管理員需要參考的當服務器被入侵后的緊急補救方法
2024-09-10 14:19:24
供稿:網友
近日有很多站長服務器被入侵,被入侵后真是措手不及啊,“站長安全網”Jack為大家分析服務器被入侵前后的一些細節和處理方式,希望能為大家祈禱拋磚引玉的作用,若有說錯指出還請見諒。 攻擊者入侵某個系統,總是由某個主要目的所驅使的。例如炫耀技術,得到企業機密數據,破壞企業正常的業務流程等等,有時也有可能在入侵后,攻擊者的攻擊行為,由某種目的變成了另一種目的,例如,本來是炫耀技術,但在進入系統后,發現了一些重要的機密數據,由于利益的驅使,攻擊者最終竊取了這些機密數據。
而攻擊者入侵系統的目的不同,使用的攻擊方法也會不同,所造成的影響范圍和損失也就不會相同。因此,在處理不同的系統入侵事件時,就應當對癥下藥,不同的系統入侵類型,應當以不同的處理方法來解決,這樣,才有可能做到有的放矢,達到最佳的處理效果。
一、 以炫耀技術目的的系統入侵恢復
有一部分攻擊者入侵系統的目的,只是為了向同行或其他人炫耀其高超的網絡技術,或者是為了實驗某個系統漏洞而進行的系統入侵活動。對于這類系統入侵事件,攻擊者一般會在被入侵的系統中留下一些證據來證明他已經成功入侵了這個系統,有時還會在互聯網上的某個論壇中公布他的入侵成果,例如攻擊者入侵的是一臺 WEB服務器,他們就會通過更改此WEB站點的首頁信息來說明自己已經入侵了這個系統,或者會通過安裝后門的方式,使被入侵的系統成他的肉雞,然后公然出售或在某些論壇上公布,以宣告自己已經入侵了某系統。也就是說,我們可以將這種類型的系統入侵再細分為以控制系統為目的的系統入侵和修改服務內容為目的的系統入侵。
對于以修改服務內容為目的的系統入侵活動,可以不需要停機就可改完成系統恢復工作。
1.應當采用的處理方式
(1)、建立被入侵系統當前完整系統快照,或只保存被修改部分的快照,以便事后分析和留作證據。
(2)、立即通過備份恢復被修改的網頁。
(3)、在Windows系統下,通過網絡監控軟件或“netstat -an”命令來查看系統目前的網絡連接情況,如果發現不正常的網絡連接,應當立即斷開與它的連接。然后通過查看系統進程、服務和分析系統和服務的日志文件,來檢查系統攻擊者在系統中還做了什么樣的操作,以便做相應的恢復。
(4)、通過分析系統日志文件,或者通過弱點檢測工具來了解攻擊者入侵系統所利用的漏洞。如果攻擊者是利用系統或網絡應用程序的漏洞來入侵系統的,那么,就應當尋找相應的系統或應用程序漏洞補丁來修補它,如果目前還沒有這些漏洞的相關補丁,我們就應當使用其它的手段來暫時防范再次利用這些漏洞的入侵活動。如果攻擊者是利用其它方式,例如社會工程方式入侵系統的,而檢查系統中不存在新的漏洞,那么就可以不必做這一個步驟,而必需對社會工程攻擊實施的對象進行了解和培訓。
(5)、修復系統或應用程序漏洞后,還應當添加相應的防火墻規則來防止此類事件的再次發生,如果安裝有IDS/IPS和殺毒軟件,還應當升級它們的特征庫。
(6)、最后,使用系統或相應的應用程序檢測軟件對系統或服務進行一次徹底的弱點檢測,在檢測之前要確保其檢測特征庫是最新的。所有工作完成后,還應當在后續的一段時間內,安排專人對此系統進行實時監控,以確信系統已經不會再次被此類入侵事件攻擊。
如果攻擊者攻擊系統是為了控制系統成為肉雞,那么,他們為了能夠長期控制系統,就會在系統中安裝相應的后門程序。同時,為了防止被系統用戶或管理員發現,攻擊者就會千方百計地隱藏他在系統中的操作痕跡,以及隱藏他所安裝的后門。
因而,我們只能通過查看系統進程、網絡連接狀況和端口使用情況來了解系統是否已經被攻擊者控制,如果確定系統已經成為了攻擊者的肉雞,那么就應當按下列方式來進行入侵恢復:
