【正文】 安全的主機(jī) ? 網(wǎng)絡(luò)監(jiān)測 ? 事故處理 ? 案例分析 ? FAQ 計(jì)算機(jī)安全簡介 安全？ ? 什么是計(jì)算機(jī)安全？誰定義計(jì)算機(jī)安全？ 計(jì)算機(jī)安全 (公安部定義 1994)： 計(jì)算機(jī)系統(tǒng)的硬件、軟件和數(shù)據(jù)受到保護(hù)，不因偶然或惡意的原因而遭到破壞、更改、顯露，系統(tǒng)不能連續(xù)正常運(yùn)行。 ? 以網(wǎng)絡(luò)地址為目標(biāo)地址發(fā)送 ICMO應(yīng)答請求報(bào)文，其中很多主機(jī)會(huì)作出應(yīng)答。 一個(gè)蠕蟲實(shí)例（續(xù)上） ? 第八步 ， 一級受害主機(jī)發(fā)現(xiàn)它作為攻擊者已經(jīng)成功的感染了一定數(shù)量的主機(jī) （ 目前已發(fā)現(xiàn)版本的數(shù)量為 2022） 后 ， 允許自身暴露 。 ? 為了防止將來需要使用該文件建議使用如下方法： ? 在 /etc目錄下建立 rcbackuprc目錄，對文件做備份 ? 具體資料見附件 UNIX主機(jī)的安全管理 ? 日常管理原則 ? 系統(tǒng)審計(jì) ? 常用管理工具介紹 日常管理原則 ? 管理員必須對主機(jī)全權(quán)管理 ? 必須是管理員管理 ? 管理員必須管理 ? 管理員必須定期審計(jì)主機(jī) ? 系統(tǒng)軟件的安裝必須進(jìn)行授權(quán) ? 超級用戶的控制 ? 原則上只有管理員和備份管理員有超級用戶口令 ? 超戶的擴(kuò)散必須有足夠的理由 系統(tǒng)審計(jì) ? 日常審計(jì) ? 系統(tǒng)進(jìn)程檢查 ? 系統(tǒng)服務(wù)端口檢查 ? 系統(tǒng)日志檢查 ? 針對性審計(jì) ? 懷疑發(fā)生攻擊后，對系統(tǒng)進(jìn)行針對性審計(jì) ? 針對具體懷疑情況，具體操作。 ? 響應(yīng)：記錄日志。然而 ,通過重啟動(dòng)或切換到單用戶 /本地管理員模式 ,可能會(huì)丟失一些有用的信息 . 奪回控制權(quán)（續(xù)上） ? 復(fù)制遭受入侵系統(tǒng)的鏡象 ? 在分析入侵之前 ,我們推薦建立一個(gè)系統(tǒng)的當(dāng)前備份 .這可以提供入侵被發(fā)現(xiàn)時(shí)刻文件系統(tǒng)的快照 .將來這個(gè)備份或許用的上 .例如 UNIX的 dd命令 奪回控制權(quán)？ ? Lockin vs. Lockout ? Lockin：使攻擊者保持活動(dòng) ? Lockout：奪回控制權(quán) ? 取證原則在有的情況下也要求 Lockin的處理方式 ? 因此，奪回控制權(quán)不適用于全部情況 分析入侵 ? 查看系統(tǒng)軟件和配置文件的更改 ? 查看數(shù)據(jù)的更改 ? 查看入侵者留下的工具和數(shù)據(jù) ? 檢查日志文件 分析入侵 ? 查看是否有 sniffer ? 檢查網(wǎng)絡(luò)中的其他系統(tǒng) ? 檢查與遭受入侵系統(tǒng)有關(guān)或受到影響的遠(yuǎn)程主機(jī) 查看系統(tǒng)軟件和配置文件的更改 ? 校驗(yàn)所有的系統(tǒng)二進(jìn)制和配置文件 ? 操作系統(tǒng)的內(nèi)核本身也可能被更改 .因此 ,建議從一個(gè)可信內(nèi)核啟動(dòng)并且使用一個(gè)干凈工具來分析入侵活動(dòng) ? 需要檢查的內(nèi)容： ? 木馬程序 ? 配置文件 查看數(shù)據(jù)的更改 ? 查看數(shù)據(jù)的更改 ? Web頁面 ? ftp文擋 ? 用戶主目錄中的文件 ? 系統(tǒng)上的其他數(shù)據(jù)文件 入侵者留下的工具和數(shù)據(jù) ? 查看入侵者留下的工具和數(shù)據(jù) ? Network Sniffers ? Trojan Horse Programs ? Backdoors ? Vulnerability Exploits ? Other Intruder Tools ?探測系統(tǒng)漏洞的工具 ?發(fā)起大范圍探測其他站點(diǎn)的工具 ?發(fā)起拒絕服務(wù)攻擊的工具 ?使用計(jì)算機(jī)和網(wǎng)絡(luò)資源的工具 檢查日志文件 ? NT IIS的日志文件 ? c:\winnt\system32\logfiles ? UNIX的日志文件 ? messages ? xferlog ? utmp ? wtmp ? secure 查看是否有網(wǎng)絡(luò) sniffer ? 入侵者可以在 UNIX系統(tǒng)上暗地里安裝一個(gè)網(wǎng)絡(luò)監(jiān)視程序 ,通常稱為 sniffer(or packet sniffer),用于捕獲用戶賬號和密碼信息 .對于NT系統(tǒng) ,為達(dá)到相同目的 ,通常更多地使用遠(yuǎn)程管理程序 ? 在 UNIX上網(wǎng)卡會(huì)進(jìn)入 promisc狀態(tài)或 debug狀態(tài)，可以使用的命令有： ? ifconfig ? ifstatus ? cpm 檢查網(wǎng)絡(luò)中的其他系統(tǒng) ? 在要檢查的系統(tǒng)中應(yīng)該包括與被入侵系統(tǒng)有網(wǎng)絡(luò)服務(wù) (NFS或 NIS)聯(lián)系的系統(tǒng) ? 或者通過某種信任方式 (,或者 Kerberos服務(wù)器 )聯(lián)系的系統(tǒng) ? 以及有其它較密切聯(lián)系的系統(tǒng) ? 甚至可能完全無關(guān)的系統(tǒng) 檢查與遭受入侵系統(tǒng)有關(guān)或受到影響的遠(yuǎn)程主機(jī) ? 在很多入侵事件中 ,與被入侵主機(jī)有連接的主機(jī) (不論是上游或下游主機(jī) )本身就是入侵的犧牲品 .這對于及時(shí)鑒別和通知另外的潛在受害站點(diǎn)來說是非常重要的 ? 在許多情況下需要利用響應(yīng)組或政府相關(guān)部門的力量進(jìn)行協(xié)同處理 從入侵中恢復(fù) ? 安裝操作系統(tǒng)的一個(gè)干凈版本 ? 禁用不需要的服務(wù) ? 安裝廠商提供的所有安全補(bǔ)丁 ? 咨詢 AusCERT和外部安全公告 ? 咨詢 CERT 公告 ,總結(jié) ,廠商公告 ? 小心使用備份中的數(shù)據(jù) ? 更改密碼 安裝操作系統(tǒng)的一個(gè)干凈版本 ? 什么都可能被修改過 ? 系統(tǒng)程序 ? 動(dòng)態(tài)連接庫 ? 內(nèi)核 ? 需要使用確定干凈的版本加以恢復(fù) ? 甚至使用初始介質(zhì) 禁用不需要的服務(wù) ? 僅提供那些應(yīng)該提供的服務(wù) ? 關(guān)掉其他服務(wù) ? 檢查這些服務(wù)的配置文件中是否有缺陷 ? 確定這些服務(wù)僅對預(yù)定的其他系統(tǒng)開放 更改密碼 ? 建議更改受影響系統(tǒng)上的所有賬號的密碼 ? 確保所有賬號的密碼是難猜的 ? 可以考慮使用廠商或第三方提供的工具來增強(qiáng)密碼的安全性 提高你系統(tǒng)和網(wǎng)絡(luò)的安全性 ? 復(fù)習(xí)有關(guān) UNIX或 NT安全配置的文章 ? 復(fù)習(xí)有關(guān)安全工具的文章 ? 安裝安全工具 ? 激活最大日志 ? 配置防火墻加強(qiáng)網(wǎng)絡(luò)防御 重新連上因特網(wǎng) ? 如果已經(jīng)斷開了同 Inter的連接 ,在完成上面所有步驟之后 ,可以重新連接進(jìn)入Inter 更新安全策略 ? 記下從這次入侵學(xué)到的教訓(xùn) ? 計(jì)算本次入侵事件的損失 ? 匯總安全策略的所有改變 事故處理對管理員的要求 ? 保持敏感，對任何異常都不放過，例如： ? 系統(tǒng)異常變慢 ? 無法登錄 ? 系統(tǒng)區(qū)出現(xiàn)未知的進(jìn)程 ? 出現(xiàn)運(yùn)行事件特別長的進(jìn)程 ? 等等 ? 堅(jiān)持學(xué)習(xí)，任何管理員都不可能通曉一切需要知道的安全知識 當(dāng)發(fā)現(xiàn)異常時(shí)的處理方法 ? 盡量保護(hù)現(xiàn)場 ? 盡快通知相關(guān)的部門： ? 公安部門 ? 安全響應(yīng)組 ? 上級網(wǎng)絡(luò)管理部門 ? 等等 ? 根據(jù)前面的建議加以認(rèn)真的檢查和處理 安全服務(wù)提供商 ? Cer用戶可以向 ISP請求 cert安全服務(wù) ? CERT? ? CERTComputer Emergency Response Team ? 全國 Cer主結(jié)點(diǎn) ISP均提供 cert服務(wù) ? Cer華東北地區(qū)網(wǎng)絡(luò)網(wǎng)絡(luò)中心 ? NJCert ? NJCERT ? 聯(lián)系方法 ? Tel: 0253794342304 ? Mail: ? 提交事件的描述 ? 處理方式 ? 南京地區(qū)：現(xiàn)場處理 ? 其他地區(qū)：遠(yuǎn)程處理 案例分析 ? 徐州某高校服務(wù)器不能正常使用 ? 常州某高校的一服務(wù)器對外掃描 ? 南京某高校校園網(wǎng)路由器繁忙 ? 南京某高校研究生院學(xué)生成績查詢服務(wù)被攻破 ? …. FAQ ? 為什么我的一臺主機(jī)的流量異常的大？ ? 該主機(jī)運(yùn)行了什么服務(wù)？ ? 流量的構(gòu)成是什么？ ? 可能的原因 ?配置錯(cuò)誤 ?系統(tǒng)被攻破，注入攻擊代碼 ?系統(tǒng)被攻破，架設(shè) proxy ? Mail server的 mail relay ? DNS的誤解析 FAQ ? 為什么有人報(bào)告說我的機(jī)器對外掃描？ ? 通知 ISP，確認(rèn)是否掃描事件是 IP地址假冒 ? 主機(jī)的帳號管理是否嚴(yán)格 ? 主機(jī)是否被入侵，安置蠕蟲、木馬等等 FAQ ? 為什么交換機(jī)（路由器）非常忙？ ? 是流量大還是其他的原因？ ? 問題出在內(nèi)部還是外部？ ? 通知 ISP或者相關(guān)的安全人員，依據(jù)具體問題進(jìn)行分析和處理 FAQ ? 什么樣的情況可以成為系統(tǒng)異常？ ? 系統(tǒng)工作比平時(shí)慢很多 ? 服務(wù)器訪問非常慢 ? 磁盤空間忽然變小 ? 沒有原因重新啟動(dòng) ? 流量異常 FAQ ? 發(fā)現(xiàn)系統(tǒng)正在遭受攻擊怎么處理？ ? 依據(jù)攻擊類型而定 ? DoS：優(yōu)先保護(hù)自己；力爭抓住攻擊源點(diǎn) ?針對主機(jī)的攻擊：獲取證據(jù)后，截?cái)喙? ? 迅速通知安全人員，進(jìn)行現(xiàn)場處理 ?提供相應(yīng)的環(huán)