computer 版 (精华区)

发信人: neverbw (浪子~期待黑色七月), 信区: network
标  题: 系统被入侵后的恢复(3)
发信站: 听涛站 (2001年10月03日15:06:15 星期三), 站内信件

五、检查网络嗅探器
　　入侵者侵入一个UNIX系统后，为了获得用户名和密码信息，一般会在系统上安装一
个网络监视程序，这种程序就叫作嗅探器或者数据包嗅探器。对于NT，入侵者会使用远
程管理程序实现上述目的。
　　判断系统是否被安装了嗅探器，首先要看当前是否有进程使你的网络接口处于混杂
（Promiscuous）模式下。如果任何网络接口处于promiscuous模式下，就表示可能系统
被安装了网络嗅探器。注意如果你重新启动了系统或者在单用户模式下操作，可能无法
检测到Promiscuous模式。使用ifconfig命令就可以知道系统网络接口是否处于promosc
uous模式下(注意一定使用没有被侵入者修改的ifconfig):
    #/path-of-clean-ifconfig/ifconfig -a
　　有一些工具程序可以帮助你检测系统内的嗅探器程序：
cpm(Check Promiscuous Mode)--UNIX
　　可以从以下地址下载：ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/
ifstatus--UNIX
　　可以从以下地址下载：ftp://coast.cs.purdue.edu/pub/tools/unix/ifstatus/
neped.c
　　可以从以下地址下载：ftp://apostols.org/AposTolls/snoapshots/neped/neped.
c
　　一定要记住一些合法的网络监视程序和协议分析程序也会把网络接口设置为promis
cuous模式。检测到网络接口处于promicuous模式下，并不意味着系统中有嗅探器程序正
在运行。
　　但是，在Phrack杂志的一篇文章:(Phrack Magazine Volume 8,Issue 53 July 8,1
998,article 10 of 15, Interface Promiscuity Obscurity)中,有人提供了一些针对F
reeBSD、Linux、HP-UX、IRIX和Solaris系统的模块，可以擦除IFF_PROMISC标志位，从
而使嗅探器逃过此类工具的检查。以此，即使使用以上的工具，你没有发现嗅探器，也
不能保证攻击者没有在系统中安装嗅探器。
　　现在，LKM(Loadable Kernel Model,可加载内核模块)的广泛应用，也增加了检测难
度。关于这一方面的检测请参考使用KSAT检测可加载内核模块。
　　还有一个问题应该注意，嗅探器程序的日志文件的大小会急剧增加。使用df程序查
看文件系统的某个部分的大小是否太大，也可以发现嗅探器程序的蛛丝马迹。建议使用
lsof程序发现嗅探器程序打开的日志文件和访问访问报文设备的程序。在此，还要注意
:使用的df程序也应该是干净的。
　　一旦在系统中发现了网络嗅探器程序，我们建议你检查嗅探器程序的输出文件确定
哪些主机受到攻击者威胁。被嗅探器程序捕获的报文中目的主机将受到攻击者的威胁，
不过如果系统的密码是通过明文传输，或者目标主机和源主机互相信任，那么源主机将
受到更大的威胁。
　　通常嗅探器程序的日志格式如下：
-- TCP/IP LOG -- TM: Tue Nov 15 15:12:29 --
PATH: not_at_risk.domain.com(1567) => at_risk.domain.com(telnet)
　　使用如下命令可以从嗅探器程序的日志文件中得到受到威胁的主机列表：
% grep PATH: $sniffer_log_file | awk '{print $4}' |
  awk -F( '{print $1}'| sort -u
　　你可能需要根据实际情况对这个命令进行一些调整。一些嗅探器程序会给日志文件
加密，增加了检查的困难。
　　你应该知道不只是在嗅探器程序日志文件中出现的主机受到攻击者的威胁，其它的
主机也可能受到威胁。
　　建议你参考http://www.cert.org/advisories/CA-94.01.ongoing.network.monito
ring.attacks.html获得更为详细的信息。
六、检查网络上的其它系统
　　除了已知被侵入的系统外，你还应该对网络上所有的系统进行检查。主要检查和被
侵入主机共享网络服务(例如:NIX、NFS)或者通过一些机制(例如：hosts.equiv、.rhos
ts文件，或者kerberos服务器)和被侵入主机相互信任的系统。
　　建议你使用CERT的入侵检测检查列表进行这一步检查工作。
    http://www.cert.org/tech_tips/intruder_detection_checklist.html
    http://www.cert.org/tech_tips/win_intruder_detection_checklist.html
七、检查涉及到的或者受到威胁的远程站点
　　在审查日志文件、入侵程序的输出文件和系统被侵入以来被修改的和新建立的文件
时，要注意哪些站点可能会连接到被侵入的系统。根据经验那些连接到被侵入主机的站
点，通常已经被侵入了。所以要尽快找出其它可能遭到入侵的系统，通知其管理人员。

通知相关的CSIRT和其它被涉及的站点
一、事故报告
　　入侵者通常会使用被侵入的帐户或者主机发动对其它站点的攻击。如果你发现针对
其它站点的入侵活动，建议你马上和这些站点联络。告诉他们你发现的入侵征兆，建议
他们检查自己的系统是否被侵入，以及如何防护。要尽可能告诉他们所有的细节，包括
：日期/时间戳、时区，以及他们需要的信息。
　　你还可以向CERT(计算机紧急反应组)提交事故报告，从他们那里的到一些恢复建议
。
中国大陆地区的网址是: http://www.cert.org.cn
二、与CERT调节中心(CERT Coordination Center)联系
　　你还可以填写一份事故报告表，使用电子邮件发送到http://www.cert.org,从那里
可以得到更多帮助。CERT会根据事故报告表对攻击趋势进行分析，将分析结果总结到他
们的安全建议和安全总结，从而防止攻击的蔓延。可以从以下网址获得事故报告表：
http://www.cert.org/ftp/incident_reporting_form
三、获得受牵连站点的联系信息
　　如果你需要获得顶级域名(.com、.edu、.net、.org等)的联系信息，建议你使用in
terNIC的whois数据库：http://rs.internic.net/whois.html。
　　如果你想要获得登记者的确切信息，请使用interNIC的登记者目录：http://rs.in
ternic.net/origin.html。
　　想获得亚太地区和澳洲的联系信息，请查询：http://www.apnic.net/apnic-bin/w
hois.pl，http://www.aunic.net/cgi-bin/whois.aunic
　　如果你需要其它事故反应组的联系信息，请查阅FIRST(Forum of Incident Respon
se and Security Teams)的联系列表: http://www.first.org/team-info/
　　要获得其它的联系信息，请参考：http://www.cert.org/tech_tips/finding_site
_contacts.html
　　建议你和卷入入侵活动的主机联系时，不要发信给root或者postmaster。因为一旦
这些主机已经被侵入，入侵者就可能获得了超级用户的权限，就可能读到或者拦截送到
的e-mail。
恢复系统
一、安装干净的操作系统版本
　　一定要记住如果主机被侵入，系统中的任何东西都可能被攻击者修改过了，包括：
内核、二进制可执行文件、数据文件、正在运行的进程以及内存。通常，需要从发布介
质上重装操作系统，然后在重新连接到网络上之前，安装所有的安全补丁，只有这样才
会使系统不受后门和攻击者的影响。只是找出并修补被攻击者利用的安全缺陷是不够的
。
　　我们建议你使用干净的备份程序备份整个系统。然后重装系统。
二、取消不必要的服务
　　只配置系统要提供的服务，取消那些没有必要的服务。检查并确信其配置文件没有
脆弱性以及该服务是否可靠。通常，最保守的策略是取消所有的服务，只启动你需要的
服务。
三、安装供应商提供的所有补丁
　　我们强烈建议你安装了所有的安全补丁，要使你的系统能够抵御外来攻击，不被再
次侵入，这是最重要的一步。
　　你应该关注所有针对自己系统的升级和补丁信息。
四、查阅CERT的安全建议、安全总结和供应商的安全提示
　　我们鼓励你查阅CERT以前的安全建议和总结，以及供应商的安全提示，一定要安装
所有的安全补丁。
　　CERT安全建议：http://www.cert.org/advisories/
　　CERT安全总结：http://www.cert.org/advisories/
　　供应商安全提示：ftp://ftp.cert.org/pub/cert_bulletins/
五、谨慎使用备份数据
　　在从备份中恢复数据时，要确信备份主机没有被侵入。一定要记住，恢复过程可能
会重新带来安全缺陷，被入侵者利用。如果你只是恢复用户的home目录以及数据文件，
请记住文件中可能藏有特洛伊木马程序。你还要注意用户起始目录下的.rhost文件。
六、改变密码
　　在弥补了安全漏洞或者解决了配置问题以后，建议你改变系统中所有帐户的密码。
一定要确信所有帐户的密码都不容易被猜到。你可能需要使用供应商提供的或者第三方
的工具加强密码的安全。
加强系统和网络的安全
一、根据CERT的UNIX/NT配置指南检查系统的安全性
　　CERT的UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。
    http://www.cert.org/tech_tips/unix_configuration_guidelines.html
         http://www.cert.org/tech_tips/win_configuration_guidelines.html
二、查阅安全工具文档
　　可以参考以下文章，决定使用的安全工具：http://www.cert.org/tech_tips/secu
rity_tools.html
三、安装安全工具
　　在将系统连接到网络上之前，一定要安装所有选择的安全工具。同时，最好使用Tr
ipwire、aide等工具对系统文件进行MD5校验，把校验码放到安全的地方，以便以后对系
统进行检查。
四、打开日志
　　启动日志(logging)/检查(auditing)/记帐(accounting)程序,将它们设置到准确的
级别,例如sendmail日志应该是9级或者更高。经常备份你的日志文件，或者将日志写到
另外的机器、一个只能增加的文件系统或者一个安全的日志主机。
五、配置防火墙对网络进行防御
　　现在有关防火墙的配置文章很多，在此就不一一列举了。你也可以参考：http://w
ww.cert.org/tech_tips/packet_filtering.html
重新连接到Internet
　　完成以上步骤以后，你就可以把系统连接回Internet了。
升级你的安全策略
　　CERT调节中心建议每个站点都要有自己的计算机安全策略。每个组织都有自己特殊
的文化和安全需求，因此需要根据自己的情况指定安全策略。关于这一点请参考RFC219
6站点安全手册:     ftp://ftp.isi.edu/in-notes/rfc2196.txt
一、总结教训
　　从记录中总结出对于这起事故的教训，这有助于你检讨自己的安全策略。
二、计算事故的代价
　　许多组织只有在付出了很大代价以后才会改进自己的安全策略。计算事故的代价有
助于让你的组织认识到安全的重要性。而且可以让管理者认识到安全有多么重要。
三、改进你的安全策略
　　最后一步是对你的安全策略进行修改。所做的修改要让组织内的所有成员都知道，
还要让他们知道对他们的影响。


--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]