對症下藥——搶救被入侵的系統

攻擊者入侵某個系統，總是由某個主要目的所驅使的。例如炫耀技術，得到企業機密數據，破壞企業正常的業務流程等等，有時也有可能在入侵後，攻擊者的攻擊行為，由某種目的變成了另一種目的，例如，本來是炫耀技術，但在進入系統後，發現了一些重要的機密數據，由於利益的驅使，攻擊者最終竊取了這些機密數據。
而攻擊者入侵系統的目的不同，使用的攻擊方法也會不同，所造成的影響范圍和損失也就不會相同。因此，在處理不同的系統入侵事件時，就應當對症下藥，不同的系統入侵類型，應當以不同的處理方法來解決，這樣，才有可能做到有的放矢，達到最佳的處理效果。

一、 以炫耀技術目的的系統入侵恢復

有一部分攻擊者入侵系統的目的，只是為了向同行或其他人炫耀其高超的網絡技術，或者是為了實驗某個系統漏洞而進行的系統入侵活動。對於這類系統入侵事件，攻擊者一般會在被入侵的系統中留下一些證據來證明他已經成功入侵了這個系統，有時還會在互聯網上的某個論壇中公布他的入侵成果，例如攻擊者入侵的是一台WEB服務器，他們就會通過更改此WEB站點的首頁信息來說明自己已經入侵了這個系統，或者會通過安裝後門的方式，使被入侵的系統成他的肉雞，然後公然出售或在某些論壇上公布，以宣告自己已經入侵了某系統。也就是說，我們可以將這種類型的系統入侵再細分為以控制系統為目的的系統入侵和修改服務內容為目的的系統入侵。

對於以修改服務內容為目的的系統入侵活動，可以不需要停機就可改完成系統恢復工作。

1.應當采用的處理方式

(1)、建立被入侵系統當前完整系統快照，或只保存被修改部分的快照，以便事後分析和留作證據。

(2)、立即通過備份恢復被修改的網頁。

(3)、在Windows系統下，通過網絡監控軟件或“netstat -an”命令來查看系統目前的網絡連接情況，如果發現不正常的網絡連接，應當立即斷開與它的連接。然後通過查看系統進程、服務和分析系統和服務的日志文件，來檢查系統攻擊者在系統中還做了什麼樣的操作，以便做相應的恢復。

(4)、通過分析系統日志文件，或者通過弱點檢測工具來了解攻擊者入侵系統所利用的漏洞。如果攻擊者是利用系統或網絡應用程序的漏洞來入侵系統的，那麼，就應當尋找相應的系統或應用程序漏洞補丁來修補它，如果目前還沒有這些漏洞的相關補丁，我們就應當使用其它的手段來暫時防范再次利用這些漏洞的入侵活動。如果攻擊者是利用其它方式，例如社會工程方式入侵系統的，而檢查系統中不存在新的漏洞，那麼就可以不必做這一個步驟，而必需對社會工程攻擊實施的對象進行了解和培訓。

(5)、修復系統或應用程序漏洞後，還應當添加相應的防火牆規則來防止此類事件的再次發生，如果安裝有IDS/IPS和殺毒軟件，還應當升級它們的特征庫。

(6)、最後，使用系統或相應的應用程序檢測軟件對系統或服務進行一次徹底的弱點檢測，在檢測之前要確保其檢測特征庫是最新的。所有工作完成後，還應當在後續的一段時間內，安排專人對此系統進行實時監控，以確信系統已經不會再次被此類入侵事件攻擊。

如果攻擊者攻擊系統是為了控制系統成為肉雞，那麼，他們為了能夠長期控制系統，就會在系統中安裝相應的後門程序。同時，為了防止被系統用戶或管理員發現，攻擊者就會千方百計地隱藏他在系統中的操作痕跡，以及隱藏他所安裝的後門。

因而，我們只能通過查看系統進程、網絡連接狀況和端口使用情況來了解系統是否已經被攻擊者控制，如果確定系統已經成為了攻擊者的肉雞，那麼就應當按下列方式來進行入侵恢復：

(1)、立即分析系統被入侵的具體時間，目前造成的影響范圍和嚴重程度，然後將被入侵系統建立一個快照，保存當前受損狀況，以更事後分析和留作證據。

(2)、使用網絡連接監控軟件或端口監視軟件檢測系統當前已經建立的網絡連接和端口使用情況，如果發現存在非法的網絡連接，就立即將它們全部斷開，並在防火牆中添加對此IP或端口的禁用規則。

(3)、通過Windows任務管理器，來檢查是否有非法的進程或服務在運行，並且立即結束找到的所有非法進程。但是，一些通過特殊處理的後門進程是不會出現在Windows任務管理器中，此時，我們就可以通過使用Icesword這樣的工具軟件來找到這些隱藏的進程、服務和加載的內核模塊，然後將它們全部結束任務。

可是，有時我們並不能通過這些方式終止某些後門程序的進程，那麼，我們就只能暫停業務，轉到安全模式下進行操作。如果在安全模式下還不能結束掉這些後門進程的運行，就只能對業務數據做備份後，恢復系統到某個安全的時間段，再恢復業務數據。

這樣，就會造成業務中斷事件，因此，在處理時速度應當盡量快，以減少由於業務中斷造成的影響和損失。有時，我們還應當檢測系統服務中是否存在非法注冊的後門服務，這可以通過打開“控制面板”—“管理工具”中的“服務”來檢查，將找到的非法服務全部禁用。

(4)、在尋找後門進程和服務時，應當將找到的進程和服務名稱全部記錄下來，然後在系統注冊表和系統分區中搜索這些文件，將找到的與此後門相關的所有數據全部刪除。還應將“開始菜單”—“所有程序”—“啟動”菜單項中的內容全部刪除。

(5)、分析系統日志，了解攻擊者是通過什麼途徑入侵系統的，以及他在系統中做了什麼樣的操作。然後將攻擊者在系統中所做的所有修改全部更正過來，如果他是利用系統或應用程序漏洞入侵系統的，就應當找到相應的漏洞補丁來修復這個漏洞。

如果目前沒有這個漏洞的相關補丁，就應當使用其它安全手段，例如通過防火牆來阻止某些IP地址的網絡連接的方式，來暫時防范通過這些漏洞的入侵攻擊，並且要不斷關注這個漏洞的最新狀態，出現相關修復補丁後就應當立即修改。給系統和應用程序打補丁，我們可以通過相應的軟件來自動化進行。

(6)、在完成系統修復工作後，還應當使用弱點檢測工具來對系統和應用程序進行一次全面的弱點檢測，以確保沒有已經的系統或應用程序弱點出現。我們還應用使用手動的方式檢查系統中是否添加了新的用戶帳戶，以及被攻擊做修改了相應的安裝設置，例如修改了防火牆過濾規則，IDS/IPS的檢測靈敏度，啟用被攻擊者禁用了的服務和安全軟件。

2.進一步保證入侵恢復的成果

(1)、修改系統管理員或其它用戶帳戶的名稱和登錄密碼；
(2)、修改數據庫或其它應用程序的管理員和用戶賬戶名稱和登錄密碼；
(3)、檢查防火牆規則；
(4)、如果系統中安裝有殺毒軟件和IDS/IPS，分別更新它們的病毒庫和攻擊特征庫；
(5)、重新設置用戶權限；
(6)、重新設置文件的訪問控制規則；
(7)、重新設置數據庫的訪問控制規則；
(8)、修改系統中與網絡操作相關的所有帳戶的名稱和登錄密碼等。

當我們完成上述所示的所有系統恢復和修補任務後，我們就可以對系統和服務進行一次完全備份，並且將新的完全備份與舊的完全備份分開保存。

在這裡要注意的是：對於以控制系統為目的的入侵活動，攻擊者會想方設法來隱藏自己不被用戶發現。他們除了通過修改或刪除系統和防火牆等產生的與他操作相關的日志文件外，高明的黑客還會通過一些軟件來修改其所創建、修改文件的基本屬性信息，這些基本屬性包括文件的最後訪問時間，修改時間等，以防止用戶通過查看文件屬性來了解系統已經被入侵。因此，在檢測系統文件是否被修改時，應當使用RootKit Revealer等軟件來進行文件完整性檢測。

二、 以得到或損壞系統中機密數據為目的的系統入侵恢復

現在，企業IT資源中什麼最值錢，當然是存在於這些設備當中的各種機密數據了。目前，大部分攻擊者都是以獲取企業中機密數據為目的而進行的相應系統入侵活動，以便能夠通過出售這些盜取的機密數據來獲取非法利益。

如果企業的機密數據是以文件的方式直接保存在系統中某個分區的文件夾當中，而且這些文件夾又沒有通過加密或其它安全手段進行保護，那麼，攻擊者入侵系統後，就可以輕松地得到這些機密數據。但是，目前中小企業中有相當一部分的企業還在使用這種沒有安全防范的文件保存方式，這樣就給攻擊者提供大在的方便。

不過，目前還是有絕大部分的中小企業都是將數據保存到了專門的存儲設備上，而且，這些用來專門保存機密數據的存儲設備，一般還使用硬件防火牆來進行進一步的安全防范。因此，當攻擊者入侵系統後，如果想得到這些存儲設備中的機密數據，就必需對這些設備做進一步的入侵攻擊，或者利用網絡嗅探器來得到在內部局域網中傳輸的機密數據。

機密數據對於一些中小企業來說，可以說是一種生命，例如客戶檔案，生產計劃，新產品研究檔案，新產品圖庫，這些數據要是洩漏給了競爭對象，那麼，就有可能造成被入侵企業的破產。對於搶救以得到、破壞系統中機密數據為目的的系統入侵活動，要想最大限度地降低入侵帶來的數據損失，最好的方法就是在數據庫還沒有被攻破之前就阻止入侵事件的進一步發展。

試想像一下，如果當我們發現系統已經被入侵之時，所有的機密數據已經完全洩漏或刪除，那麼，就算我們通過備份恢復了這些被刪除的數據，但是，由於機密數據洩漏造成的損失依然沒有減少。因此，我們必需及時發現這種方式的系統入侵事件，只有在攻擊者還沒有得到或刪除機密數據之前，我們的恢復工作才顯得有意義。

當然，無論有沒能損失機密數據，系統被入侵後，恢復工作還是要做的。對於以得到或破壞機密數據為目的的系統入侵活動，我們仍然可以按此種入侵活動進行到了哪個階段，再將此種類型的入侵活動細分為還沒有得到或破壞機密數據的入侵活動和已經得到或破壞了機密數據的入侵活