A.准備工作
1.商討安全策略
如果你的組織沒有自己的安全策略,那麼需要按照以下步驟建立自己的安全策略。
1.1.和管理人員協商
將入侵事故通知管理人員,可能在有的組織中很重要。在be aware進行事故恢復的時候,網絡管理人員能夠得到內部各部門的配合。也應該明白入侵可能引起傳媒的注意。
1.2.和法律顧問協商
在開始你的恢復工作之前,你的組織需要決定是否進行法律調查。
注意CERT(Computer Emergency Response Team)只提供技術方面的幫助和提高網絡主機對安全事件的反應速度。它們不會提出法律方面的建議。所以,對於法律方面的問題建議你咨詢自己的法律顧問。你的法律顧問能夠告訴你入侵者應該承擔的法律責任(民事的或者是刑事的),以及有關的法律程序。
現在,是你決定如何處理這起事故的時候了,你可以加強自己系統的安全或者選擇報警。
如果你想找出入侵者是誰,建議你與管理人員協商並咨詢法律顧問,看看入侵者是否觸犯了地方或者全國的法律。根據這些,你可以報案,看看警方是否願意對此進行調查。
針對與入侵事件,你應該與管理人員和法律顧問討論以下問題:
如果你要追蹤入侵者或者跟蹤網絡連接,是否會觸犯法律。
如果你的站點已經意識到入侵但是沒有采取措施阻止,要承擔什麼法律責任。
入侵者是否觸犯了全國或者本地的法律。
是否需要進行調查。
是否應該報警。
1.3.報警
通常,如果你想進行任何類型的調查或者起訴入侵者,最好先跟管理人員和法律顧問商量以下。然後通知有關執法機構。
一定要記住,除非執法部門的參與,否則你對入侵者進行的一切跟蹤都可能是非法的。
1.4.知會其他有關人員
除了管理者和法律顧問之外,你還需要通知你的恢復工作可能影響到的人員,例如其他網絡管理人員和用戶。
2.記錄恢復過程中所有的步驟
毫不誇張地講,記錄恢復過程中你采取的每一步措施,是非常重要的。恢復一個被侵入的系統是一件很麻煩的事,要耗費大量的時間,因此經常會使人作出一些草率的決定。記錄自己所做的每一步可以幫助你避免作出草率的決定,還可以留作以後的參考。記錄還可能對法律調查提供幫助。
B.奪回對系統的控制權
1.將被侵入的系統從網絡上斷開
為了奪回對被侵入系統的控制權,你需要將其從網絡上斷開,,包括播號連接。斷開以後,你可能想進入UNIX系統的單用戶模式或者NT的本地管理者(local administrator)模式,以奪回系統控制權。然而,重啟或者切換到單用戶/本地管理者模式,會丟失一些有用的信息,因為被侵入系統當前運行的所有進程都會被殺死。
因此,你可能需要進入C.5.檢查網絡嗅探器節,以確定被侵入的系統是否有網絡嗅探器正在運行。
在對系統進行恢復的過程中,如果系統處於UNIX單用戶模式下,會阻止用戶、入侵者和入侵進程對系統的訪問或者切換主機的運行狀態。
如果在恢復過程中,沒有斷開被侵入系統和網絡的連接,在你進行恢復的過程中,入侵者就可能連接到你的主機,破壞你的恢復工作。
2.復制一份被侵入系統的影象
在進行入侵分析之前,建議你備份被侵入的系統。以後,你可能會用得著。
如果有一個相同大小和類型的硬盤,你就可以使用UNIX命令dd將被侵入系統復制到這個硬盤。
例如,在一個有兩個SCSI硬盤的Linux系統,以下命令將在相同大小和類型的備份硬盤(/dev/sdb)上復制被侵入系統(在/dev/sda盤上)的一個精確拷貝。
# dd if=/dev/sda of=/dev/sdb
請閱讀dd命令的手冊頁獲得這個命令更詳細的信息。
還有一些其它的方法備份被侵入的系統。在NT系統中沒有類似於dd的內置命令,你可以使用一些第三方的程序復制被侵入系統的整個硬盤影象。
建立一個備份非常重要,你可能會需要將系統恢復到侵入剛被發現時的狀態。它對法律調查可能有幫助。記錄下備份的卷標、標志和日期,然後保存到一個安全的地方以保持數據的完整性。
C.入侵分析
現在你可以審查日志文件和系統配置文件了,檢查入侵的蛛絲馬跡,入侵者對系統的修改,和系統配置的脆弱性。