computer 版 (精华区)

发信人: neverbw (浪子~期待黑色七月), 信区: network
标  题: 系统被入侵后的恢复(1)
发信站: 听涛站 (2001年10月03日15:03:45 星期三), 站内信件

准备工作
一、商讨安全策略
　　如果你的组织没有自己的安全策略，那么需要按照以下步骤建立自己的安全策略：

1.和管理人员协商
　　将入侵事故通知管理人员，可能在有的组织中很重要。在be aware进行事故恢复的
时候，网络管理人员能够得到内部各部门的配合。也应该明白入侵可能引起传媒的注意
。
2.和法律顾问协商
　　在开始你的恢复工作之前，你的组织需要决定是否进行法律调查。
　　注意CERT(Computer Emergency Response Team)只提供技术方面的帮助和提高网络
主机对安全事件的反应速度。它们不会提出法律方面的建议。所以，对于法律方面的问
题建议你咨询自己的法律顾问。你的法律顾问能够告诉你入侵者应该承担的法律责任(民
事的或者是刑事的)，以及有关的法律程序。
　　现在，是你决定如何处理这起事故的时候了，你可以加强自己系统的安全或者选择
报警。
　　如果你想找出入侵者是谁，建议你与管理人员协商并咨询法律顾问，看看入侵者是
否触犯了地方或者全国的法律。根据这些，你可以报案，看看警方是否愿意对此进行调
查。
　　针对与入侵事件，你应该与管理人员和法律顾问讨论以下问题：
　　如果你要追踪入侵者或者跟踪网络连接，是否会触犯法律。
　　如果你的站点已经意识到入侵但是没有采取措施阻止，要承担什么法律责任。
　　入侵者是否触犯了全国或者本地的法律。
　　是否需要进行调查。
　　是否应该报警。
3.报警
　　通常，如果你想进行任何类型的调查或者起诉入侵者，最好先跟管理人员和法律顾
问商量以下。然后通知有关执法机构。
　　一定要记住，除非执法部门的参与，否则你对入侵者进行的一切跟踪都可能是非法
的。
4.知会其他有关人员
　　除了管理者和法律顾问之外，你还需要通知你的恢复工作可能影响到的人员，例如
其他网络管理人员和用户。
二、记录恢复过程中所有的步骤
　　毫不夸张地讲，记录恢复过程中你采取的每一步措施，是非常重要的。恢复一个被
侵入的系统是一件很麻烦的事，要耗费大量的时间，因此经常会使人作出一些草率的决
定。记录自己所做的每一步可以帮助你避免作出草率的决定，还可以留作以后的参考。
记录还可能对法律调查提供帮助。
夺回对系统的控制权
一、将被侵入的系统从网络上断开
　　为了夺回对被侵入系统的控制权，你需要将其从网络上断开，包括播号连接。断开
以后，你可能想进入UNIX系统的单用户模式或者NT的本地管理者(local administrator
)模式，以夺回系统控制权。然而，重启或者切换到单用户/本地管理者模式，会丢失一
些有用的信息，因为被侵入系统当前运行的所有进程都会被杀死。
　　因此，你可能需要进入“检查网络嗅探器”一节，以确定被侵入的系统是否有网络
嗅探器正在运行。
　　在对系统进行恢复的过程中，如果系统处于UNIX单用户模式下，会阻止用户、入侵
者和入侵进程对系统的访问或者切换主机的运行状态。
　　如果在恢复过程中，没有断开被侵入系统和网络的连接，在你进行恢复的过程中，
入侵者就可能连接到你的主机，破坏你的恢复工作。
二、复制一份被侵入系统的影象
　　在进行入侵分析之前，建议你备份被侵入的系统。以后，你可能会用得着。
　　如果有一个相同大小和类型的硬盘，你就可以使用UNIX命令dd将被侵入系统复制到
这个硬盘。
　　例如，在一个有两个SCSI硬盘的Linux系统，以下命令将在相同大小和类型的备份硬
盘(/dev/sdb)上复制被侵入系统(在/dev/sda盘上)的一个精确拷贝。
# dd if=/dev/sda of=/dev/sdb
　　还有一些其它的方法备份被侵入的系统。在NT系统中没有类似于dd的内置命令，你
可以使用一些第三方的程序复制被侵入系统的整个硬盘影象。
　　建立一个备份非常重要，你可能会需要将系统恢复到侵入刚被发现时的状态。它对
法律调查可能有帮助。记录下备份的卷标、标志和日期，然后保存到一个安全的地方以
保持数据的完整性。
入侵分析
　　现在你可以审查日志文件和系统配置文件了，检查入侵的蛛丝马迹，入侵者对系统
的修改，和系统配置的脆弱性。
一、检查入侵者对系统软件和配置文件的修改
　　校验系统中所有的二进制文件
　　在检查入侵者对系统软件和配置文件的修改时，一定要记住:你使用的校验工具本身
可能已经被修改过，操作系统的内核也有可能被修改了，这非常普遍。因此，建议你使
用一个可信任的内核启动系统，而且你使用的所有分析工具都应该是干净的。对于UNIX
系统，你可以通过建立一个启动盘，然后对其写保护来获得一个可以信赖的操作系统内
核。
　　你应该彻底检查所有的系统二进制文件，把它们与原始发布介质(例如光盘)做比较
。因为现在已经发现了大量的特洛伊木马二进制文件，攻击者可以安装到系统中。
　　在UNIX系统上，通常有如下的二进制文件会被特洛伊木马代替：telnet、in.telne
td、login、su、ftp、ls、ps、netstat、ifconfig、find、du、df、libc、sync、ine
td和syslogd。除此之外，你还需要检查所有被/etc/inetd.conf文件引用的文件，重要
的网络和系统程序以及共享库文件。
　　在NT系统上。特洛伊木马通常会传播病毒，或者所谓的"远程管理程序"，例如Back
 Orifice和NetBus。特洛伊木马会取代处理网络连接的一些系统文件。
　　一些木马程序具有和原始二进制文件相同的时间戳和sum校验值，通过校验和无法判
断文件是否被修改。因此，对于UNIX系统，我们建议你使用cmp程序直接把系统中的二进
制文件和原始发布介质上对应的文件进行比较。
　　你还可以选择另一种方法检查可疑的二进制文件。向供应商索取其发布的二进制文
件的MD5校验值，然后使用MD5校验值对可疑的二进制文件进行检查。这种方法适用于UN
IX和NT。


--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]