服务器被入侵后的紧急补救方法
来源:街客 发布时间:2009-10-15 12:16:00
近日有很多站长服务器被入侵,被入侵后真是措手不及啊,“站长安全网”Jack为大家分析服务器被入侵前后的一些细节和处理方式,希望能为大家祈祷抛砖引玉的作用,若有说错指出还请见谅。
攻击者入侵某个系统,总是由某个主要目的所驱使的。例如炫耀技术,得到企业机密数据,破坏企业正常的业务流程等等,有时也有可能在入侵后,攻击者的攻击行为,由某种目的变成了另一种目的,例如,本来是炫耀技术,但在进入系统后,发现了一些重要的机密数据,由于利益的驱使,攻击者最终窃取了这些机密数据。
而攻击者入侵系统的目的不同,使用的攻击方法也会不同,所造成的影响范围和损失也就不会相同。因此,在处理不同的系统入侵事件时,就应当对症下药,不同的系统入侵类型,应当以不同的处理方法来解决,这样,才有可能做到有的放矢,达到最佳的处理效果。
一、 以炫耀技术目的的系统入侵恢复
有一部分攻击者入侵系统的目的,只是为了向同行或其他人炫耀其高超的网络技术,或者是为了实验某个系统漏洞而进行的系统入侵活动。对于这类系统入侵事件,攻击者一般会在被入侵的系统中留下一些证据来证明他已经成功入侵了这个系统,有时还会在互联网上的某个论坛中公布他的入侵成果,例如攻击者入侵的是一台 WEB服务器,他们就会通过更改此WEB站点的首页信息来说明自己已经入侵了这个系统,或者会通过安装后门的方式,使被入侵的系统成他的肉鸡,然后公然出售或在某些论坛上公布,以宣告自己已经入侵了某系统。也就是说,我们可以将这种类型的系统入侵再细分为以控制系统为目的的系统入侵和修改服务内容为目的的系统入侵。
对于以修改服务内容为目的的系统入侵活动,可以不需要停机就可改完成系统恢复工作。
1.应当采用的处理方式
(1)、建立被入侵系统当前完整系统快照,或只保存被修改部分的快照,以便事后分析和留作证据。
(2)、立即通过备份恢复被修改的网页。
(3)、在Windows系统下,通过网络监控软件或“netstat -an”命令来查看系统目前的网络连接情况,如果发现不正常的网络连接,应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统和服务的日志文件,来检查系统攻击者在系统中还做了什么样的操作,以便做相应的恢复。
(4)、通过分析系统日志文件,或者通过弱点检测工具来了解攻击者入侵系统所利用的漏洞。如果攻击者是利用系统或网络应用程序的漏洞来入侵系统的,那么,就应当寻找相应的系统或应用程序漏洞补丁来修补它,如果目前还没有这些漏洞的相关补丁,我们就应当使用其它的手段来暂时防范再次利用这些漏洞的入侵活动。如果攻击者是利用其它方式,例如社会工程方式入侵系统的,而检查系统中不存在新的漏洞,那么就可以不必做这一个步骤,而必需对社会工程攻击实施的对象进行了解和培训。
(5)、修复系统或应用程序漏洞后,还应当添加相应的防火墙规则来防止此类事件的再次发生,如果安装有IDS/IPS和杀毒软件,还应当升级它们的特征库。
(6)、最后,使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测,在检测之前要确保其检测特征库是最新的。所有工作完成后,还应当在后续的一段时间内,安排专人对此系统进行实时监控,以确信系统已经不会再次被此类入侵事件攻击。
如果攻击者攻击系统是为了控制系统成为肉鸡,那么,他们为了能够长期控制系统,就会在系统中安装相应的后门程序。同时,为了防止被系统用户或管理员发现,攻击者就会千方百计地隐藏他在系统中的操作痕迹,以及隐藏他所安装的后门。
因而,我们只能通过查看系统进程、网络连接状况和端口使用情况来了解系统是否已经被攻击者控制,如果确定系统已经成为了攻击者的肉鸡,那么就应当按下列方式来进行入侵恢复:
(1)、立即分析系统被入侵的具体时间,目前造成的影响范围和严重程度,然后将被入侵系统建立一个快照,保存当前受损状况,以更事后分析和留作证据。
(2)、使用网络连接监控软件或端口监视软件检测系统当前已经建立的网络连接和端口使用情况,如果发现存在非法的网络连接,就立即将它们全部断开,并在防火墙中添加对此IP或端口的禁用规则。
(3)、通过Windows任务管理器,来检查是否有非法的进程或服务在运行,并且立即结束找到的所有非法进程。但是,一些通过特殊处理的后门进程是不会出现在 Windows任务管理器中,此时,我们就可以通过使用Icesword这样的工具软件来找到这些隐藏的进程、服务和加载的内核模块,然后将它们全部结束任务。
可是,有时我们并不能通过这些方式终止某些后门程序的进程,那么,我们就只能暂停业务,转到安全模式下进行操作。如果在安全模式下还不能结束掉这些后门进程的运行,就只能对业务数据做备份后,恢复系统到某个安全的时间段,再恢复业务数据。
这样,就会造成业务中断事件,因此,在处理时速度应当尽量快,以减少由于业务中断造成的影响和损失。有时,我们还应当检测系统服务中是否存在非法注册的后门服务,这可以通过打开“控制面板”—“管理工具”中的“服务”来检查,将找到的非法服务全部禁用。
(4)、在寻找后门进程和服务时,应当将找到的进程和服务名称全部记录下来,然后在系统注册表和系统分区中搜索这些文件,将找到的与此后门相关的所有数据全部删除。还应将“开始菜单”—“所有程序”—“启动”菜单项中的内容全部删除。
(5)、分析系统日志,了解攻击者是通过什么途径入侵系统的,以及他在系统中做了什么样的操作。然后将攻击者在系统中所做的所有修改全部更正过来,如果他是利用系统或应用程序漏洞入侵系统的,就应当找到相应的漏洞补丁来修复这个漏洞。
如果目前没有这个漏洞的相关补丁,就应当使用其它安全手段,例如通过防火墙来阻止某些IP地址的网络连接的方式,来暂时防范通过这些漏洞的入侵攻击,并且要不断关注这个漏洞的最新状态,出现相关修复补丁后就应当立即修改。给系统和应用程序打补丁,我们可以通过相应的软件来自动化进行。
(6)、在完成系统修复工作后,还应当使用弱点检测工具来对系统和应用程序进行一次全面的弱点检测,以确保没有已经的系统或应用程序弱点出现。我们还应用使用手动的方式检查系统中是否添加了新的用户帐户,以及被攻击做修改了相应的安装设置,例如修改了防火墙过滤规则,IDS/IPS的检测灵敏度,启用被攻击者禁用了的服务和安全软件。
猜你喜欢
- 内部链接的重要性就不详细说了。无论用户还是搜索引擎如果访问完你的内容页发现没有链接可去了。都是非常不科学的。网站内部链接优化有哪些?1.网站
- 一位站长朋友,他问我这样的问题,购买的Godaddy主机IP被封,他通过切换操作系统进行更换IP,换好新的IP后,发现域名不能访问,打不开页
- DedeCms 是公认的在SEO优化方面做得做好的CMS,可能很多人会说,优化是靠个人的,与CMS无关,这其实也不尽正确,因为必须程序提供商
- 北京时间10月10日消息,据国外媒体报道,谷歌正在推出应用于Android手机的快速搜索栏(Quick Search Box,简称&
- 个人做站长不容易,每天对着电脑,把网站当成自己孩子,每天悉心照料,更新内容,做宣传,看到哪里美工没做好,不管有没有吃饭,立刻改;有人反映哪里
- WordPress 3.3的beta 1 已经发布了,我们可以在这个版本中窥见一些最终版本的样子,这个版本还是发生了不小的变化。先找出一些明
- 国内3G陆续开放了,越来越多的人会开始尝试手机上网,而且未来必然有很多普通网民将移动接入作为常用的上网方式。对于网页设计师来说,移动web设
- 10月1日前一天,北京下了一场大雨,10月1日当天,天气晴朗,阳光明媚。“草堂‘’秋‘’睡足,窗外日迟迟”,心里默念着,在北京自己的小屋里,
- 这不是Google第一次固执地以自己的意愿代替用户体验了,正如当初搜索引擎结果默认在原窗口打开一样。Google Adsense的广告是在投
- WordPress是目前非常流行的成熟免费博客系统。现在的网络中每天都会产生大量的垃圾内容(SPAM),很多开启了评论功能的WordPres
- GoDaddy主机改操作系统很简单,如果发现你需要更改你的主机操作系统,可以随时进行。1. 登陆你的Account Manager.2. 在
- 网络赚钱总是有人发帖子,有人就跟风做,但是往往是自己得到的信息,是已经不能用的,永远跟着别人擦屁股,所以看到的现象要学会思考,思考相同的模式
- (一) 图链网站登陆对于一个流量不大, 知名度不高的网站来说, 图链网站能给你带来的流量远远超过搜索引擎以及其他方法.(二) 友情连接友情连
- 关键词排名是SEO的一部分,而且是比较初级的那部分。真正的全面的SEO所包含的内容,比关键词排名要广泛的多。这一点很多人都在谈,大部分人也都
- 现象:机器正在调试或允许IIS时,被异常中断服务(比如停电),然后再次IIS运行页面时,CPU资源占用100%,即使重新启动也无效。 原因:
- 为了能让Internet用户通过IE浏览器轻松访问到目标共享文件夹中的共享信息,我们还需要经过下面的设置,将目标共享文件夹“aaa”信息发布
- Sun的Java系统Web服务器,是一款顶尖的关键任务级Web服务器。Sun的Java系统Web服务器(也就是以前的SunONEWebSer
- SEO并不是简单的几个秘诀或几个建议,而是一项需要足够耐心和细致的脑力劳动。大体上,SEO包括六个环节。1、关键词分析(也叫关键词定位)这是
- Windows2003服务器安装及设置教程——组件安全篇 卸载并删除WScript组件WScript.Shell可以调用系统内核运
- 针对搜索引擎显示Adsense广告是一个很古老的话题,其目的是为了减少无效展示,提高eCPM,也就是所谓的有效每千次展示的费用。江湖上传言e