系统被入侵后的恢复(四)
日期:2007-03-16 荐:
通知相关的CSIRT和其它被涉及的站点 一、事故报告 入侵者通常会使用被侵入的帐户或者主机发动对其它站点的攻击。如果你发现针对其它站点的入侵活动,建议你马上和这些站点联络。告诉他们你发现的入侵征兆,建议他们检查自己的系统是否被侵入,以及如何防护。要尽可能告诉他们所有的细节,包括:日期/时间戳、时区,以及他们需要的信息。 你还可以向CERT(计算机紧急反应组)提交事故报告,从他们那里的到一些恢复建议。 中国大陆地区的网址是: http://www.cert.org.c 二、与CERT调节中心(CERT Coordinatio Center)联系 你还可以填写一份事故报告表,使用电子邮件发送http://www.cert.org,从那里可以得到更多帮助。CERT会根据事故报告表对攻击趋势进行分析,将分析结果总结到他们的安全建议和安全总结,从而防止攻击的蔓延。可以从以下网址获得事故报告表: http://www.cert.org/ftp/incident_reporting_form 三、获得受牵连站点的联系信息 如果你需要获得顶级域名(.com、.edu、.net、.org等)的联系信息,建议你使用interNIC的whois数据库http://rs.internic.net/whois.html。 如果你想要获得登记者的确切信息,请使用interNIC的登记者目录http://rs.internic.net/origin.html。 想获得亚太地区和澳洲的联系信息,请查询http://www.a ic.net/a ic-bin/whois.plhttp://www.aunic.net/cgi-bin/whois.aunic 如果你需要其它事故反应组的联系信息,请查阅FIRST(Forum of Incident Re o e and ecurity Teams)的联系列表: http://www.first.org/team-info/ 要获得其它的联系信息,请参考http://www.cert.org/tech_ti /finding_site_contacts.html 建议你和卷入入侵活动的主机联系时,不要发信给root或者postmaster。因为一旦这些主机已经被侵入,入侵者就可能获得了超级用户的权限,就可能读到或者拦截送到的e-mail。 恢复系统 一、安装干净的操作系统版本 一定要记住如果主机被侵入,系统中的任何东西都可能被攻击者修改过了,包括:内核、二进制可执行文件、数据文件、正在运行的进程以及内存。通常,需要从发布介质上重装操作系统,然后在重新连接到网络上之前,安装所有的安全补丁,只有这样才会使系统不受后门和攻击者的影响。只是找出并修补被攻击者利用的安全缺陷是不够的。 我们建议你使用干净的备份程序备份整个系统。然后重装系统。 二、取消不必要的服务 只配置系统要提供的服务,取消那些没有必要的服务。检查并确信其配置文件没有脆弱性以及该服务是否可靠。通常,最保守的策略是取消所有的服务,只启动你需要的服务。 三、安装供应商提供的所有补丁 我们强烈建议你安装了所有的安全补丁,要使你的系统能够抵御外来攻击,不被再次侵入,这是最重要的一步。 你应该关注所有针对自己系统的升级和补丁信息。 四、查阅CERT的安全建议、安全总结和供应商的安全提示 我们鼓励你查阅CERT以前的安全建议和总结,以及供应商的安全提示,一定要安装所有的安全补丁。 CERT安全建议http://www.cert.org/advisories/
CERT安全总结http://www.cert.org/advisories/
供应商安全提示:ftp://ftp.cert.org/pub/cert_bulleti / 五、谨慎使用备份数据 在从备份中恢复数据时,要确信备份主机没有被侵入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。如果你只是恢复用户的home目录以及数据文件,请记住文件中可能藏有特洛伊木马程序。你还要注意用户起始目录下的.rhost文件。 六、改变密码 在弥补了安全漏洞或者解决了配置问题以后,建议你改变系统中所有帐户的密码。一定要确信所有帐户的密码都不容易被猜到。你可能需要使用供应商提供的或者第三方的工具加强密码的安全。 加强系统和网络的安全 一、根据CERT的UNIX/NT配置指南检查系统的安全性 CERT的UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。 http://www.cert.org/tech_ti /unix_configuration_guidelines.html
标签: