熱點推薦:
您现在的位置: 電腦知識網 >> 安全防毒 >> 正文

怎麼實施和做好入侵檢測

2022-06-13   來源: 安全防毒 

  最近的國內某網絡游戲公司服務器被黑客入侵並有玩家帳號等資料外洩該黑客事件也被鬧得沸沸揚揚安全維護入侵檢測及相應的應急處理也將受到重視目前國內網絡存在嚴重安全問題而造成這些問題的根本原因多在於企業單位組織對安全問題的認識程度和管理員的技術水平
  金山毒霸安全小組從目前國內的黑客事件統計並作嚴密分析後發現絕大多數的入侵者只是使用一些常見的漏洞掃描工具然後配合入侵工具而進行的這些工具都可以從網絡上任意下載從入侵技術上看根本無高深技術可言這些工具也多是利用已公布的常見漏洞比如IIS的幾大遠程緩沖區溢出獲取任意程序執行權限通過UNICODE這樣的編碼解析漏洞直接從浏覽器上執行程序等而且這些漏洞也都出現很長時間如果安全維護得力就可以根本不在乎這些工具黑客(Script Guy)了
  首先對系統進行安全配置是必須做到的因為操作系統和應用軟件通常並不保證足夠的安全性這也是對網絡管理員的基本要求但是同系統安全配置一樣如何進行入侵檢測以及如何進行有效的應急處理絕大多數網絡管理員並沒有這樣的經驗和能力因此這也將成為擺在管理者面前的一大問題
  金山毒霸安全小組從對入侵事件的分析發現通常的黑客入侵手段和過程一般包括下面這些步驟
  黑客們首先確定目標並且收集相關信息(包括郵件地址相關IP地址漏洞等等)他們將使用各種漏洞掃描器進行操作
  根據得到的信息可能進行滲透也就是入侵總的說來入侵者就是要盡可能獲得足夠的權限而從多數入侵事件分析看出工具黑客僅僅對常見的而且操作簡單的漏洞感興趣
  接著就做他們願意做的事情獲得機密進行破壞等等
  盡可能地清除自己留下的痕跡包括修改刪除系統日志等
  最後按照他們的期望(是否再來)安裝後門(木馬添加帳號等等)方便以後進入有更深度入侵打算的入侵者還會安裝網絡嗅探器以便捕獲到更多可用的帳號密碼等
  從入侵統計上看現在多數的入侵者並沒有專一的入侵目標在收集信息階段基本是按照一個網段一個網段進行的大范圍掃描如果發現有漏洞的主機即開始實施後面的步驟
  對於重視度不夠的企業和組織和那些沒有足夠技術以及經驗的系統管理員來說所有的這些入侵事件都會顯得靜悄悄也由於這些入侵事件的不確定性因此在日常管理和維護中就應該時刻注意入侵問題及時發現可疑事件一個疏忽就可能帶來不可估量的損失這裡需要提醒廣大的管理員的是不要過於信賴你們的高價防火牆或者入侵檢測系統能夠繞過這些機械的程序的方法簡直太多了因此也要求管理員需要保持高度的警覺入侵者是不會主動告訴你狼來了除了通常的安全配置之外有兩點是管理員還需要做到的詳細的事件記錄和例行的系統維護這將讓我們能夠及時地發現入侵並找到足夠的線索
  如何發現是否被入侵呢?那些昂貴的入侵檢測系統設備讓很多公司和組織卻步沒有入侵檢測系統雖然不能即時性地發現可能發生的入侵事件但是也同樣可以做好檢測工作金山毒霸系統安全小組根據黑客采用的慣用手段分析例行的檢查可以從這些方面進行以WINDOWS 系統為例而其他操作系統或者設備的安全檢查分析基本類似
  首先要查看的就是系統正在使用的端口列表在命令行中輸入netstat –a 看看自己打開了些什麼端口是否有可疑的地方你最好能夠有一個類似fport這樣的端口查看工具能夠同時查看使用端口的進程大多數木馬或者後門都會打開一個自己的端口單獨使用因此從端口上查看能夠發現一些木馬後門的蹤跡但是這並不能對付所有的木馬而且一些打開系統後門的方法也不能這樣來檢查正如那個網絡游戲公司一樣服務器也被安裝了後門一樣安裝後門通常是入侵者的必做工作同時後門也是入侵者宣告下次還要來的最明顯的標志也給捕獲他們提供很多的途徑
  打開任務管理器查看進程列表及時發現可疑進程這是一個經驗的較量不要被一些kernelinternet這樣的進程所迷惑入侵者命名的進程往往很接近系統的進程名一些入侵者使用可隱藏的進程也可能通過系統進程來達到目的
   打開計算機管理查看用戶和用戶 組管理是否有可疑用戶出現是否在各個用戶組裡面存在不該有的帳號特別是administrators這樣的管理員組按照一些黑客教程的慣用手法通常把GuestTsInternetUser 這樣的系統提供的帳戶同時也是不被注意的帳戶添加到管理員組裡面去查看共享文件夾是否出現不該有的共享正常的配置情況下應該取消所有的共享但是黑客們為了傳送文件等等的方便會再次打開一些共享當然大多數被入侵者打開的共享往往被他們忘記關閉了順便再看看會話說不定入侵者也正好在呢還需要查看的是服務因為把程序啟動成為服務能夠給入侵者相當多的好處國內黑客愛好者使用最廣泛的是小榕的RemoteNC這樣的後門它就會在系統中啟動一個自己的服務當然這個啟動的服務名稱一定具有相當的欺騙性
  對照文件列表你需要一個類似Regsnap這樣類似的工具通常一些後門都是被安裝到系統目錄下的而且黑客們也喜歡將自己的文件放置在系統目錄裡面因為那裡實在是很少人去檢查也更方便執行比較你的備份文件列表和當前文件列表有什麼不同不要以為一些新增加的類似系統文件名的程序通常這是最直接的檢測方式如果入侵者安裝後門等等肯定需要放置他們的程序或者需要清除他們的腳印工具黑客往往也會再上傳一個工具用來完成這項任務但是他們往往忘記刪除它
  查看各種系統日志除了系統的日志以外還需要查看的是你所開服務的日志比如FTPIIS等等的日志這個工作量比較大而且需要非常有經驗可以從這些方面來查看以減少工作量是否出現日記記錄斷裂(入侵者通常消除他們的痕跡而且一般都是刪除整個日志或者刪除部分日志)是否有可疑的帳號登錄(使用帳號登錄是最直接的入侵手段)是否在不該出現的時間段內發生了不該有的事件比如晚上點大家下班後仍有管理員登錄各種服務的日志記錄也是發現入侵手段的最有效途徑比如IIS日志能夠詳細記錄下來一個入侵者掃描端口的全過程以及他能夠獲得的有用信息對於開啟WEB服務的服務器來說多數入侵都是通過這裡進入的這裡需要提醒管理員的是記錄日志的時候不光是進行審記還應該作到一定程度上的跟蹤記錄
  請你相信不管入侵者怎麼掩蓋自己的行為在系統中仍然能夠找到各種各樣的痕跡讓你能夠發現是否被入侵過比如大多數入侵者可能想盡辦法對付系統日志但是卻往往興奮得忘記刪除一些他們臨時使用的文件
  不要以為上面的檢測內容非常復雜如果每天都象上面這樣作一次檢查的話也花不了多少時間金山毒霸系統安全小組建議系統管理員至少每天都進行一定程度的安全檢查慣例性地進行入侵檢查在即使被入侵了的情況這也能夠盡量使損失減到最小並及時發現問題

From:http://tw.wingwit.com/Article/Security/201312/30111.html
    推薦文章
    Copyright © 2005-2022 電腦知識網 Computer Knowledge   All rights reserved.