13 возможных вариантов вторжения в систему
  • Категории
  • Подписка
  • Разместить статью
01/03/11 13 11301 Восстановление системы после взлома
-

13 возможных вариантов вторжения в систему

Если взглянуть правде в глаза, то категорически исключать возможность проникновения в систему хакера – нельзя, по причине личной халатности человека, не подозревающего об этом. Поэтому есть смысл подробнее рассмотреть такой вариант. Хотя это на 100% не означает, что взлом вообще произойдет. Но, тем не менее, знать эту информация для общего развития нужно, особенно ребятам, похожим на персонажей из сериала «IT-шники».

Как узнать о вторжении?

Одним из главных элементов сохранения безопасности компьютеров является своевремен­ное выявление взлома. Чем меньше времени хакеру будет предоставлено, тем меньше он успеет причинить вреда, и тем больше шансов у системного администратора успешно заблокировать хакеру доступ и устранить последствия вторжения.

Чем более искушенным будет хакер, тем меньше вероятность того, что системный админист­ратор сможет выявить компрометацию компьютера. Искусные хакеры умело заметают следы сво­их действий, и определить их присутствие довольно сложно. Хакеры могут скрывать запущенные ими процессы, открытые соединения, несанкционированный доступ к файлам и использование ресурсов системы, т.е. оставлять свои действия практически полностью «невидимыми». Если взломщик получит права суперпользователя, то, чтобы скрыть свое присутствие, он может выпол­нить целый ряд действий на уровне ядра. Но, к счастью, существуют различные способы выявления вторжений.

1. Уведомления про опасность

В идеальном случае от установленной системы защиты администратор должен получить предупреждение о попытке взлома и успешном проведении атаки. При наличии установлен­ного программного обеспечения, тщательно контролирующего записи в системных журналах, системный администратор должен немедленно получить уведомление при появлении чего-то нового или необычного. К необычным событиям можно отнести запуск нового демона или вход в систему нового пользователя. Если запущена система обнаружения вторжений (IDS), она обязана предупредить о попытке проведения атаки, а также с ее помощью должен быть за­регистрирован весь входящий и исходящий трафик после компрометации системы.

2. Изменение содержимого Web-страницы

Среди хакеров-новичков или людей, которым просто нечем заняться, пользуется популяр­ностью замещение содержимого Web-сайта, чтобы продемонстрировать всем успешное прове­дение своей атаки. Как правило, они заменяют содержимое заглавной страницы, изменение которой будет более заметным. Если хакеры хотят получить доступ к компьютеру, то они вряд ли пойдут на подобное явное уведомление о проведении атаки.

3. Подозрительное уменьшение объема свободного места на жестком диске

Хакеры часто используют чужие компьютеры для хранения на их жестких дисках пиратско­го программного обеспечения (взломанных версий коммерческих программ), средств для вы­полнения хакинга, порнографии или других файлов, которыми они хотят пользоваться само­стоятельно или предоставить в совместное использование. При размещении такой информации объем свободного пространства жесткого диска взломанного компьютера уменьшается очень быстро. Отчет об объеме свободного пространства на устройствах системы можно получить с помощью команды df.

4. Высокая интенсивность работы в сети

Когда отсутствуют видимые причины для высокой активности сетевых соединений, это может означать, что кто-то использует данный компьютер для обмена собственными файлами или, возможно, происходит атака по сети на другой компьютер, или это является результатом атаки отказа в обслуживании (DoS). Проверить установленные соединения можно с помощью команд netstat –na или lsof -i.

5. Предупреждения других администраторов

Если ваш компьютер используется для проведения атак на другие машины, то системные администраторы этих хостов могут уведомить вас о происходящем. Не забывайте, что они могут заподозрить и вас, поэтому не ждите добрых приветствий.

6. «Неразборчивый» режим сетевых интерфейсов

Если хакер захочет перехватывать всю информацию, передающуюся по атакуемой сети, то он постарается перевести аппаратные средства компьютера в так называемый неразборчивый режим (режим, позволяющий получать все проходящие по сети пакеты). С помощью команды ifconfig -а можно проверить наличие установленного параметра PROMISC.

7. Уничтожение или изменение файлов системных журналов

Искушенные хакеры могут удалить отдельные строки из файлов системных журналов, в ко­торых содержится информация о получении ими несанкционированного доступа к ресурсам системы. Вместо этого неопытные взломщики удаляют системные журналы целиком. Подоз­рительными можно считать любые системные журналы, в которых отсутствуют отчеты за опре­деленный период времени. Поэтому желательно сохранять файлы системных журналов на не­скольких серверах (например, с помощью syslog) и при возникновении любых подозрений сравнивать копии этих файлов.

8. Редактирование файлов utmp и wtmp

Хакеры могут уничтожать записи о своем входе в систему из файлов журналов utmp и wtmp (это можно проделать довольно быстро с помощью программ zap, wipe или vanish2) или же удалить сами эти файлы, чтобы скрыть факт своего присутствия в системе. Получение урезан­ного отчета утилиты last может означать, что хакер просто удалил ненужную ему информа­цию. Программы chkwtmp и chklastlog позволяют обнаружить следы вредоносных дейст­вий относительно файлов utmp и wtmp.

9. Присутствие новых пользователей в системе

Наличие записей о новых пользователях в файле паролей наверняка означает компрометацию данного компьютера, выполненную неопытным хакером, который не ожидает, что его присутст­вие может быть обнаружено. Взломщики часто используют имена пользователей, похожие на имена законных пользователей, уже работающих в системе, например lpr вместо lp или uucpl и т.д., или имена, похожие на жаргонные выражения хакеров, например t00r или 0wn3d.

10. Запуск необычных процессов

Процессы, которые не были запущены владельцем компьютера и не являются системными, мо­гут быть инициированы хакером. Многие программы запускаются демоном cron, поэтому не стоит сразу бить тревогу, а внимательно проверить, что подозрительный процесс действительно не запущен самой системой. Например, программа slocate часто является причиной ложной тревоги, поскольку она требует использования значительных ресурсов центрального процессора и доступа к диску, хотя и представляет собой вполне легитимный (хотя и необязательный) компонент системы.

11. Необъяснимое использование центрального процессора

Опытные хакеры могут скрывать запушенные ими процессы или просто давать им назва­ния, соответствующие названиям стандартных системных программ, подобных cron, inetd или slocate, что позволит усложнить их выявление. Если на компьютере наблюдается неоп­равданно высокое использование ресурсов центрального процессора или машина начинает ра­ботать слишком медленно, то вполне вероятно, что в это время она выполняет задания хакера. Часто хакеры запускают программы взлома паролей (которые требуют значительных затрат ресур­сов центрального процессора) на чужом компьютере, уменьшая нагрузку на собственную машину.

12. Взлом учетных записей локальных пользователей для доступа к удаленным компьютерам

Хакеры часто проводят последовательную компрометацию одного за другим нескольких компьютеров, просто прослеживая действия пользователей, когда они получают доступ к другой машине. Взломав один компьютер, хакер может контролировать все исходящие соединения и таким образом скомпрометировать учетную запись на следующем компьютере. Следовательно, несанкционирован­ный доступ к учетной записи пользователя внешнего компьютера означает, что следующей целью может стать ваш компьютер, или что это уже произошло. Вообще, если была скомпрометирована одна учетная запись, то желательно проверить безопасность всех остальных учетных записей и сменить все пароли на время проверки.

13. Необычная работа компьютера

Обнаружение большинства взломов начинается с того момента, когда системный админи­стратор обнаруживает что-то необычное и начинает поиск причины такого странного поведе­ния. Иногда он обнаруживает, что это никак не связано с незаконным вторжением, например, это может быть отказ жесткого диска, дефекты памяти или неожиданные изменения в сети, но чаще обнаруживается, что компьютер был взломан. Необходимо внимательно и без паники определить причину необычной ра­боты. Может быть, проблема связана с программным обеспечением или аппаратными средст­вами, но нельзя ничего утверждать, не проверив справедливость предположения!..


13 комментариев на «“13 возможных вариантов вторжения в систему”»

  1. Спасибо за советы, надо пользоватся.

Добавить комментарий

Яндекс.Метрика