пятница, 4 ноября 2011 г.

Пошло что- то не так? А может это хак-атак!



Есть большое количество способов воспользоваться большинством уязвимостей. Для хакерской атаки возможно применять 1 эксплойт, несколько эксплойтов одновременно, неверные настройки программных компонентов или даже программу-бэкдор, установленную в операционную систему в ходе предыдущей атаки. Из-за этого детектирование хакерской атаки становится не самой простой задачей, в особенности для неопытного пользователя. В этом разделе мы постараемся сформулировать советы, способные помочь читателю определить, подвергается ли его компьютер хакерской атаке или же защита компьютера уже была взломана раньше. Не забывайте, что, как и в случае вирусов, никто не дает 100 процентов гарантии, что вы сможете закрепить хакерскую атаку подобными способами. Хотя, если ваша система уже взломана, то вы скорее всего отметите кое-какие из нижеприведенных признаков. Windows-компьютеры: Подозрительно высокий исходящий трафик. Если вы пользуетесь дайлапом или ADSL-подключением и заметили необычно большое число исходящего сетевого трафика (в т.ч., проявляющегося, когда ваш компьютер работает и подключен к интернету, однако вы им не пользуетесь), то ваш компьютер, вероятно, был взломан.
Подобный компьютер может применяться для скрытой рассылки спама или для размножения сетевых червей. Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PAYPAL. Отдельные сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии применяются для рассылки инфицированных писем. Если вы заметили существенную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках начали возникать файлы с подозрительными названиями, это тоже может оказаться признаком взлома компьютера или заражения его операционной системы вредоносной программой. Большое число пакетов с одного и того же адреса, останавливаемые персональным межсетевым экраном. После определения цели (к примеру, диапазона IP-адресов какой-нибудь компании или домашней сети) хакеры как правило запускают автоматические сканеры, пытающиеся применять набор разных эксплойтов для проникновения в систему. Если вы запустите персональный межсетевой экран (фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно высокое число остановленных пакетов с одного и того же адреса, то это - признак того, что ваш компьютер атакуют. Хотя, если ваш межсетевой экран передает об остановке таких пакетов, то компьютер, вероятнее всего, в безопасности. Хотя многое зависит от того, какие запущенные сервисы открыты для доступа из интернета. Так, к примеру, персональный межсетевой экран может и не совладать с атакой, направленной на работающий на вашем компьютере FTP-сервис. В этой ситуации решением трудности является временная полная блокировка опасных пакетов до тех пор, пока не прекратятся попытки соединения. Большая часть персональных межсетевых экранов обладают подобной функцией. Постоянная антивирусная защита вашего компьютера передает о присутствии на компьютере троянских программ или бэкдоров, впрочем в остальном все работает нормально. Хоть хакерские атаки могут быть сложными и необычными, больше всего взломщиков полагается на неплохо известные троянские программы, позволяющие получить полный контроль над зараженным компьютером. Если ваш антивирус передает о поимке таких вредоносных программ, то это может оказаться признаком того, что ваш компьютер открыт для несанкционированного удаленного доступа. UNIX-компьютеры: Файлы с подозрительными названиями в папке "/tmp". Большое число эксплойтов в мире UNIX полагается на создание временных файлов в стандартной папке "/tmp", которые не во всех случаях удаляются после взлома системы. Это же справедливо для некоторых червей, заражающих UNIX-системы; они рекомпилируют себя в папке "/tmp" и после применяют ее в качестве "домашней". Модифицированные исполняемые файлы системных сервисов вроде "login", "telnet", "ftp", "finger" или даже более сложных типа "sshd", "ftpd" и иных. После проникновения в систему хакер как правило предпринимает попытку укорениться в ней, поместив бэкдор в 1 из сервисов, доступных из интернета, или изменив стандартные системные программы, применяемые для подключения к иным компьютерам. Такие модифицированные исполняемые файлы как правило входят в состав rootkit и скрыты от простого прямого изучения. Так или иначе, полезно хранить базу с контрольными суммами всех системных утилит и время от времени, отключившись от интернета, в режиме одного пользователя, проверять, не изменились ли они. Модифицированные "/etc/passwd", "/etc/shadow" или другие системные файлы в папке "/etc". Время от времени результатом хакерской атаки становится появление еще одного пользователя в файле "/etc/passwd", который может удаленно зайти в систему позднее. Следите за всеми изменениями файла с паролями, в особенности за появлением пользователей с подозрительными логинами. Появление подозрительных сервисов в "/etc/services". Инсталляция бэкдора в UNIX-системе чаще всего производится путем добавления 2-х текстовых строк в файлы "/etc/services" и "/etc/ined.conf". Нужно всегда следить за этими файлами, чтоб не пропустить миг возникновения там новых строк, устанавливающих бэкдор на раньше подозрительный или неиспользуемый порт.

Подробнее :

Комментариев нет:

Отправить комментарий