檢測不同設(shè)置系統(tǒng)下黑客發(fā)起的攻擊

多數(shù)計(jì)算機(jī)漏洞都能以多種方式被利用。 黑客攻擊可以利用某個(gè)特定的漏洞， 而且對某些漏洞的利用會同時(shí)發(fā)生， 黑客們還可以利用系統(tǒng)組件的某處錯(cuò)誤配置或早些時(shí)候攻擊留下的后門。

　　有鑒于此， 檢測黑客攻擊并不是一件輕松事情， 特別是對于一位不熟練的用戶來說。 本文將給出一些基本的指南， 以幫助你決定自己的計(jì)算機(jī)是否受到了攻擊， 或者說你的系統(tǒng)安全是否受到了破壞。 記住：就像對付病毒一樣， 并不能保證你用某種方法一定可以檢測出一次黑客攻擊。 但是， 如果你的系統(tǒng)遭受攻擊， 它就會表現(xiàn)出這樣或那樣的行為。

　　對Windows平臺計(jì)算機(jī)的檢測

　　Windows平臺計(jì)算機(jī)遭受攻擊的癥狀：

　　1.可疑的大量轉(zhuǎn)出通信。 如果你正使用一個(gè)撥號賬戶或者正使用ADSL， 并且注意到一次不尋常的大量的轉(zhuǎn)出網(wǎng)絡(luò)的通信(你的計(jì)算機(jī)處于空閑狀態(tài)或者沒有必要上載數(shù)據(jù)時(shí))， 那么有可能你的計(jì)算機(jī)已經(jīng)遭受到了損害。 你的計(jì)算機(jī)有可能正被用于發(fā)送垃圾郵件或被一個(gè)不斷復(fù)制自身并發(fā)送其副本的網(wǎng)絡(luò)蠕蟲所使用。 對于寬帶連接， 這與黑客攻擊的關(guān)系性可能性不大， 即使你僅僅是瀏覽網(wǎng)站或從互聯(lián)網(wǎng)上下載數(shù)據(jù)， 也會有幾乎同樣大小的數(shù)據(jù)流入或流出網(wǎng)絡(luò)。

　　2.增加的磁盤活動(dòng)或在任何驅(qū)動(dòng)器 root目錄中增加了一些看起來可疑的文件。 在攻入一個(gè)系統(tǒng)之后， 許多黑客都要運(yùn)行一次大規(guī)模的掃描， 來檢查任何他感興趣的文檔或包含銀行賬戶口令或支付賬戶， 如支付寶等文件。 類似情況下， 一些蠕蟲也會搜索包含電子郵件地址以磁盤文件， 用于傳播垃圾郵件。 如果在系統(tǒng)空閑時(shí)， 你注意到嚴(yán)重的磁盤活動(dòng)與公用文件夾中的某些可疑的命名文件發(fā)生了聯(lián)系， 這就可能表示一次系統(tǒng)攻擊或惡意軟件感染的發(fā)生。

　　3.來自某個(gè)單一IP地址的大量數(shù)據(jù)包被個(gè)人防火墻所阻止。 在定位了一個(gè)目標(biāo)之后(例如， 一家公司或家庭用戶的IP地址范圍)， 黑客們通常會運(yùn)行自動(dòng)化的探測工具， 利用漏洞來突破并進(jìn)入系統(tǒng)。 如果你運(yùn)行著個(gè)人防火墻(防護(hù)攻擊的一個(gè)基本元素)， www.arpun.com 并注意到來自某個(gè)同一IP地址的大量異常數(shù)據(jù)包被阻止， 那么這會指明你的機(jī)器正遭受著攻擊。 好消息是如果你的個(gè)人防火墻正報(bào)告這些攻擊， 你可能還比較安全。 然而， 依賴于你向互聯(lián)網(wǎng)暴露的服務(wù)， 個(gè)人防火墻可能會無法保護(hù)你一次針對一個(gè)特定的FTP服務(wù)的攻擊， 而這種服務(wù)可能會被所有的人訪問到。 在這種情況下， 一個(gè)可行的解決方案是臨時(shí)阻止這些討厭的IP地址直至連接企圖停止。 許多個(gè)人防火墻和IDS都有這個(gè)內(nèi)置特性。

　　4.即使你沒有執(zhí)行什么非正常操作， 本地反病毒軟件卻突然報(bào)告說， 檢測到了后門或特洛伊木馬。 雖然黑客攻擊可能非常復(fù)雜并且不斷翻新， 許多攻擊還是要依賴于已知的特洛伊木馬或后門來獲取對一個(gè)受損系統(tǒng)的完全訪問權(quán)。 如果你的本地反病毒組件正檢測和報(bào)告這種惡意代碼， 這就表明你的系統(tǒng)有可能可以從外部訪問。

　　對Unix平臺計(jì)算機(jī)的檢測

　　Unix平臺計(jì)算機(jī)遭受攻擊的癥狀有這些：

　　1.在/tmp文件夾內(nèi)的可疑的命名文件。 Unix系統(tǒng)中的許多漏洞利用都依賴在/tmp標(biāo)準(zhǔn)文件夾中創(chuàng)建臨時(shí)文件， 在系統(tǒng)遭受攻擊后這很難被檢測出來。 對于已知的一些感染Unix系統(tǒng)的蠕蟲也是這樣， 蠕蟲會將其自己編譯到/tmp文件夾中， 并惡意運(yùn)用之。

　　2.修改系統(tǒng)中的一些程序， 如’login’, ‘telnet’, ‘ftp’, ‘finger’等， 或者是一些更加復(fù)雜的進(jìn)程， 如’sshd’, ‘ftpd’等等。 在突破進(jìn)入一個(gè)系統(tǒng)之后， 一個(gè)黑客通常會將一個(gè)后門植入到某個(gè)可以直接訪問互聯(lián)網(wǎng)的進(jìn)程中， 試圖確保其訪問的安全， 或者修改可用于與其它系統(tǒng)聯(lián)系起來的標(biāo)準(zhǔn)系統(tǒng)實(shí)用程序。 被修改的程序通常成為一個(gè)rootkit的部分， 并且通常情況下它們會破壞一些簡單的檢查。 在所有的情況下， 為每一個(gè)系統(tǒng)實(shí)用程序維持一個(gè)檢查和(checksum)的數(shù)據(jù)庫是一個(gè)好注意， 并且定期地在單一用戶模式中， 將其與系統(tǒng)進(jìn)行離線驗(yàn)證。

　　3.修改/etc/passwd、 /etc/shadow， 或者修改/etc文件夾中的所有其它系統(tǒng)文件。 有時(shí)， 黑客攻擊會在/etc/passwd中增加一個(gè)新用戶， 它可以在日后遠(yuǎn)程登錄到系統(tǒng)中。 你可以在口令文件中查看可疑的用戶名， 并且監(jiān)視所有的增加項(xiàng)， 特別是在一個(gè)多用戶的系統(tǒng)中更要這樣。

　　4.一些可疑的服務(wù)被添加到/etc/services中。 在一個(gè)Unix系統(tǒng)中打開一個(gè)后門有時(shí)也就是增加一兩行代碼。 這是通過修改/etc/services以及/etc /ined.conf而實(shí)現(xiàn)的。 你需要密切地監(jiān)視這兩個(gè)文件中的任何添加項(xiàng)， 因?yàn)檫@會指明一個(gè)后門與一個(gè)未用的或可疑的端口聯(lián)結(jié)起來。