名 創(chuàng)
攻擊者入侵某個系統(tǒng),總是由某個主要目的所驅(qū)使的。例如炫耀技術、得到企業(yè)機密數(shù)據(jù)、破壞企業(yè)正常的業(yè)務流程等等。有時也有可能在入侵后,攻擊者的攻擊行為由某種目的變成了另一種目的,例如:本來是炫耀技術,但在進入系統(tǒng)后,發(fā)現(xiàn)了一些重要的機密數(shù)據(jù),由于利益的驅(qū)使,攻擊者最終竊取了這些機密數(shù)據(jù)。
而攻擊者入侵系統(tǒng)的目的不同,使用的攻擊方法也會不同,所造成的影響范圍和損失也就不會相同。因此,在處理不同的系統(tǒng)入侵事件時,就應當對癥下藥。不同的系統(tǒng)入侵類型,應當以不同的處理方法來解決,這樣,才有可能做到有的放矢,達到最佳的處理效果。
一、以炫耀技術為目的的系統(tǒng)入侵恢復
對于以修改服務內(nèi)容為目的的系統(tǒng)入侵活動,不需要停機就可以完成系統(tǒng)恢復工作。
1、應當采用的處理方式
(1)建立被入侵系統(tǒng)當前完整的系統(tǒng)快照,或只保存被修改部分的快照,以便事后分析和留作證據(jù)。
(2)立即通過備份恢復被修改的網(wǎng)頁。
(3)在Windows系統(tǒng)下,通過網(wǎng)絡監(jiān)控軟件或“netsiat-an”命令來查看系統(tǒng)目前的網(wǎng)絡連接情況,如果發(fā)現(xiàn)不正常的網(wǎng)絡連接,應當立即斷開與它的連接。然后通過查看系統(tǒng)進程、服務和分析系統(tǒng)和服務的日志文件,來檢查系統(tǒng)攻擊者在系統(tǒng)中還做了什么樣的操作,以便做相應的恢復。
(4)通過分析系統(tǒng)日志文件,或者通過弱點檢測工具來了解攻擊者入侵系統(tǒng)所利用的漏洞。如果攻擊者是利用系統(tǒng)或網(wǎng)絡應用程序的漏洞來入侵系統(tǒng)的,那么,就應當尋找相應的系統(tǒng)或應用程序漏洞補丁來修補它,如果目前還沒有這些漏洞的相關補丁。我們就應當使用其他的手段來暫時防范再次利用這些漏洞的入侵活動。如果攻擊者是利用其他方式,例如社會工程方式入侵系統(tǒng)的,而檢查系統(tǒng)中不存在新的漏洞,那么就可以不必進行這一個步驟,而必須對社會工程攻擊實施的對象進行了解和培訓。
(5)修復系統(tǒng)或應用程序漏洞后,還應當添加相應的防火墻規(guī)則來防止此類事件的再次發(fā)生,如果安裝有IDS/IPS和殺毒軟件,還應當升級它們的特征庫。
(6)最后,使用系統(tǒng)或相應的應用程序檢測軟件對系統(tǒng)或服務進行一次徹底的弱點檢測,在檢測之前要確保其檢測特征庫是最新的。所有工作完成后,還應當在后續(xù)的一段時間內(nèi),安排專人對此系統(tǒng)進行實時監(jiān)控,以確信系統(tǒng)已經(jīng)不會再次被此類入侵事件攻擊。
2、進一步保證入侵恢復的成果
(1)修改系統(tǒng)管理員或其他用戶賬戶的名稱和登錄密碼;
(2)修改數(shù)據(jù)庫或其他應用程序的管理員和用戶賬戶名稱和登錄密碼;
(3)檢查防火墻規(guī)則;
(4)如果系統(tǒng)中安裝有殺毒軟件和IDS/IPS。分別更新它們的病毒庫和攻擊特征庫:
(5)重新設置用戶權(quán)限;
(6)重新設置文件的訪問控制規(guī)則;
(7)重新設置數(shù)據(jù)庫的訪問控制規(guī)則;
(8)修改系統(tǒng)中與網(wǎng)絡操作相關的所有賬戶的名稱和登錄密碼等。
當我們完成上述的所有系統(tǒng)恢復和修補任務后,我們就可以對系統(tǒng)和服務進行一次完全備份,并且將新的完全備份與舊的完全備份分開保存。
在這里要注意的是:對于以控制系統(tǒng)為目的的入侵活動,攻擊者會想方設法來隱藏自己不被用戶發(fā)現(xiàn)。他們除了通過修改或刪除系統(tǒng)和防火墻等產(chǎn)生的與他的操作相關的日志文件外,高明的黑客還會通過一些軟件來修改其所創(chuàng)建、修改文件的基本屬性信息,這些基本屬性包括文件的最后訪問時間、修改時間等,以防止用戶通過查看文件屬性來了解系統(tǒng)已經(jīng)被入侵。因此,在檢測系統(tǒng)文件是否被修改時,應當使用RootKit Revealer等軟件來進行文件完整性檢測。
二、以得到或損壞系統(tǒng)中機密數(shù)據(jù)為目的的系統(tǒng)入侵恢復
機密數(shù)據(jù)對于一些中小企業(yè)來說,可以說是一種生命,例如客戶檔案、生產(chǎn)計劃、新產(chǎn)品研究檔案、新產(chǎn)品圖庫,這些數(shù)據(jù)要是泄漏給了競爭對象,那么,就有可能造成被入侵企業(yè)的破產(chǎn)。對于搶救以得到、破壞系統(tǒng)中機密數(shù)據(jù)為目的的系統(tǒng)入侵活動,要想最大限度地降低入侵帶來的數(shù)據(jù)損失,最好的方法就是在數(shù)據(jù)庫還沒有被攻破之前就阻止入侵事件的進一步發(fā)展。
1、恢復還沒有得到或破壞機密數(shù)據(jù)的被入侵系統(tǒng)
假設我們發(fā)現(xiàn)系統(tǒng)已經(jīng)被入侵,并且通過分析系統(tǒng)日志,或者通過直接觀察攻擊者對數(shù)據(jù)庫進行的后續(xù)入侵活動,已經(jīng)了解到機密數(shù)據(jù)還沒有被攻擊者竊取,只是進入了系統(tǒng)而已。那么,我們就可以按下列方式來應對這樣的入侵活動:如果企業(yè)規(guī)定在處理這樣的系統(tǒng)入侵事件時,不允許系統(tǒng)停機,那么就應當按這種方式來處理。
(1)立即找到與攻擊源的網(wǎng)絡連接并斷開。然后通過添加防火墻規(guī)則來阻止。通常,當我們一開始就立即斷開與攻擊源的網(wǎng)絡連接。攻擊者就會立即察覺到。并由此迅速消失,以防止自己被反向追蹤。因而,如果我們想抓到攻擊者,讓他受到法律的懲罰。在知道目前攻擊者進行的入侵攻擊不會對數(shù)據(jù)庫中的機密數(shù)據(jù)造成影響的前提下,我們就可以先對系統(tǒng)當前狀態(tài)做一個快照,用來做事后分析和證據(jù),然后使用IP追捕軟件來反向追蹤攻擊者,找到后再斷開與他的網(wǎng)絡連接。
不過。我們要注意的是,進行反向追蹤會對正常的系統(tǒng)業(yè)務造成一定的影響,同時,如果被黑客發(fā)現(xiàn),他們有時會做最后一搏,會破壞系統(tǒng)后逃避,因而在追捕的同時要注意安全防范。只是,大部分的企業(yè)都是以盡快恢復系統(tǒng)正常運行,減少入侵損失為主要目的,因此,立即斷開與攻擊源的網(wǎng)絡連接是最好的處理方式。
(2)對被入侵系統(tǒng)的當前狀態(tài)建立快照,以便事后分析和留作證據(jù)。
(3)通過分析日志文件和弱點檢測工具找到攻擊者入侵系統(tǒng)的漏洞,然后了解這些系統(tǒng)漏洞是如何得到的。如果漏洞是攻擊者自己分析得到的,那么就可能還沒有相應的漏洞修復補丁,因而必須通過其他手段來暫時防范再次利用此漏洞入侵系統(tǒng)事件的發(fā)生;如果漏洞是攻擊者通過互聯(lián)網(wǎng)得到的,而且漏洞已經(jīng)出現(xiàn)了相當一段時間,那么就可能存在相應的漏洞修復補丁。此時,就可以到系統(tǒng)供應商建立的服務網(wǎng)站下載這些漏洞補丁修復系統(tǒng);如果攻擊者是通過社會工程方式得到的漏洞。我們就應當對當事人和所有員工進行培訓。以減少被再次利用的機率。
(4)修改數(shù)據(jù)庫管理員賬號名稱和登錄密碼,重新為操作數(shù)據(jù)的用戶建立新的賬戶和密碼,并且修改數(shù)據(jù)庫的訪問規(guī)則。至于剩下的系統(tǒng)恢復工作,可以按恢復以控制系統(tǒng)為目的的系統(tǒng)入侵恢復方式來進行。
2、恢復已經(jīng)得到或刪除了機密數(shù)據(jù)的被入侵系統(tǒng)
如果當我們發(fā)現(xiàn)系統(tǒng)已經(jīng)被入侵時,攻擊者已經(jīng)得到或刪除了系統(tǒng)中全部或部分的機密數(shù)據(jù),那么,現(xiàn)在要做的不是試圖搶救已經(jīng)損失了的數(shù)據(jù),而是保護沒有影響到的數(shù)據(jù)。由于此類系統(tǒng)入侵事件已經(jīng)
屬于特別嚴重的入侵事件,我們的第一個動作,就是盡快斷開與攻擊源的網(wǎng)絡連接。
如果允許系統(tǒng)停機處理這類嚴重系統(tǒng)入侵事件,那么就可以直接拔掉網(wǎng)線斷開被入侵系統(tǒng)與網(wǎng)絡的直接連接。當系統(tǒng)仍然不允許停機處理時,就應當通過網(wǎng)絡連接監(jiān)控軟件來找到系統(tǒng)與攻擊源的網(wǎng)絡連接,然后斷開,并在防火墻中添加相應的規(guī)則來攔截與攻擊源的網(wǎng)絡連接。這樣做的目的。就是防止此次系統(tǒng)入侵事件進一步的惡化,保護其他沒有影響到的數(shù)據(jù)。
斷開與攻擊源的連接后,我們就應當立即分析數(shù)據(jù)損失的范圍和嚴重程度,了解哪些數(shù)據(jù)還沒有被影響到,然后立即將這些沒有影響到的數(shù)據(jù)進行備份或隔離保護。對于丟失了數(shù)據(jù)的系統(tǒng)入侵事件,我們還可以將它歸納成以下的三個類別:
(1)數(shù)據(jù)被竊取
當我們檢測數(shù)據(jù)庫時發(fā)現(xiàn)數(shù)據(jù)并沒有被刪除或修改,但是通過分析系統(tǒng)日志和防火墻日志,了解攻擊者已經(jīng)進入了數(shù)據(jù)庫,打開了某些數(shù)據(jù)庫表,或者已經(jīng)復制了這些數(shù)據(jù)庫表,那么就可以確定攻擊者只是竊取了數(shù)據(jù)而沒有進行其他活動。此時,應當按前面介紹過的方法先恢復系統(tǒng)到正常狀態(tài),然后修補系統(tǒng)和數(shù)據(jù)庫應用程序的漏洞,并對它們進行弱點檢測,發(fā)現(xiàn)沒有問題后分別做一次完全備份。還應當修改系統(tǒng)管理員和數(shù)據(jù)庫管理員賬戶的名稱和登錄密碼,所有的操作與前面提到過的方式相同,只是多出了數(shù)據(jù)庫的恢復工作。
(2)數(shù)據(jù)被修改
如果我們在分析數(shù)據(jù)庫受損情況時,發(fā)現(xiàn)攻擊者并沒有打開數(shù)據(jù)庫表,而是通過數(shù)據(jù)庫命令增加、修改了數(shù)據(jù)庫某個表中的相關內(nèi)容。那么,我們不得不一一找出這些非授權(quán)的數(shù)據(jù)表相關行,然后將它們?nèi)啃拚騽h除。如果修改的內(nèi)容有關某個行業(yè),例如辦理駕駛證的政府機關,辦理畢業(yè)證的教育機構(gòu),或者辦理其他各種執(zhí)照的相關單位等,那么,還要將攻擊者修改的內(nèi)容向外界公布,說明這些被攻擊者修改或添加的內(nèi)容是無效的,以免造成不必要的社會影響。其他的系統(tǒng)和數(shù)據(jù)庫恢復處理方式與數(shù)據(jù)被竊取方式相同。
(3)數(shù)據(jù)被刪除
如果我們在分析數(shù)據(jù)庫受損情況時,發(fā)現(xiàn)攻擊者不僅得到了機密數(shù)據(jù),而且將系統(tǒng)中的相應數(shù)據(jù)庫表完全刪除了,那么,我們在斷開與其網(wǎng)絡連接時,要立即著手恢復這些被刪除了的數(shù)據(jù)。
當我們通過備份的方式來恢復被刪除的數(shù)據(jù)時,在恢復之前,一定要確定系統(tǒng)被入侵的具體時間,這樣才知道什么時候的備份是可以使用的。這是因為,如果我們對數(shù)據(jù)庫設置了每日的增量備份,當攻擊者刪除其中的內(nèi)容時,非法修改后的數(shù)據(jù)庫同樣被備份了,因此,在入侵后的增量備份都不可用。同樣,如果在系統(tǒng)被入侵期間。還對數(shù)據(jù)庫進行了完全備份,那么。這些完全備份也不可用。
如果允許我們停機進行處理,我們可以拆下系統(tǒng)上的硬盤,接入其他系統(tǒng),然后通過文件恢復軟件來恢復這些被刪除的文件。但是,對于數(shù)據(jù)庫表中內(nèi)容的刪除,我們只能通過留下的紙質(zhì)文檔,來自己慢慢修正。
在這里我們就可以知道,備份并不能解決所有的系統(tǒng)入侵問題,但仍然是最快、最有效恢復系統(tǒng)正常的方式之一。我們還可以知道,及時發(fā)現(xiàn)系統(tǒng)已經(jīng)被入侵對于搶救系統(tǒng)中的機密數(shù)據(jù)是多么的重要。
三、以破壞系統(tǒng)或業(yè)務正常運行為目的的系統(tǒng)入侵恢復
當攻擊者入侵系統(tǒng)的目的,就是為了讓系統(tǒng)或系統(tǒng)中的正常業(yè)務不能正常運行,如果我們發(fā)現(xiàn)不及時,當這類系統(tǒng)入侵事件攻擊成功后,就會造成系統(tǒng)意外停機事件和業(yè)務意外中斷事件。
處理這類系統(tǒng)入侵事件時,已經(jīng)沒有必要再考慮系統(tǒng)需不需要停機處理的問題了,既然系統(tǒng)都已經(jīng)不能正常運行了,考慮這些都是多余的,最緊要的就是盡快恢復系統(tǒng)正常運行。對于這類事件,也有下列這幾種類別,每種類別的處理方式也是有一點區(qū)別的:
1、系統(tǒng)運行正常,但業(yè)務已經(jīng)中斷
對于此類系統(tǒng)入侵事件,我們可以不停機進行處理,直接以系統(tǒng)在線方式通過備份來恢復業(yè)務的正常運行,但在恢復前要確定系統(tǒng)被入侵的具體時間,以及什么時候的備份可以使用,然后按本文前面介紹的相關系統(tǒng)入侵恢復方式來恢復系統(tǒng)和業(yè)務到正常狀態(tài)。
對于沒有冗余系統(tǒng)的企業(yè),如果當時非常迫切需要系統(tǒng)業(yè)務能夠正常運行,那么,也只有在通過備份恢復業(yè)務正常運行后直接使用它。但在沒有修復系統(tǒng)或應用程序漏洞之前,必須安排專人實時監(jiān)控系統(tǒng)的運行狀況,包括網(wǎng)絡連接狀況、系統(tǒng)進程狀況。通過提高IDS/IPS的檢測力度。添加相應的防火墻檢測規(guī)則來暫時保護系統(tǒng)安全。
2、系統(tǒng)不能正常運行。但系統(tǒng)中與業(yè)務相關的內(nèi)容沒有受到破壞
此時,我們首要的任務就是盡快讓系統(tǒng)恢復正常運行,但是要保證系統(tǒng)中與業(yè)務相關的數(shù)據(jù)不能受到損害。如果與業(yè)務相關的重要數(shù)據(jù)不在系統(tǒng)分區(qū),那么,將系統(tǒng)從網(wǎng)絡中斷開后,我們就可以通過另外保存的系統(tǒng)完全備份來迅速恢復系統(tǒng)到正常狀態(tài),這是最快速的解決方法。
但是,如果與業(yè)務相關的數(shù)據(jù)全部或部分存放在系統(tǒng)分區(qū),那么,為了保證當前業(yè)務數(shù)據(jù)的完整性,我們應當先通過像winPE光盤系統(tǒng)的方式啟動WinPE系統(tǒng),然后將與業(yè)務相關的重要數(shù)據(jù)全部備份到其他獨立的存儲設備中,再對系統(tǒng)分區(qū)進行備份恢復操作。
如果我們發(fā)現(xiàn)系統(tǒng)的完全備份不可用。我們就只能在保證與業(yè)務相關的重要數(shù)據(jù)不損失的情況下,通過全新的操作系統(tǒng)安裝方式來恢復系統(tǒng)正常運行,然后再安裝業(yè)務應用程序,來恢復整個系統(tǒng)業(yè)務的正常運行。但是,由于這種方式是重新全新安裝操作系統(tǒng),因此。如沒有特殊的要求,應當對系統(tǒng)和應用程序做好相應的安全防范措施并完全備份后,才將系統(tǒng)連入網(wǎng)絡當中。
至于剩下的系統(tǒng)恢復工作,可以按恢復以控制系統(tǒng)為目的的系統(tǒng)入侵恢復方式來進行。