系统安全之抢救被入侵的系统

    如果你的PC系统被入侵，那将是一件非常糟糕的事情，你所以的网络帐号就都处于不安全的环境之中了。所以我们有必要了解一下这方面的知识，为自己的网络帐号保驾护航。

　　攻击者入侵系统的目的不同，使用的攻击方法也会不同，所造成的影响范围和损失也就不会相同。因此，在处理不同的系统入侵事件时，就应当对症下药，不同的系统入侵类型，应当以不同的处理方法来解决，这样，才有可能做到有的放矢，达到最佳的处理效果。

    攻击者入侵某个系统，总是由某个主要目的所驱使的。例如炫耀技术，得到企业机密数据，破坏企业正常的业务流程等等，有时也有可能在入侵后，攻击者的攻击行为，由某种目的变成了另一种目的，例如，本来是炫耀技术，但在进入系统后，发现了一些重要的机密数据，由于利益的驱使，攻击者最终窃取了这些机密数据。

    一、 以破坏系统或业务正常运行为目的的系统入侵恢复

　　当攻击者入侵系统的目的，就是为了让系统或系统中的正常业务不能正常运行，如果我们发现不及时，当这类系统入侵事件攻击成功后，就会造成系统意外停机事件和业务意外中断事件。

　　处理这类系统入侵事件时，已经没有必需再考虑系统需不需要停机处理的问题了，既然系统都已经不能正常运行了，考虑这些都是多余的，最紧要的就是尽快恢复系统正常运行。对于这类事件，也有下列这几种类别，每种类别的处理方式也是有一点区别的：

　　1、系统运行正常，但业务已经中断

　　对于此类系统入侵事件，我们可以不停机进行处理，直接以系统在线方式通过备份来恢复业务的正常运行，但在恢复前要确定系统被入侵的具体时间，以及什么时候的备份可以使用，然后按本文前面介绍的相关系统入侵恢复方式来恢复系统和业务到正常状态。

　　对于没有冗余系统的企业，如果当时非常迫切需要系统业务能够正常运行，那么，也只有在通过备份恢复业务正常运行后直接使用它。但在没有修复系统或应用程序漏洞之前，必需安排专人实时监控系统的运行状况，包括网络连接状况，系统进程状况，通过提高IDS/IPS的检测力度，添加相应的防火墙检测规则来暂时保护系统安全。

　　2、系统不能正常运行，但系统中与业务相关的内容没有受到破坏

　　此时，我们首要的任务就是尽快让系统恢复正常运行，但是要保证系统中与业务相关的数据不能受到损害。如果与业务相关的重要数据不在系统分区，那么，将系统从网络中断开后，我们就可以通过另外保存的系统完全备份来迅速恢复系统到正常状态，这是最快速的解决方法。

　　但是，如果与业务相关的数据全部或部分存放在系统分区，那么，为了防止当前业务数据的完整性，我们应当先通过像WinPE光盘系统的方式启动Winpe系统，然后将与业务相关的重要数据全部备份到其它独立的存储设备中，再对系统分区进行备份恢复操作。

　　如果我们发现系统的完全备份不可用，我们就只能在保证与业务相关的重要数据不损失的情况下，进行全新的操作系统安装方式来恢复系统正常运行，然后再安装业务应用程序，来恢复整个系统业务的正常运行。但是，由于这种方式是重新全新安装的操作系统，因此，如没有特殊的要求，应当对系统和应用程序做好相应的安全防范措施并完全备份后，才将系统连入网络当中。

　　至于剩下的系统恢复工作，可以按恢复以控制系统为目的的系统入侵恢复方式来进行。

　　3、系统不能正常运行，系统中的业务也已经被破坏

　　此时，首先按第二种方式恢复系统正常运行，然后再在系统中重新安装与业务相关应用程序，并且尽量通过备份恢复与业务相关的数据。至于剩下的系统恢复工作，可以按恢复以控制系统为目的的系统入侵恢复方式来进行。

　　当系统或业务被破坏不能运行后，造成的影响和损失是肯定的，我们按上述方式这样做的目的，就是为了尽量加快系统和业务恢复正常运行的速度，减少它们停止运行的时间，尽量降低由于系统停机或业务中断造成的影响和损失。

　　在对入侵系统进行恢复处理的过程中，对于一些与企业经营生死相依的特殊业务，例如电子邮件服务器，由于邮件服务器是为员工和客户提供邮件服务器的，如果邮件服务器停用，势必会影响的业务的正常往来。因此，对邮件服务器进行入侵恢复前，在使用本文前面所描述的方法进行进，还应当完成下列的工作：

　　(1)、启用临时邮箱，如果受影响的邮件服务器是企业自身的，可以通过申请邮件服务器提供商如Sina、163等的邮箱作为代替。

　　(2)、然后将临时邮箱信息尽快通知供货商和合作伙伴。

　　(3)、完成这些的工作后，就可以对被入侵的邮件服务器系统作相应的入侵恢复处理，恢复的方式与本文前面描述的方式相同。

　　二、 以炫耀技术目的的系统入侵恢复

　　有一部分攻击者入侵系统的目的，只是为了向同行或其他人炫耀其高超的网络技术，或者是为了实验某个系统漏洞而进行的系统入侵活动。对于这类系统入侵事件，攻击者一般会在被入侵的系统中留下一些证据来证明他已经成功入侵了这个系统，有时还会在互联网上的某个论坛中公布他的入侵成果，例如攻击者入侵的是一台WEB服务器，他们就会通过更改此WEB站点的首页信息来说明自己已经入侵了这个系统，或者会通过安装后门的方式，使被入侵的系统成他的肉鸡，然后公然出售或在某些论坛上公布，以宣告自己已经入侵了某系统。也就是说，我们可以将这种类型的系统入侵再细分为以控制系统为目的的系统入侵和修改服务内容为目的的系统入侵。

　　对于以修改服务内容为目的的系统入侵活动，可以不需要停机就可改完成系统恢复工作。

　　1.应当采用的处理方式

　　(1)、建立被入侵系统当前完整系统快照，或只保存被修改部分的快照，以便事后分析和留作证据。

　　(2)、立即通过备份恢复被修改的网页。

　　(3)、在Windows系统下，通过网络监控软件或“netstat -an”命令来查看系统目前的网络连接情况，如果发现不正常的网络连接，应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统和服务的日志文件，来检查系统攻击者在系统中还做了什么样的操作，以便做相应的恢复。

　　(4)、通过分析系统日志文件，或者通过弱点检测工具来了解攻击者入侵系统所利用的漏洞。如果攻击者是利用系统或网络应用程序的漏洞来入侵系统的，那么，就应当寻找相应的系统或应用程序漏洞补丁来修补它，如果目前还没有这些漏洞的相关补丁，我们就应当使用其它的手段来暂时防范再次利用这些漏洞的入侵活动。如果攻击者是利用其它方式，例如社会工程方式入侵系统的，而检查系统中不存在新的漏洞，那么就可以不必做这一个步骤，而必需对社会工程攻击实施的对象进行了解和培训。

　　(5)、修复系统或应用程序漏洞后，还应当添加相应的防火墙规则来防止此类事件的再次发生，如果安装有IDS/IPS和杀毒软件，还应当升级它们的特征库。

　　(6)、最后，使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测，在检测之前要确保其检测特征库是最新的。所有工作完成后，还应当在后续的一段时间内，安排专人对此系统进行实时监控，以确信系统已经不会再次被此类入侵事件攻击。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点