管理員需要參考的當服務器被入侵后的緊急補救方法

2024-09-10 00:05:31

字體：大中小

來源：轉載

供稿：網友

攻擊者入侵某個系統，總是由某個主要目的所驅使的。例如炫耀技術，得到企業機密數據，破壞企業正常的業務流程等等，有時也有可能在入侵后，攻擊者的攻擊行為，由某種目的變成了另一種目的，例如，本來是炫耀技術，但在進入系統后，發現了一些重要的機密數據，由于利益的驅使，攻擊者最終竊取了這些機密數據。
　　而攻擊者入侵系統的目的不同，使用的攻擊方法也會不同，所造成的影響范圍和損失也就不會相同。因此，在處理不同的系統入侵事件時，就應當對癥下藥，不同的系統入侵類型，應當以不同的處理方法來解決，這樣，才有可能做到有的放矢，達到最佳的處理效果。
　　一、以炫耀技術目的的系統入侵恢復
　　有一部分攻擊者入侵系統的目的，只是為了向同行或其他人炫耀其高超的網絡技術，或者是為了實驗某個系統漏洞而進行的系統入侵活動。對于這類系統入侵事件，攻擊者一般會在被入侵的系統中留下一些證據來證明他已經成功入侵了這個系統，有時還會在互聯網上的某個論壇中公布他的入侵成果，例如攻擊者入侵的是一臺 WEB服務器，他們就會通過更改此WEB站點的首頁信息來說明自己已經入侵了這個系統，或者會通過安裝后門的方式，使被入侵的系統成他的肉雞，然后公然出售或在某些論壇上公布，以宣告自己已經入侵了某系統。也就是說，我們可以將這種類型的系統入侵再細分為以控制系統為目的的系統入侵和修改服務內容為目的的系統入侵。
　　對于以修改服務內容為目的的系統入侵活動，可以不需要停機就可改完成系統恢復工作。
　　1.應當采用的處理方式
　　(1)、建立被入侵系統當前完整系統快照，或只保存被修改部分的快照，以便事后分析和留作證據。
　　(2)、立即通過備份恢復被修改的網頁。
　　(3)、在Windows系統下，通過網絡監控軟件或“netstat -an”命令來查看系統目前的網絡連接情況，如果發現不正常的網絡連接，應當立即斷開與它的連接。然后通過查看系統進程、服務和分析系統和服務的日志文件，來檢查系統攻擊者在系統中還做了什么樣的操作，以便做相應的恢復。
　　(4)、通過分析系統日志文件，或者通過弱點檢測工具來了解攻擊者入侵系統所利用的漏洞。如果攻擊者是利用系統或網絡應用程序的漏洞來入侵系統的，那么，就應當尋找相應的系統或應用程序漏洞補丁來修補它，如果目前還沒有這些漏洞的相關補丁，我們就應當使用其它的手段來暫時防范再次利用這些漏洞的入侵活動。如果攻擊者是利用其它方式，例如社會工程方式入侵系統的，而檢查系統中不存在新的漏洞，那么就可以不必做這一個步驟，而必需對社會工程攻擊實施的對象進行了解和培訓。

上一篇：win2003 https 網站的圖文配置教程

下一篇：網站服務器安全需要注意三方面的問題