被入侵計算機系統恢復指南

A.准備工作 　　1.商討安全策略 　　如果你的組織沒有自己的安全策略，那麼需要按照以下步驟建立自己的安全策略。 　　1.1.和管理人員協商 　　將入侵事故通知管理人員，可能在有的組織中很重要。在be aware進行事故恢復的時候，網絡管理人員能夠得到內部各部門的配合。也應該明白入侵可能引起傳媒的注意。 　　1.2.和法律顧問協商 　　在開始你的恢復工作之前，你的組織需要決定是否進行法律調查。 　　注意CERT(Computer Emergency Response Team)只提供技術方面的幫助和提高網絡主機對安全事件的反應速度。它們不會提出法律方面的建議。所以，對於法律方面的問題建議你咨詢自己的法律顧問。你的法律顧問能夠告訴你入侵者應該承擔的法律責任(民事的或者是刑事的)，以及有關的法律程序。 　　現在，是你決定如何處理這起事故的時候了，你可以加強自己系統的安全或者選擇報警。 　　如果你想找出入侵者是誰，建議你與管理人員協商並咨詢法律顧問，看看入侵者是否觸犯了地方或者全國的法律。根據這些，你可以報案，看看警方是否願意對此進行調查。 　　針對與入侵事件，你應該與管理人員和法律顧問討論以下問題： 　　如果你要追蹤入侵者或者跟蹤網絡連接，是否會觸犯法律。 　　如果你的站點已經意識到入侵但是沒有采取措施阻止，要承擔什麼法律責任。 　　入侵者是否觸犯了全國或者本地的法律。 　　是否需要進行調查。 　　是否應該報警。 　　1.3.報警 　　通常，如果你想進行任何類型的調查或者起訴入侵者，最好先跟管理人員和法律顧問商量以下。然後通知有關執法機構。 　　一定要記住，除非執法部門的參與，否則你對入侵者進行的一切跟蹤都可能是非法的。 　　1.4.知會其他有關人員 　　除了管理者和法律顧問之外，你還需要通知你的恢復工作可能影響到的人員，例如其他網絡管理人員和用戶。 　　2.記錄恢復過程中所有的步驟 　　毫不誇張地講，記錄恢復過程中你采取的每一步措施，是非常重要的。恢復一個被侵入的系統是一件很麻煩的事，要耗費大量的時間，因此經常會使人作出一些草率的決定。記錄自己所做的每一步可以幫助你避免作出草率的決定，還可以留作以後的參考。記錄還可能對法律調查提供幫助。
　　B.奪回對系統的控制權 　　1.將被侵入的系統從網絡上斷開 　　為了奪回對被侵入系統的控制權，你需要將其從網絡上斷開，，包括播號連接。斷開以後，你可能想進入UNIX系統的單用戶模式或者NT的本地管理者(local administrator)模式，以奪回系統控制權。然而，重啟或者切換到單用戶/本地管理者模式，會丟失一些有用的信息，因為被侵入系統當前運行的所有進程都會被殺死。 　　因此，你可能需要進入C.5.檢查網絡嗅探器節，以確定被侵入的系統是否有網絡嗅探器正在運行。 　　在對系統進行恢復的過程中，如果系統處於UNIX單用戶模式下，會阻止用戶、入侵者和入侵進程對系統的訪問或者切換主機的運行狀態。 　　如果在恢復過程中，沒有斷開被侵入系統和網絡的連接，在你進行恢復的過程中，入侵者就可能連接到你的主機，破壞你的恢復工作。 　　2.復制一份被侵入系統的影象 　　在進行入侵分析之前，建議你備份被侵入的系統。以後，你可能會用得著。 　　如果有一個相同大小和類型的硬盤，你就可以使用UNIX命令dd將被侵入系統復制到這個硬盤。 　　例如，在一個有兩個SCSI硬盤的Linux系統，以下命令將在相同大小和類型的備份硬盤(/dev/sdb)上復制被侵入系統(在/dev/sda盤上)的一個精確拷貝。 　　# dd if=/dev/sda of=/dev/sdb 　　請閱讀dd命令的手冊頁獲得這個命令更詳細的信息。 　　還有一些其它的方法備份被侵入的系統。在NT系統中沒有類似於dd的內置命令，你可以使用一些第三方的程序復制被侵入系統的整個硬盤影象。 　　建立一個備份非常重要，你可能會需要將系統恢復到侵入剛被發現時的狀態。它對法律調查可能有幫助。記錄下備份的卷標、標志和日期，然後保存到一個安全的地方以保持數據的完整性。 　　C.入侵分析 　　現在你可以審查日志文件和系統配置文件了，檢查入侵的蛛絲馬跡，入侵者對系統的修改，和系統配置的脆弱性。