最近的國內某網絡游戲公司服務器被黑客入侵
並有玩家帳號等資料外洩
該黑客事件也被鬧得沸沸揚揚
安全維護
入侵檢測及相應的應急處理也將受到重視
目前國內網絡存在嚴重安全問題
而造成這些問題的根本原因多在於企業
單位
組織對安全問題的認識程度和管理員的技術水平
金山毒霸安全小組從目前國內的黑客事件統計並作嚴密分析後發現
絕大多數的入侵者只是使用一些常見的漏洞掃描工具然後配合入侵工具而進行的
這些工具都可以從網絡上任意下載
從入侵技術上看
根本無高深技術可言
這些工具也多是利用已公布的常見漏洞
比如IIS的幾大遠程緩沖區溢出獲取任意程序執行權限
通過UNICODE這樣的編碼解析漏洞直接從浏覽器上執行程序等
而且這些漏洞也都出現很長時間
如果安全維護得力就可以根本不在乎這些
工具黑客
(Script Guy)了
首先
對系統進行安全配置是必須做到的
因為操作系統和應用軟件通常並不保證足夠的安全性
這也是對網絡管理員的基本要求
但是同系統安全配置一樣
如何進行入侵檢測
以及如何進行
有效的
應急處理
絕大多數網絡管理員並沒有這樣的經驗和能力
因此這也將成為擺在管理者面前的一大問題
金山毒霸安全小組從對入侵事件的分析發現
通常的
黑客
入侵手段和過程
一般包括下面這些步驟
黑客們首先確定目標並且收集相關信息(包括郵件地址
相關IP地址
漏洞等等)
他們將使用各種漏洞掃描器進行操作
根據得到的信息可能進行滲透
也就是
入侵
總的說來入侵者就是要盡可能獲得足夠的權限
而從多數入侵事件分析看出
工具黑客
僅僅對常見的而且操作簡單的漏洞感興趣
接著就做他們願意做的事情
獲得機密
進行破壞等等
盡可能
地清除自己留下的痕跡
包括修改
刪除系統日志等
最後按照他們的期望(是否再來)
安裝後門(木馬
添加帳號等等)方便以後進入
有更深度入侵打算的入侵者
還會安裝網絡嗅探器
以便捕獲到更多可用的帳號密碼等
從入侵統計上看
現在多數的入侵者並沒有專一的入侵目標
在收集信息階段
基本是按照一個網段一個網段進行的大范圍掃描
如果發現有漏洞的主機即開始實施後面的步驟
對於重視度不夠的企業和組織
和那些沒有足夠技術以及經驗的系統管理員來說
所有的這些入侵事件都會顯得靜悄悄
也由於這些入侵事件的不確定性
因此在日常管理和維護中就應該時刻注意入侵問題
及時發現可疑事件
一個疏忽就可能帶來不可估量的損失
這裡需要提醒廣大的管理員的是
不要過於信賴你們的高價防火牆或者入侵檢測系統
能夠繞過這些機械的程序的方法簡直太多了
因此也要求管理員需要保持高度的警覺
入侵者是不會主動告訴你
狼來了
的
除了通常的安全配置之外
有兩點是管理員還需要做到的
詳細的事件記錄和例行的系統維護
這將讓我們能夠及時地發現入侵並找到足夠的線索
如何發現是否被入侵呢?那些昂貴的入侵檢測系統設備
讓很多公司和組織卻步
沒有入侵檢測系統
雖然不能即時性地發現可能發生的入侵事件
但是也同樣可以做好檢測工作
金山毒霸系統安全小組根據黑客采用的慣用手段分析
例行的檢查可以從這些方面進行
以WINDOWS
系統為例
而其他操作系統或者設備的安全檢查分析基本類似
首先要查看的就是系統正在使用的端口列表
在命令行中輸入
netstat –a 看看自己打開了些什麼端口
是否有可疑的地方
你最好能夠有一個類似fport這樣的端口查看工具
能夠同時查看使用端口的進程
大多數木馬或者後門都會打開一個自己的端口單獨使用
因此從端口上查看能夠發現一些木馬後門的蹤跡
但是
這並不能對付所有的木馬
而且一些打開系統後門的方法也不能這樣來檢查
正如那個網絡游戲公司一樣
服務器也被安裝了後門一樣
安裝後門通常是入侵者的必做工作
同時後門也是入侵者宣告下次還要來的最明顯的標志
也給捕獲他們提供很多的途徑
打開任務管理器
查看進程列表
及時發現可疑進程
這是一個經驗的較量
不要被一些kernel
internet這樣的進程所迷惑
入侵者命名的進程往往很接近系統的進程名
一些入侵者使用可隱藏的進程
也可能通過系統進程來達到目的
打開計算機管理
查看用戶和用戶 組管理
是否有可疑用戶出現
是否在各個用戶組裡面存在不該有的帳號
特別是administrators這樣的管理員組
按照一些黑客教程的慣用手法
通常把Guest
TsInternetUser 這樣的系統提供的帳戶
同時也是不被注意的帳戶
添加到管理員組裡面去
查看共享文件夾
是否出現不該有的共享
正常的配置情況下應該取消所有的共享
但是黑客們為了傳送文件等等的方便
會再次打開一些共享
當然
大多數被入侵者打開的共享往往被他們忘記關閉了
順便再看看會話
說不定入侵者也正好在呢
還需要查看的是
服務
因為把程序啟動成為服務能夠給入侵者相當多的好處
國內
黑客愛好者
使用最廣泛的是小榕的
RemoteNC
這樣的後門
它就會在系統中啟動一個自己的服務
當然
這個啟動的服務名稱一定具有相當的欺騙性
對照文件列表
你需要一個類似Regsnap這樣類似的工具
通常一些後門都是被安裝到系統目錄下的
而且
黑客
們也喜歡將自己的文件放置在系統目錄裡面
因為那裡實在是很少人去檢查
也更方便執行
比較你的備份文件列表和當前文件列表有什麼不同
不要以為一些新增加的類似系統文件名的程序
通常這是最直接的檢測方式
如果入侵者安裝後門等等
肯定需要放置他們的程序
或者需要清除他們的腳印
工具黑客
往往也會再上傳一個工具用來完成這項任務
但是他們往往忘記刪除它
查看各種系統日志
除了系統的日志以外
還需要查看的是你所開服務的日志
比如FTP
IIS等等的日志
這個工作量比較大
而且需要非常有經驗
可以從這些方面來查看
以減少工作量
是否出現日記記錄斷裂(入侵者通常消除他們的痕跡
而且一般都是刪除整個日志或者刪除部分日志)
是否有可疑的帳號登錄(使用帳號登錄是最直接的入侵手段)
是否在不該出現的時間段內發生了不該有的事件
比如晚上
點大家下班後仍有管理員登錄
各種服務的日志記錄也是發現入侵手段的最有效途徑
比如IIS日志能夠詳細記錄下來一個入侵者掃描
端口的全過程
以及他能夠獲得的有用信息
對於開啟WEB服務的服務器來說
多數入侵都是通過這裡進入的
這裡需要提醒管理員的是
記錄日志的時候不光是進行審記
還應該作到一定程度上的跟蹤記錄
請你相信
不管入侵者怎麼掩蓋自己的行為
在系統中仍然能夠找到各種各樣的痕跡
讓你能夠發現是否被入侵過
比如大多數入侵者可能想盡辦法對付系統日志
但是卻往往
興奮
得忘記刪除一些他們臨時使用的文件
不要以為上面的檢測內容非常復雜
如果每天都象上面這樣作一次檢查的話
也花不了多少時間
金山毒霸系統安全小組建議系統管理員至少每天都進行一定程度的安全檢查
慣例性地進行入侵檢查
在即使被入侵了的情況
這也能夠盡量使損失減到最小
並及時發現問題
From:http://tw.wingwit.com/Article/Security/201312/30111.html
