作為網(wǎng)絡(luò)管理員,一旦發(fā)現(xiàn)本網(wǎng)服務(wù)器有被黑客入侵的跡象后,應(yīng)從以下幾個(gè)方面出發(fā)進(jìn)行處理。
1.保護(hù)證據(jù)
保護(hù)證據(jù)是網(wǎng)絡(luò)系統(tǒng)受到攻擊后應(yīng)進(jìn)行的第一項(xiàng)工作,方法上可以考慮對(duì)受到攻擊的服務(wù)器進(jìn)行鏡像處理。通過(guò)系統(tǒng)鏡像保存現(xiàn)場(chǎng),以便隨后進(jìn)行分析。
2.恢復(fù)服務(wù)
對(duì)于受到入侵的系統(tǒng),最佳的恢復(fù)服務(wù)方式為對(duì)系統(tǒng)進(jìn)行徹底重建。由于入侵者很可能在系統(tǒng)中留有后門以便于今后的再次造訪。因此對(duì)于這種十分隱蔽難以處理的隱患,只有系統(tǒng)重建方可徹底清除。
3.分析證據(jù),找出漏洞
計(jì)算機(jī)證據(jù)的來(lái)源很多,有操作系統(tǒng)中的各項(xiàng)日志,包括系統(tǒng)的審計(jì)記錄,網(wǎng)絡(luò)應(yīng)用系統(tǒng)日志,如Web和Ftp服務(wù)器日志。此外,還包括入侵檢測(cè)系統(tǒng)、防火墻和防病毒軟件等系統(tǒng)的日志記錄。
除了分析各種日志系統(tǒng)外,還要注意查找各種可能發(fā)現(xiàn)入侵者線索的證據(jù),包括操作系統(tǒng)和數(shù)據(jù)庫(kù)的臨時(shí)文件或隱藏文件、數(shù)據(jù)庫(kù)的操作記錄、硬盤驅(qū)動(dòng)的交換(swap)分區(qū)和空閑區(qū)、軟件設(shè)置、完成特定功能的腳本文件、Web瀏覽器數(shù)據(jù)緩沖區(qū)、書(shū)簽、歷史記錄或會(huì)話日志等。
只有通過(guò)分析,發(fā)現(xiàn)入侵者使用手法及利用的漏洞并加以控制,才能使系統(tǒng)的安全得到有效的保障。
4.向上級(jí)報(bào)告
根據(jù)有關(guān)的規(guī)定,逐級(jí)向上級(jí)相關(guān)部門報(bào)告并提供證據(jù),以便進(jìn)一步追查入侵者,將其繩之于法。
