendmail日志应该是9级或者更高。经常备份你的日志文件,或者将日志写到另外的机器、一个只能增加的文件系统或者一个安全的日志主机。
4.配置防火墙对网络进行防御
  现在有关防火墙的配置文章很多,在此就不一一列举了。你也可以参考:
http://www.cert.org/tech_tips/packet_filtering.html
G.重新连接到Internet全
  完成以上步骤以后,你就可以把系统连接回Internet了。
H.升级你的安全策略
  CERT调节中心建议每个站点都要有自己的计算机安全策略。每个组织都有自己特殊的文化和安全需求,因此需要根据自己的情况指定安全策略。关于这一点请参考RFC2196站点安全手册:
ftp://ftp.isi.edu/in-notes/rfc2196.txt
1.总结教训
  从记录中总结出对于这起事故的教训,这有助于你检讨自己的安全策略。
2.计算事故的代价
  许多组织只有在付出了很大代价以后才会改进自己的安全策略。计算事故的代价有助于让你的组织认识到安全的重要性。而且可以让管理者认识到安全有多么重要。
3.改进你的安全策略
  最后一步是对你的安全策略进行修改。所做的修改要让组织内的所有成员都知道,还要让他们知道对他们的影响。

Tags:

作者:郁郁小蝎

文章评论评论内容只代表网友观点,与本站立场无关!

   评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论

精品栏目导航

关于本站 | 网站帮助 | 广告合作 | 下载声明 | 友情连接 | 网站地图
冀ICP备08004437号 | 客服Q:354766721 | 交流群83228313
傲看软件园 - 绿色软件,破解软件下载站! 源码网 源码之家 绿软之家
Copyright © 2003-2010 OkHan.Net. All Rights Reserved .
页面执行时间:5,375.00000 毫秒
Powered by:OkHan CMS Version 4.0.0 SP2