返回
电脑被入侵之后该怎麼办.doc

电脑被入侵之后该怎麼办.doc

ID:28739053

大小:28.50 KB

页数:4页

时间:2018-12-13

电脑被入侵之后该怎麼办.doc_第1页
电脑被入侵之后该怎麼办.doc_第2页
电脑被入侵之后该怎麼办.doc_第3页
电脑被入侵之后该怎麼办.doc_第4页
资源描述:

《电脑被入侵之后该怎麼办.doc》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、電腦被入侵之後該怎麼辦一旦發現電腦被入侵了,有許多方法可以搶救‧關於被侵入後最好的復原方法,各門各派的理論並不一致‧以下所論述的是我們的偏好,但不見得適用於所有環境與需求‧防止災害擴大要阻止駭客繼續危害我們的系統,最穩當的方法是很激烈但很有效的:1.關掉所有網路介面〈乙太網路、PPP、ISDN等等〉‧這樣可以讓駭客無法再接觸到你的電腦,但其他行程依舊運作‧2.將系統切換成單一使用者模式‧關掉所有root正常的行程,也關掉一般使用者所有的行程,剩下的就是駭客的行程了‧3.用未污染的Linux可開機磁碟片〈或CD-ROM〉重新啟動系統‧如此你就可以檢查系統哪些部分

2、遭到竄改‧4.展開一連串損害控制步驟‧估計損害程度一旦用未受污染的Linux可開機磁碟片啟動系統之後,你就可以仔細搜索你系統上的磁碟‧為了避免無法追蹤駭客的行縱,你應該可以唯讀的模式掛載〈mount〉所有磁碟分割‧仔細紀錄你所發現的任何事物,才能在稍後徹底清理乾淨‧發現可疑的檔案/目錄尋找所有包含密碼檔、或駭客工具的目錄,以及任何不是你擺置的東西‧如果你沒有利用軟體開機,你可能無法發現他們‧找出新增的setXid程式任何新增的setXid程式都是非常可疑的,尤其是屬於root的‧檢查時戳雖然這不是可靠的方法,但是檢查看看在可能被入侵之後,有哪些檔案被更動過,或

3、許會給你一些頭緒‧讀取紀錄檔檢查所有紀錄檔,以判斷駭客可能侵入的入口‧你或許可以利用分析工具輔助,但你應該用人工瀏覽過所有紀錄檔〈尤其是你所懷疑的時間點附近及之後的紀錄〉,以防你的分析工具忽略了重要的線索‧如果你有syslog伺服器,你可以比較本機上的紀錄與伺服器上的紀錄是否一致‧檢驗檢查碼檢驗一下你所安裝過的程式之檢查碼‧你最好也比較一下在遭入侵前後的檢查碼資料庫是否一致‧手動檢查設定檔快速瀏覽所有設定檔,你就可以發現不當的更動‧例如網頁伺服器程式被改成以root執行,或者/etc/inetd.conf多出新的服務‧備份你的檔案將你的檔案備份到磁碟或光碟‧不

4、然,連上網路然後將檔案傳送到另一台機器,但你要確保沒有任何伺服器程式可以被駭客接觸到‧特殊工具有一些特殊工具可以幫助你檢視你的系統‧最近有一個蠻不錯的工具套件,是由DanFarmer與WietseVenema所寫的CoronersToolkit〈http://www.fish.com/tcp/〉‧他可以透過「盜墓者〈grave-robber〉」script檢查你的系統,產生大量的輸出結果,或者掃描磁碟裝置上「未使用」的節區,幫你找尋被刪除的檔案‧通知專家讓專家了解你被入侵的事實,他們可以了解問題,並且發出警告,可以防止其他人遭到相同攻擊‧恢復連線在了解你系統如

5、何被侵入後,你有兩條路可以走:補強漏洞然後恢復系統運作,或者完全重灌你的系統‧最安全的方法當然是後者‧補強漏洞然後恢復系統運作當然是又快又簡單的方法‧但是,你永遠不能肯定知道駭客到底動過哪些手腳‧駭客可能安裝了定時炸彈,幾個月之後才會發生作用‧他或許更動了某個二進位檔,雖然你的系統依然可以運作,但是或許會比較不穩定‧但是,我們認為徹底趕出駭客「最好」的方法如下:1.將你重要的檔案備份起來‧2.將你的電腦裝置完全清理乾淨‧〈這也是你做軟硬體變更的好機會,例如增加磁碟機、重新切割磁碟分割大小等等〉3.重新安裝Linux,只包含絕對必要的東西‧4.針對你已安裝的pa

6、ckage,安裝其更新程式‧5.對你的系統製作檢查碼,並且存放在安全的地方‧6.手動變更必要的設定檔‧不要偷懶的從備份複製過來,因為那可能已經被竄改過‧7.將必要的檔案從備份複製過來‧8.再次檢查被備份複製過來的檔案,看看是否有被駭客入侵的痕跡‧9.再次為檔案系統製作檢查碼‧10.首度重新打開網路介面‧這絕對不是災後復建最快速的方法,但是卻是確保系統安全的最佳途徑‧實務考量有很多因素會使得上述的步驟窒礙難行,因此必須做一些務實的修正‧停機過長依照上述的步驟,你得花上一天以上的時間,才能夠完成調查、備份、安裝、恢復等等工作‧這完全無法滿足目前高使用率的要求‧相反

7、的,你可能會希望備用機器立刻遞補被入侵的機器,接替它的功能,然後再設法清除駭客所留下的損害‧找出真兇上述的步驟並沒有考慮到要找出攻擊者的身分‧或許你的機器上留有足夠的證據,可以讓駭客繩之以法,不過如果能以現行犯的身分逮到他會更好,所以你可能會按兵不動,讓駭客有機會繼續存取你的電腦,然後請有關單位來追蹤入侵者‧如果駭客發覺或懷疑自己已經現行了,大部分都會逃之夭夭‧未排除的危險如果沒有查出入侵的來龍去脈,重新安裝系統並不會讓系統更強壯‧安全社群可能還不知道這個潛在的安全缺失,而你也可能又安裝同一個漏洞百出的軟體‧保密原則你的公司或許有明定保密法則,規定哪些能公開,

8、而哪些必須要保密‧例如,一個大型銀行一

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。