作為網絡管理員,一旦發現本網服務器有被黑客入侵的跡象后,應從以下幾個方面出發進行處理。
1.保護證據
保護證據是網絡系統受到攻擊后應進行的第一項工作,方法上可以考慮對受到攻擊的服務器進行鏡像處理。通過系統鏡像保存現場,以便隨后進行分析。
2.恢復服務
對于受到入侵的系統,最佳的恢復服務方式為對系統進行徹底重建。由于入侵者很可能在系統中留有后門以便于今后的再次造訪。因此對于這種十分隱蔽難以處理的隱患,只有系統重建方可徹底清除。
3.分析證據,找出漏洞
計算機證據的來源很多,有操作系統中的各項日志,包括系統的審計記錄,網絡應用系統日志,如Web和Ftp服務器日志。此外,還包括入侵檢測系統、防火墻和防病毒軟件等系統的日志記錄。
除了分析各種日志系統外,還要注意查找各種可能發現入侵者線索的證據,包括操作系統和數據庫的臨時文件或隱藏文件、數據庫的操作記錄、硬盤驅動的交換(swap)分區和空閑區、軟件設置、完成特定功能的腳本文件、Web瀏覽器數據緩沖區、書簽、歷史記錄或會話日志等。
只有通過分析,發現入侵者使用手法及利用的漏洞并加以控制,才能使系統的安全得到有效的保障。
4.向上級報告
根據有關的規定,逐級向上級相關部門報告并提供證據,以便進一步追查入侵者,將其繩之于法。
