荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: bstone (无心伤害), 信区: Hacker
标 题: 攻击应对策略
发信站: BBS 荔园晨风站 (Fri Mar 17 20:57:01 2000), 站内信件
发信人: hansd (淘气蓝皮鼠), 信区: Security
标 题: 攻击应对策略
发信站: 武汉白云黄鹤站 (Thu Mar 9 09:32:13 2000), 站内信件
摘自中国cert
对于提供信息服务的主机系统,根本的原则是:如果攻击事件使得
系统无法继续提供服务,那么你的应对策略首先就是要迅速恢复服务。
1.攻击应对的第一步是要分析遭受攻击的程度,你必须迅速的确
定:
1.1攻击者的攻击行为是否尚处在试探过程中?
如果你发现有人正在试图登录你的系统,或是利用服务器软件
(WWW,FTP,MAIL等)的漏洞获取敏感的系统文件,但尚未成功,你的
应对策略应该是:确保系统内不存在薄弱口令,修补系统和服务器软
件的漏洞,对攻击者保持关注。
1.2是否有攻击者已经成功的侵入到你的系统?
下面的几个命令可用于发现入侵者:
who(w)命令显示异常的用户登录,或者该命令结果不可辨识;ps
命令显示异常的进程或常见进程的行为异常;(Windows用户可以用Ctrl+Alt+Del;)
netstat命令显示异常的TCP连接或开放的UDP端口;(Windows用
户可以运行netstat -an;)
如果确定攻击者成功的侵入系统,你应该采取如下步骤。
2.立即采取措施阻止攻击造成进一步的破坏。
如果你仍然能够获得系统的超级用户权限,那么你可以杀掉与攻
2.立即采取措施阻止攻击造成进一步的破坏。
击者相关的进程,从而暂时阻止进一步的破坏;如果你已经无法获得
超级用户的权限,那么你就必须立即断开系统与网络的连接;如果断
开网络连接之后,仍然无法阻止恶意进程的破坏,那么你必须及时的shutdown
。
3.通知内部安全管理人员。
攻击事件发生后,你还应该即时的通知其他安全管理人员,对网
络上的所有主机进行检查,防止入侵破坏蔓延到其它系统上。
4.把在攻击事件中受到影响的文件加以备份,尽可能的记录下系
统的瞬时状态,保护系统日志。
在攻击事件中受到影响的文件、系统运行状态还有系统日志是追
踪攻击者和搜集攻击证据的重要资料,在进行恢复之前应该做出尽量
完整的备份。
5.从以前的备份中恢复受到破坏的系统文件,重新启动服务。
恢复遭受攻击而瘫痪的信息服务6.将整个攻击事件的发现和处理
过程详细记录在案,与备份出来的受到破坏的文件一起存档。
--
欢迎光临蓝皮鼠的ftp://202.114.14.148
煤燃烧实验室ftp://202.114.14.137
※ 来源:.武汉白云黄鹤站 bbs.whnet.edu.cn.[FROM: 202.114.14.148]
--
☆ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: bbs@192.168.28.23]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店