一、正在上網的用戶,發現異常應首先馬上斷開連接
如果你發現IE經常詢問你是否運行某些ActiveX控件,或是生成莫明其妙的文件、詢問調試腳本什麼的,一定要警惕了,你可能已經中招了。典型的上網被入侵有兩種情況:
1、是浏覽某些帶惡意代碼的網頁時候被修改了浏覽器的默認主頁或是標題,這算是輕的;還有就是遇到可以格式化硬盤或是令你的Windows不斷打開窗口,直到耗盡資源死機。這種情況惡劣得多,你未保存和已經放在硬盤上的數據都可能會受到部分或全部的損失。
2、是黑客的潛在木馬發作,或是蠕蟲類病毒發作,讓你的機器不斷地向外界發送你的隱私;或是利用你的名義和郵件地址發送垃圾,進一步傳播病毒;還有就是黑客的手工入侵,窺探你的隱私或是刪除破壞你的文件。
處理辦法:馬上斷開連接,這樣能將自己的損失降低的同時,也避免了病毒向更多的在線電腦傳播。請先不要馬上重新啟動系統或是關機,進一步的處理措施請參看後文。
二、中毒後,應馬上備份轉移文檔和郵件等
中毒後運行殺毒軟件清除是不在話下的了,但為了防止殺毒軟件誤殺或是刪掉你還處理完的文檔和重要的郵件,你應該首先將它們轉移備份到其他儲存媒體上。有些長文件名的文件和未處理的郵件要求在Windows下備份,所以第一點這裡筆者建議您先不要退出windows,因為病毒一旦發作,可能就不能進入Windows了。
不管這些文件是否帶毒了,你都應該備份,用標簽紙標記為待查即可。因為有些病毒是專門針對某個殺毒軟件設計的,一運行就會破壞其他的文件,所以先備份是以防萬一的措施。等你清除完硬盤內的病毒後,再來慢慢分析處理這些額外備份的文件較為妥善。
三、需要干淨的Dos啟動盤和DOS下面的殺毒軟件
到現在,就應該按很多殺毒軟件的標准手冊去按步就班地做,即關機後冷啟動,用一張干淨的DOS啟動盤引導是不能少的了;另外由於中毒後可能Windows已經被破壞了部分關鍵文件,會頻繁地非法操作,所以Windows下的殺毒軟件可能會無法運行。所以請你也准備一個DOS下面的殺毒軟件來以防萬一。
即使能在Windows下運行殺毒軟件的,也請用兩種以上工具交叉清理。在多數情況下Windows可能要重裝,因為病毒會破壞掉一部分文件讓系統變慢或出現頻繁的非法操作。建議不要對某種殺毒軟件帶偏見,由於開發時候側重點不同,使用的殺毒引擎不同,各種殺毒軟件都是有自己的長處和短處的,交叉使用效果較理想。
四、如果有Ghost和分區表、引導區的備份,用之來恢復一次最保險
如果你在平時作了Windows的Ghost備份,用之來鏡像一次,得到的操作系統是最保險的。這樣連潛在的未殺光的木馬程序也順便清理了,當然,這要求你的GHOST備份是絕對可靠的。
五、再次恢復系統後,更改你的網絡相關密碼
包括登錄網絡的用戶名、密碼,郵箱的密碼和QQ的等等,防止黑客已經在上次入侵過程中知道了你的密碼。另外因為很多蠕蟲病毒發作會向外隨機發送你的信息,所以適當的更改是必要的。
黑客如此猖獗,應該采取什麼樣的有效手段來防止黑客的入侵呢?俗話說:亡羊補牢,為時未晚。人類社會總是在邪惡勢力的不斷斗爭中向前發展的,魔高一尺,道高一丈,總有辦法有效地阻止黑客的入侵,保護好自己的計算機系統的。
企業要建立自己的計算機安全系統,也應根據自己單位的實際情況來選擇安全級別,選擇相應的軟硬件設施和資金投入。對於已經建立了企業內部網絡的用戶,根據其在Internet上開展業務量的多少,分三種情況詳細說明。
一、未連接Internet
這類單位只需要建立初級的計算機網絡安全系統,主要包括以下幾點:
1.選好系統管理員。這是最後的防線,如果系統管理員也成了黑客,那損失就不可避免了。
2.對系統管理員應有制度上的制約,以消除安全隱患。比如限制管理員的操作權限,對管理員的行動進行監控等。
3.對計算機操作人員必須明確具體的權限,每個人的密碼應進行定期或不定期的修改,口令最好由數字和字母混合組成,並盡量用足規定的字符長度。
4.防止病毒入侵系統。嚴格限制外來盤片的使用,應該備有經國家計算機安全產品檢測中心檢測合格的殺病毒軟件,發現可疑情況及時查殺病毒。
5.加強機房管理,嚴格限制外來人員進入機房使用計算機。
二、偶爾使用Internet
這類單位的特點是:每天需要查閱幾個固定站點的信息,如報刊雜志,股票行情以及本行業的相關站點。這些單位除了應該做到上述五點要求以外,還應采取下列措施:
1.建立代理服務器,每天由專人負責定時接收這些固定站點的信息,接收完畢就立即與國際互聯網斷開。進行接收時,代理服務器最好脫離開企業內部網。
2.在企業內部網中,尤其是服務器上,應盡量使用高版本的操作系統軟件如Unix Open Server 5.0.4,Windows NT 4.0等。對操作系統的安全級別應使用系統軟件所能提供的最高級。
三、大量使用Internet
這類企業的特點是:要在國際互聯網上實時地處理業務,所以會遇到各種復雜情況。這類企業除了練好上述兩類企業的基本功以外,還應該做到以下幾點(說明:以下的條目中,有些漏洞在高版本的操作系統中已經消除。):
1.必須認真設置操作系統:值得注意的是,操作系統的許多缺省值都已被黑客利用來作為入侵系統的突破口,所以,盡量不要使用系統缺省值。具體地說,主要注意以下幾點:
(1)改變Administrator賬戶的名字,為系統管理員和備份操作員創建特殊賬戶。使黑客猜不到系統管理員和備份操作員的賬戶名。禁止所有具有Administrator和備份特權的賬戶浏覽Web,以防黑客網上即時偵聽。不要設置缺省的Guest賬戶。
(2)確保%system%/reparir/sam.—在每次ERD更新後,對所有人不可讀。因為,Windows NT把用戶信息和加密口令保存於NT Registry中的SAM文件中,即安全賬戶管理(Security Accounts Management)數據庫。
(3)限制遠程管理員訪問NT平台。因為任何一個用戶都可以在命令行下,鍵入/IPaddress/C$(或者/IPad dress/D$,/IPaddress/WINNT$)試圖連接任意一個NT平台上管理系統的共享資源。
(4)在域控制器上,修改Registry中Winlogon的設置為“OFF。以免Windows NT在注冊對話框中顯示最近一次注冊的用戶名,給潛在的黑客提供信息。
(5)嚴格限制NT域中Windows NT工作站上的管理員特權,決不用缺省值。因為任何人可能通過訪問內存來獲取加密的口令,以獲得缺省管理員的訪問權。
(6)對於注冊表Registry,嚴格限制為只可進行本地注冊,不可遠程訪問。因為,Registry的缺省權限設置是對“所有人“安全控制(Full Control)和“創建(Create)。這種設置可能引起Registry文件的刪除或者替換。
(7)對關鍵目錄,應改變其缺省權限為“讀。缺省權限設置允許“所有人對關鍵目錄具有“變更級的訪問權。其中,“關鍵目錄包括:每個NTFS卷的根目錄,System32目錄,以及Win32App目錄。
(8)在賦予打印操作員權限時,要限制人數。因為打印操作員組中的任何一個成員對打印驅動程序具有系統級的訪問權,這會被黑客利用來在打印驅動程序中插入惡意病毒。
(9)合理配置FTP,確保服務器必須驗證所有FTP申請。因為FTP有一個設置選項,允許客戶直接進入一個賬戶,使無需授權而訪問用戶的文件和文件夾成為可能。
2.加強計算機系統的保安工作:
(1)關閉系統管理員的遠程能力,只允許他直接訪問控制台。
(2)未經許可,不得重新安裝WindowsNT軟件。因為重新安裝整個的操作系統,覆蓋原來的系統,就可以獲得Administrator特權。
3.對金融等安全性特別重要的系統應建立信息系統防火牆:
在防火牆上,應截止從端口135到142的所有TCP和U