怎样检测不同操作系统下黑客发起的攻击
翻译作者:freedom 出处:赛迪网
多数计算机漏洞都能以多种方式被利用。黑客攻击可以利用某个特定的漏洞,而且对某些漏洞的利用会同时发生,黑客们还可以利用系统组件的某处错误配置或早些时候攻击留下的后门。
有鉴于此,检测黑客攻击并不是一件轻松事情,特别是对于一位不熟练的用户来说。本文将给出一些基本的指南,以帮助你决定自己的计算机是否受到了攻击,或者说你的系统安全是否受到了破坏。记住:就像对付病毒一样,并不能保证你用某种方法一定可以检测出一次黑客攻击。但是,如果你的系统遭受攻击,它就会表现出这样或那样的行为。
对Windows平台计算机的检测
Windows平台计算机遭受攻击的症状:
1.可疑的大量转出通信。如果你正使用一个拨号账户或者正使用ADSL,并且注意到一次不寻常的大量的转出网络的通信(你的计算机处于空闲状态或者没有必要上载数据时),那么有可能你的计算机已经遭受到了损害。你的计算机有可能正被用于发送垃圾邮件或被一个不断复制自身并发送其副本的网络蠕虫所使用。对于宽带连接,这与黑客攻击的关系性可能性不大,即使你仅仅是浏览网站或从互联网上下载数据,也会有几乎同样大小的数据流入或流出网络。
2.增加的磁盘活动或在任何驱动器root目录中增加了一些看起来可疑的文件。在攻入一个系统之后,许多黑客都要运行一次大规模的扫描,来检查任何他感兴趣的文档 或包含银行账户口令或支付账户,如支付宝等文件。类似情况下,一些蠕虫也会搜索包含电子邮件地址以磁盘文件,用于传播垃圾邮件。如果在系统空闲时,你注意到严重的磁盘活动与公用文件夹中的某些可疑的命名文件发生了联系,这就可能表示一次系统攻击或恶意软件感染的发生。
3.来自某个单一IP地址的大量数据包被个人防火墙所阻止。在定位了一个目标之后(例如,一家公司或家庭用户的IP地址范围),黑客们通常会运行自动化的探测工具,利用漏洞来突破并进入系统。如果你运行着个人防火墙(防护攻击的一个基本元素),并注意到来自某个同一IP地址的大量异常数据包被阻止,那么这会指明你的机器正遭受着攻击。好消息是如果你的个人防火墙正报告这些攻击,你可能还比较安全。然而,依赖于你向互联网暴露的服务,个人防火墙可能会无法保护你一次针对一个特定的FTP服务的攻击,而这种服务可能会被所有的人访问到。在这种情况下,一个可行的解决方案是临时阻止这些讨厌的IP地址直至连接企图停止。许多个人防火墙和IDS都有这个内置特性。
4.即使你没有执行什么非正常操作,本地反病毒软件却突然报告说,检测到了后门或特洛伊木马。虽然黑客攻击可能非常复杂并且不断翻新,许多攻击还是要依赖于已知的特洛伊木马或后门来获取对一个受损系统的完全访问权。如果你的本地反病毒组件正检测和报告这种恶意代码,这就表明你的系统有可能可以从外部访问。
对Unix平台计算机的检测
Unix平台计算机遭受攻击的症状有这些:
1.在/tmp文件夹内的可疑的命名文件。Unix系统中的许多漏洞利用都依赖在/tmp标准文件夹中创建临时文件,在系统遭受攻击后这很难被检测出来。对于已知的一些感染Unix系统的蠕虫也是这样,蠕虫会将其自己编译到/tmp文件夹中,并恶意运用之。
2.修改系统中的一些程序,如'login', 'telnet', 'ftp', 'finger'等,或者是一些更加复杂的进程,如'sshd', 'ftpd'等等。在突破进入一个系统之后,一个黑客通常会将一个后门植入到某个可以直接访问互联网的进程中,试图确保其访问的安全,或者修改可用于与其它系统联系起来的标准系统实用程序。被修改的程序通常成为一个rootkit的部分,并且通常情况下它们会破坏一些简单的检查。在所有的情况下,为每一个系统实用程序维持一个检查和(checksum)的数据库是一个好注意,并且定期地在单一用户模式中,将其与系统进行离线验证。
3.修改/etc/passwd、 /etc/shadow,或者修改/etc文件夹中的所有其它系统文件。有时,黑客攻击会在/etc/passwd中增加一个新用户,它可以在日后远程登录到系统中。你可以在口令文件中查看可疑的用户名,并且监视所有的增加项,特别是在一个多用户的系统中更要这样。
4.一些可疑的服务被添加到/etc/services中。在一个Unix系统中打开一个后门有时也就是增加一两行代码。这是通过修改/etc/services以及/etc/ined.conf而实现的。你需要密切地监视这两个文件中的任何添加项,因为这会指明一个后门与一个未用的或可疑的端口联结起来。