国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例網(wǎng)絡(luò)威脅 系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全

用戶怎樣發(fā)現(xiàn)自己計(jì)算機(jī)里的入侵者

時(shí)間:2011-05-03 15:15來(lái)源: 點(diǎn)擊:
如何及時(shí)地發(fā)現(xiàn)黑客的入侵,找到入侵者并采取有效的解決措施是非常關(guān)鍵的。用戶怎樣發(fā)現(xiàn)自己計(jì)算機(jī)里的入侵者。
Tags系統(tǒng)入侵(21)  

  如何及時(shí)地發(fā)現(xiàn)的,找到入侵者并采取有效的解決措施是非常關(guān)鍵的。本章第1、第2節(jié)將主要為你介紹網(wǎng)絡(luò)被攻擊時(shí)的異?,F(xiàn)象以及應(yīng)該采取的應(yīng)對(duì)措施;在第3節(jié)對(duì)入侵檢測(cè)的原理、用途及相關(guān)產(chǎn)品進(jìn)行了介紹,在第4節(jié)中為你提供了一些關(guān)于網(wǎng)絡(luò)安全的建議。

  如何發(fā)現(xiàn)入侵者

  系統(tǒng)被入侵而全無(wú)知曉恐怕是最糟糕的事情了,下面就將以UNIX系統(tǒng)為例告訴你如何在分析網(wǎng)絡(luò)異?,F(xiàn)象的基礎(chǔ)上確定你的網(wǎng)絡(luò)系統(tǒng)是否有入侵者。

  異常的訪問(wèn)日志

  入侵者在入侵并控制系統(tǒng)之前,往往會(huì)用掃描工具或者手動(dòng)掃描的方法來(lái)探測(cè)系統(tǒng),以獲取更多的信息。而這種掃描行為都會(huì)被系統(tǒng)服務(wù)日志記錄下來(lái)。比如:一個(gè)IP連續(xù)多次出現(xiàn)在系統(tǒng)的各種服務(wù)日志中,并試圖越漏洞;又如一個(gè)IP連續(xù)多次在同一系統(tǒng)多個(gè)服務(wù)建立了空連接,這很有可能是入侵者在搜集某個(gè)服務(wù)的版本信息。

  注意!在 UNIX 中如果有人訪問(wèn)了系統(tǒng)不必要的服務(wù)或者有嚴(yán)重安全隱患的服務(wù)比如:finger、rpc;或者在 Telnet、、 等服務(wù)日志中連續(xù)出現(xiàn)了大量的連續(xù)性失敗登錄記錄,則很有可能是入侵者在嘗試猜測(cè)系統(tǒng)的密碼。這些都是攻擊的前兆!

  網(wǎng)絡(luò)流量增大

  如果發(fā)現(xiàn)的訪問(wèn)流量突然間增大了許多,這就預(yù)示著你的系統(tǒng)有可能已經(jīng)被入侵者控制,并被入侵用來(lái)掃描和攻擊其他的服務(wù)器。事實(shí)證明,許多入侵者都是利用中介主機(jī)對(duì)遠(yuǎn)程主機(jī)進(jìn)行掃描并找出安全漏洞,然后再進(jìn)行攻擊的。而這些行為都會(huì)造成網(wǎng)絡(luò)流量突然增大。

  非法訪問(wèn)

  如果你發(fā)現(xiàn)某個(gè)用戶試圖訪問(wèn)控制并修改/etc/shadow、系統(tǒng)日志和系統(tǒng)配置文件,那么很有可能這個(gè)用戶已經(jīng)被入侵者控制,并且試圖奪取更高的權(quán)限。

  正常服務(wù)終止

  比如系統(tǒng)的日志服務(wù)突然奇怪的停掉,或你的程序突然終止,這都暗示著入侵者試圖要停掉這些有威脅的服務(wù),以避免在系統(tǒng)日志上留下“痕跡”。

  可疑的進(jìn)程或非法服務(wù)的出現(xiàn)

  系統(tǒng)中任何可疑的進(jìn)程都應(yīng)該仔細(xì)檢查,比如以root啟動(dòng)的http服務(wù),或系統(tǒng)中本來(lái)關(guān)閉的服務(wù)又重新被啟動(dòng)。這些可疑進(jìn)程和服務(wù)都有可能是入侵者啟動(dòng)的攻擊進(jìn)程、后門進(jìn)程或Sniffer進(jìn)程。

  系統(tǒng)文件或用戶

  入侵者通常會(huì)更改系統(tǒng)中的配置文件來(lái)逃避追查,或者加載后門、攻擊程序之類的軟件以方便下次進(jìn)入。比如對(duì)于UNIX而言,入侵者或修改syslog.conf文件以去掉的條目來(lái)躲避login后門的審計(jì),或修改hosts.deny、hosts.allow來(lái)解除tcpwrapper對(duì)入侵者IP的過(guò)濾;甚至增加一個(gè)條目在rc.d里面,以便系統(tǒng)啟動(dòng)的時(shí)候同時(shí)啟動(dòng)后門程序。所以被非法修改的系統(tǒng)文件或莫明其妙地增加了一個(gè)用戶等一些現(xiàn)象都意味著你的系統(tǒng)很可能被入侵者控制了。

  可疑的數(shù)據(jù)

  系統(tǒng)如果發(fā)現(xiàn)了命名為諸如空格、點(diǎn)點(diǎn)加空格、“..^M”(點(diǎn)點(diǎn)ctrl+M)、“...”(點(diǎn)點(diǎn)點(diǎn))等可疑的目錄,就需要留心了,因?yàn)槿肭终呓?jīng)常在這樣的目錄中使用和隱藏文件,如有些目錄里面可能會(huì)(特別是/tmp目錄中)出現(xiàn)掃描器產(chǎn)生的臨時(shí)文件。

------分隔線----------------------------

推薦內(nèi)容