01/03/11 13 11301 Восстановление системы после взлома

13 возможных вариантов вторжения в систему

Если взглянуть правде в глаза, то категорически исключать возможность проникновения в систему хакера – нельзя, по причине личной халатности человека, не подозревающего об этом. Поэтому есть смысл подробнее рассмотреть такой вариант. Хотя это на 100% не означает, что взлом вообще произойдет. Но, тем не менее, знать эту информация для общего развития нужно, особенно ребятам, похожим на персонажей из сериала «IT-шники».

Как узнать о вторжении?

Одним из главных элементов сохранения безопасности компьютеров является своевременное выявление взлома. Чем меньше времени хакеру будет предоставлено, тем меньше он успеет причинить вреда, и тем больше шансов у системного администратора успешно заблокировать хакеру доступ и устранить последствия вторжения.

Чем более искушенным будет хакер, тем меньше вероятность того, что системный администратор сможет выявить компрометацию компьютера. Искусные хакеры умело заметают следы своих действий, и определить их присутствие довольно сложно. Хакеры могут скрывать запущенные ими процессы, открытые соединения, несанкционированный доступ к файлам и использование ресурсов системы, т.е. оставлять свои действия практически полностью «невидимыми». Если взломщик получит права суперпользователя, то, чтобы скрыть свое присутствие, он может выполнить целый ряд действий на уровне ядра. Но, к счастью, существуют различные способы выявления вторжений.

1. Уведомления про опасность

В идеальном случае от установленной системы защиты администратор должен получить предупреждение о попытке взлома и успешном проведении атаки. При наличии установленного программного обеспечения, тщательно контролирующего записи в системных журналах, системный администратор должен немедленно получить уведомление при появлении чего-то нового или необычного. К необычным событиям можно отнести запуск нового демона или вход в систему нового пользователя. Если запущена система обнаружения вторжений (IDS), она обязана предупредить о попытке проведения атаки, а также с ее помощью должен быть зарегистрирован весь входящий и исходящий трафик после компрометации системы.

2. Изменение содержимого Web-страницы

Среди хакеров-новичков или людей, которым просто нечем заняться, пользуется популярностью замещение содержимого Web-сайта, чтобы продемонстрировать всем успешное проведение своей атаки. Как правило, они заменяют содержимое заглавной страницы, изменение которой будет более заметным. Если хакеры хотят получить доступ к компьютеру, то они вряд ли пойдут на подобное явное уведомление о проведении атаки.

3. Подозрительное уменьшение объема свободного места на жестком диске

Хакеры часто используют чужие компьютеры для хранения на их жестких дисках пиратского программного обеспечения (взломанных версий коммерческих программ), средств для выполнения хакинга, порнографии или других файлов, которыми они хотят пользоваться самостоятельно или предоставить в совместное использование. При размещении такой информации объем свободного пространства жесткого диска взломанного компьютера уменьшается очень быстро. Отчет об объеме свободного пространства на устройствах системы можно получить с помощью команды df.

4. Высокая интенсивность работы в сети

Когда отсутствуют видимые причины для высокой активности сетевых соединений, это может означать, что кто-то использует данный компьютер для обмена собственными файлами или, возможно, происходит атака по сети на другой компьютер, или это является результатом атаки отказа в обслуживании (DoS). Проверить установленные соединения можно с помощью команд netstat –na или lsof -i.

5. Предупреждения других администраторов

Если ваш компьютер используется для проведения атак на другие машины, то системные администраторы этих хостов могут уведомить вас о происходящем. Не забывайте, что они могут заподозрить и вас, поэтому не ждите добрых приветствий.

6. «Неразборчивый» режим сетевых интерфейсов

Если хакер захочет перехватывать всю информацию, передающуюся по атакуемой сети, то он постарается перевести аппаратные средства компьютера в так называемый неразборчивый режим (режим, позволяющий получать все проходящие по сети пакеты). С помощью команды ifconfig -а можно проверить наличие установленного параметра PROMISC.

7. Уничтожение или изменение файлов системных журналов

Искушенные хакеры могут удалить отдельные строки из файлов системных журналов, в которых содержится информация о получении ими несанкционированного доступа к ресурсам системы. Вместо этого неопытные взломщики удаляют системные журналы целиком. Подозрительными можно считать любые системные журналы, в которых отсутствуют отчеты за определенный период времени. Поэтому желательно сохранять файлы системных журналов на нескольких серверах (например, с помощью syslog) и при возникновении любых подозрений сравнивать копии этих файлов.

8. Редактирование файлов utmp и wtmp

Хакеры могут уничтожать записи о своем входе в систему из файлов журналов utmp и wtmp (это можно проделать довольно быстро с помощью программ zap, wipe или vanish2) или же удалить сами эти файлы, чтобы скрыть факт своего присутствия в системе. Получение урезанного отчета утилиты last может означать, что хакер просто удалил ненужную ему информацию. Программы chkwtmp и chklastlog позволяют обнаружить следы вредоносных действий относительно файлов utmp и wtmp.

9. Присутствие новых пользователей в системе

Наличие записей о новых пользователях в файле паролей наверняка означает компрометацию данного компьютера, выполненную неопытным хакером, который не ожидает, что его присутствие может быть обнаружено. Взломщики часто используют имена пользователей, похожие на имена законных пользователей, уже работающих в системе, например lpr вместо lp или uucpl и т.д., или имена, похожие на жаргонные выражения хакеров, например t00r или 0wn3d.

10. Запуск необычных процессов

Процессы, которые не были запущены владельцем компьютера и не являются системными, могут быть инициированы хакером. Многие программы запускаются демоном cron, поэтому не стоит сразу бить тревогу, а внимательно проверить, что подозрительный процесс действительно не запущен самой системой. Например, программа slocate часто является причиной ложной тревоги, поскольку она требует использования значительных ресурсов центрального процессора и доступа к диску, хотя и представляет собой вполне легитимный (хотя и необязательный) компонент системы.

11. Необъяснимое использование центрального процессора

Опытные хакеры могут скрывать запушенные ими процессы или просто давать им названия, соответствующие названиям стандартных системных программ, подобных cron, inetd или slocate, что позволит усложнить их выявление. Если на компьютере наблюдается неоправданно высокое использование ресурсов центрального процессора или машина начинает работать слишком медленно, то вполне вероятно, что в это время она выполняет задания хакера. Часто хакеры запускают программы взлома паролей (которые требуют значительных затрат ресурсов центрального процессора) на чужом компьютере, уменьшая нагрузку на собственную машину.

12. Взлом учетных записей локальных пользователей для доступа к удаленным компьютерам

Хакеры часто проводят последовательную компрометацию одного за другим нескольких компьютеров, просто прослеживая действия пользователей, когда они получают доступ к другой машине. Взломав один компьютер, хакер может контролировать все исходящие соединения и таким образом скомпрометировать учетную запись на следующем компьютере. Следовательно, несанкционированный доступ к учетной записи пользователя внешнего компьютера означает, что следующей целью может стать ваш компьютер, или что это уже произошло. Вообще, если была скомпрометирована одна учетная запись, то желательно проверить безопасность всех остальных учетных записей и сменить все пароли на время проверки.

13. Необычная работа компьютера

Обнаружение большинства взломов начинается с того момента, когда системный администратор обнаруживает что-то необычное и начинает поиск причины такого странного поведения. Иногда он обнаруживает, что это никак не связано с незаконным вторжением, например, это может быть отказ жесткого диска, дефекты памяти или неожиданные изменения в сети, но чаще обнаруживается, что компьютер был взломан. Необходимо внимательно и без паники определить причину необычной работы. Может быть, проблема связана с программным обеспечением или аппаратными средствами, но нельзя ничего утверждать, не проверив справедливость предположения!..

Читать еще...

Зип лок пакеты - что это такое Техническая поддержка сайта №394 УМЕНЬШЕНИЕ ВЛИЯНИЯ ТЕХНИЧЕСКИХ БАРЬЕРОВ НА ТОРГОВЛЮ.Характеристика основных финансовых понятий и определений(часть2)Отличие landing page от сайта iPhone 12 - что нового?