被***系统的恢复指南

最新推荐文章于 2020-06-08 16:10:41 发布

weixin_34334744

最新推荐文章于 2020-06-08 16:10:41 发布

阅读量212

点赞数

文章标签：操作系统网络系统安全

原文链接：http://blog.51cto.com/liuchangnet/499110

版权

简介

本文主要讲述Unix或者NT系统如果被侵入，应该如何应对。

注意:你在系统恢复过程中的所有步骤都应该与你所在组织的网络安全策略相符。

A.准备工作

1.商讨安全策略

如果你的组织没有自己的安全策略，那么需要按照以下步骤建立自己的安全策略：

1.1.和管理人员协商

将***事故通知管理人员，可能在有的组织中很重要。在be aware进行事故恢复的时候，网络管理人员能够得到内部各部门的配合。也应该明白***可能引起传媒的注意。

1.2.和法律顾问协商

在开始你的恢复工作之前，你的组织需要决定是否进行法律调查。

注意CERT(Computer Emergency Response Team)只提供技术方面的帮助和提高网络主机对安全事件的反应速度。它们不会提出法律方面的建议。所以，对于法律方面的问题建议你咨询自己的法律顾问。你的法律顾问能够告诉你***者应该承担的法律责任(民事的或者是刑事的)，以及有关的法律程序。

现在，是你决定如何处理这起事故的时候了，你可以加强自己系统的安全或者选择报警。

如果你想找出***者是谁，建议你与管理人员协商并咨询法律顾问，看看***者是否触犯了地方或者全国的法律。根据这些，你可以报案，看看警方是否愿意对此进行调查。

针对与***事件，你应该与管理人员和法律顾问讨论以下问题：

如果你要追踪***者或者跟踪网络连接，是否会触犯法律。

如果你的站点已经意识到***但是没有采取措施阻止，要承担什么法律责任。
***者是否触犯了全国或者本地的法律。
是否需要进行调查。
是否应该报警。

1.3.报警

通常，如果你想进行任何类型的调查或者起诉***者，最好先跟管理人员和法律顾问商量以下。然后通知有关执法机构。

一定要记住，除非执法部门的参与，否则你对***者进行的一切跟踪都可能是非法的。

1.4.知会其他有关人员

除了管理者和法律顾问之外，你还需要通知你的恢复工作可能影响到的人员，例如其他网络管理人员和用户。

2.记录恢复过程中所有的步骤

毫不夸张地讲，记录恢复过程中你采取的每一步措施，是非常重要的。恢复一个被侵入的系统是一件很麻烦的事，要耗费大量的时间，因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定，还可以留作以后的参考。记录还可能对法律调查提供帮助。

B.夺回对系统的控制权

1.将被侵入的系统从网络上断开

为了夺回对被侵入系统的控制权，你需要将其从网络上断开，包括播号连接。断开以后，你可能想进入Unix系统的单用户模式或者NT的本地管理者(local administrator)模式，以夺回系统控制权。然而，重启或者切换到单用户/本地管理者模式，会丢失一些有用的信息，因为被侵入系统当前运行的所有进程都会被杀死。

因此，你可能需要进入C.5.检查网络嗅探器节，以确定被侵入的系统是否有网络嗅探器正在运行。

在对系统进行恢复的过程中，如果系统处于UNIX单用户模式下，会阻止用户、***者和***进程对系统的访问或者切换主机的运行状态。

如果在恢复过程中，没有断开被侵入系统和网络的连接，在你进行恢复的过程中，***者就可能连接到你的主机，破坏你的恢复工作。

2.复制一份被侵入系统的影象

在进行***分析之前，建议你备份被侵入的系统。以后，你可能会用得着。

如果有一个相同大小和类型的硬盘，你就可以使用UNIX命令dd将被侵入系统复制到这个硬盘。

例如，在一个有两个SCSI硬盘的Linux系统，以下命令将在相同大小和类型的备份硬盘(/dev/sdb)上复制被侵入系统(在/dev/sda盘上)的一个精确拷贝。

# dd if=/dev/sda of=/dev/sdb

请阅读dd命令的手册页获得这个命令更详细的信息。

还有一些其它的方法备份被侵入的系统。在NT系统中没有类似于dd的内置命令，你可以使用一些第三方的程序复制被侵入系统的整个硬盘影象。

建立一个备份非常重要，你可能会需要将系统恢复到侵入刚被发现时的状态。它对法律调查可能有帮助。记录下备份的卷标、标志和日期，然后保存到一个安全的地方以保持数据的完整性。

C.***分析

现在你可以审查日志文件和系统配置文件了，检查***的蛛丝马迹，***者对系统的修改，和系统配置的脆弱性。

1.检查***者对系统软件和配置文件的修改

a.校验系统中所有的二进制文件

在检查***者对系统软件和配置文件的修改时，一定要记住:你使用的校验工具本身可能已经被修改过，操作系统的内核也有可能被修改了，这非常普遍。因此，建议你使用一个可信任的内核启动系统，而且你使用的所有分析工具都应该是干净的。对于Unix系统，你可以通过建立一个启动盘，然后对其写保护来获得一个可以信赖的操作系统内核。

你应该彻底检查所有的系统二进制文件，把它们与原始发布介质(例如光盘)做比较。因为现在已经发现了大量的特洛伊***二进制文件，***者可以安装到系统中。

在UNIX系统上，通常有如下的二进制文件会被特洛伊***代替：telnet、in.telnetd、login、su、ftp、ls、ps、netstat、ifconfig、find、du、df、libc、sync、inetd和syslogd。除此之外，你还需要检查所有被/etc/inetd.conf文件引用的文件，重要的网络和系统程序以及共享库文件。

在NT系统上。特洛伊***通常会传播病毒，或者所谓的"远程管理程序"，例如Back Orifice和NetBus。特洛伊***会取代处理网络连接的一些系统文件。

一些***程序具有和原始二进制文件相同的时间戳和sum校验值，通过校验和无法判断文件是否被修改。因此，对于UNIX系统，我们建议你使用cmp程序直接把系统中的二进制文件和原始发布介质上对应的文件进行比较。

你还可以选择另一种方法检查可疑的二进制文件。向供应商索取其发布的二进制文件的MD5校验值，然后使用MD5校验值对可疑的二进制文件进行检查。这种方法适用于UNIX和NT。

b.校验系统配置文件

在UNIX系统中，你应该进行如下检查：

检查/etc/passwd文件中是否有可疑的用户
检查/etc/inet.conf文件是否被修改过
如果你的系统允许使用r命令,例如rlogin、rsh、rexec，你需要检查/etc/hosts.equiv或者.rhosts文件。
检查新的SUID和SGID文件。下面命令会打印出系统中的所有SUID和SGID文件：

#find / ( -perm -004000 -o -perm -002000 ) -type f -print

对于NT，你需要进行如下检查：

检查不成对的用户和组成员
检查启动登录或者服务的程序的注册表入口是否被修改
检查"net share"命令和服务器管理工具共有的非验证隐藏文件
检查pulist.ext程序无法识别的进程

2.检查被修改的数据

***者经常会修改系统中的数据。所以建议你对web页面文件、ftp存档文件、用户目录下的文件以及其它的文件进行校验。

3.检查***者留下的工具和数据

***者通常会在系统中安装一些工具，以便继续监视被侵入的系统。

***者一般会在系统中留下如下种类的文件：

网络嗅探器
网络嗅探器就是监视和记录网络行动的一种工具程序。***者通常会使用网络嗅探器获得在网络上以明文进行传输的用户名和密码。(见C.5)
嗅探器在Unix系统中更为常见。
特洛伊***程序
特洛伊***程序能够在表面上执行某种功能，而实际上执行另外的功能。因此，***者可以使用特洛伊***程序隐藏自己的行为，获得用户名和密码数据，建立后门以便将来对系统在此访问被侵入系统。
后门
后门程序将自己隐藏在被侵入的系统，***者通过它就能够不通过正常的系统验证，不必使用安全缺陷***程序就可以进入系统。
安全缺陷***程序
系统运行存在安全缺陷的软件是其被侵入的一个主要原因。***者经常会使用一些针对已知安全缺陷的***工具，以此获得对系统的非法访问权限。这些工具通常会留在系统中，保存在一个隐蔽的目录中。
***者使用的其它工具

以上所列无法包括全部的***工具，***者在系统中可能还会留下其它***工具。这些工具包括：

系统安全缺陷探测工具

对其它站点发起大规模探测的脚本

发起拒绝服务***的工具

使用被侵入主机计算和网络资源的程序

***工具的输出

你可能会发现***工具程序留下的一些日志文件。在这些文件中可能会包含被牵扯的其它站点，***者利用的安全缺陷，以及其它站点的安全缺陷。

因此，建议你对系统进行彻底的搜索，找出上面列出的工具及其输出文件。一定要注意：在搜索过程中，要使用没有被***者修改过的搜索工具拷贝。

搜索主要可以集中于以下方向：

检查UNIX系统/dev/目录下意外的ASCII文件。一些特洛伊***二进制文件使用的配置文件通常在/dev目录中。

仔细检查系统中的隐藏文件和隐藏目录。如果***者在系统中建立一个一个新的帐户，那么这个新帐户的起始目录以及他使用的文件可能是隐藏的。

检查一些名字非常奇怪的目录和文件，例如:...(三个点)、..(两个点)以及空白(在UNIX系统中)。***者通常会在这样的目录中隐藏文件。对于NT，应该检查那些名字和一些系统文件名非常接近的目录和文件。

4.审查系统日志文件

详细地审查你的系统日志文件，你可以了解系统是如何被侵入的，***过程中，***者执行了哪些操作，以及哪些远程主机访问了你的主机。通过这些信息，你能够对***有更加清晰的认识。

记住:系统中的任何日志文件都可能被***者改动过。

对于Unix系统，你可能需要查看/etc/syslog.conf文件确定日志信息文件在哪些位置。NT通常使用三个日志文件，记录所有的NT事件，每个NT事件都会被记录到其中的一个文件中，你可以使用Event Viewer查看日志文件。其它一些NT应用程序可能会把自己的日志放到其它的地方，例如ISS服务器默认的日志目录是c:winntsystem32logfiles。

以下是一个通常使用的UNIX系统日志文件列表。由于系统配置的不同可能你的系统中没有其中的某些文件。

messages

messages日志文件保存了大量的信息。可以从这个文件中发现异常信息，检查***过程中发生了哪些事情。

xferlog

如果被侵入系统提供FTP服务，xferlog文件就会记录下所有的FTP传输。这些信息可以帮助你确定***者向你的系统上载了哪些工具，以及从系统下载了哪些东西。

utmp

保存当前登录每个用户的信息，使用二进制格式。这个文件只能确定当前哪些用户登录。使用who命令可以读出其中的信息。

wtmp

每次用户成功的登录、退出以及系统重启，都会在wtmp文件中留下记录。这个文件也使用二进制格式，你需要使用工具程序从中获取有用的信息。last就是一个这样的工具。它输出一个表，包括用户名、登录时间、发起连接的主机名等信息，详细用法可以使用man last查询。检查在这个文件中记录的可疑连接，可以帮助你确定牵扯到这起***事件的主机，找出系统中的哪些帐户可能被侵入了。

secure

某些些版本的UNIX系统(例如：RedHat Linux)会将tcp_wrappers信息记录到secure文件中。如果系统的inetd精灵使用tcp_wrappers,每当有连接请求超出了inetd提供的服务范围，就会在这个文件中加入一条日志信息。通过检查这个日志文件，可以发现一些异常服务请求，或者从陌生的主机发起的连接。

审查日志，最基本的一条就是检查异常现象。

6.检查网络上的其它系统

除了已知被侵入的系统外，你还应该对网络上所有的系统进行检查。主要检查和被侵入主机共享网络服务(例如:NIX、NFS)或者通过一些机制(例如：hosts.equiv、.rhosts文件，或者kerberos服务器)和被侵入主机相互信任的系统。

建议你使用CERT的***检测检查列表进行这一步检查工作。

http://www.cert.org/tech_tips/intruder_detection_checklist.HTML

http://www.cert.org/tech_tips/win_intruder_detection_checklist.html

7.检查涉及到的或者受到威胁的远程站点

在审查日志文件、***程序的输出文件和系统被侵入以来被修改的和新建立的文件时，要注意哪些站点可能会连接到被侵入的系统。根据经验那些连接到被侵入主机的站点，通常已经被侵入了。所以要尽快找出其它可能遭到***的系统，通知其管理人员。

D.通知相关的CSIRT和其它被涉及的站点

1.事故报告

***者通常会使用被侵入的帐户或者主机发动对其它站点的***。如果你发现针对其它站点的***活动，建议你马上和这些站点联络。告诉他们你发现的***征兆，建议他们检查自己的系统是否被侵入，以及如何防护。要尽可能告诉他们所有的细节，包括：日期/时间戳、时区，以及他们需要的信息。

你还可以向CERT(计算机紧急反应组)提交事故报告，从他们那里的到一些恢复建议。

中国大陆地区的网址是:

http://www.cert.org.cn

2.与CERT调节中心联系

你还可以填写一份事故报告表，使用电子邮件发送到http://www.cert.org,从那里可以得到更多帮助。CERT会根据事故报告表对***趋势进行分析，将分析结果总结到他们的安全建议和安全总结，从而防止***的蔓延。可以从以下网址获得事故报告表：

http://www.cert.org/ftp/incident_reporting_form

3.获得受牵连站点的联系信息

如果你需要获得顶级域名(.com、.edu、.net、.org等)的联系信息，建议你使用interNIC的whois数据库。

http://rs.internic.net/whois.HTML

如果你想要获得登记者的确切信息，请使用interNIC的登记者目录：

http://rs.internic.net/origin.html

想获得亚太地区和澳洲的联系信息，请查询：

http://www.apnic.net/apnic-bin/whois.pl

http://www.aunic.net/CGI-bin/whois.aunic

如果你需要其它事故反应组的联系信息，请查阅FIRST(Forum of Incident Response and Security Teams)的联系列表:

http://www.first.org/team-info/

要获得其它的联系信息，请参考：

http://www.cert.org/tech_tips/finding_site_contacts.html

建议你和卷入***活动的主机联系时，不要发信给root或者postmaster。因为一旦这些主机已经被侵入，***者就可能获得了超级用户的权限，就可能读到或者拦截送到的e-mail。

E.恢复系统

1.安装干净的操作系统版本

一定要记住如果主机被侵入，系统中的任何东西都可能被***者修改过了，包括：内核、二进制可执行文件、数据文件、正在运行的进程以及内存。通常，需要从发布介质上重装操作系统，然后在重新连接到网络上之前，安装所有的安全补丁，只有这样才会使系统不受后门和***者的影响。只是找出并修补被***者利用的安全缺陷是不够的。

我们建议你使用干净的备份程序备份整个系统。然后重装系统。

2.取消不必要的服务

只配置系统要提供的服务，取消那些没有必要的服务。检查并确信其配置文件没有脆弱性以及该服务是否可靠。通常，最保守的策略是取消所有的服务，只启动你需要的服务。

3.安装供应商提供的所有补丁

我们强烈建议你安装了所有的安全补丁，要使你的系统能够抵御外来***，不被再次侵入，这是最重要的一步。

你应该关注所有针对自己系统的升级和补丁信息。

4.查阅CERT的安全建议、安全总结和供应商的安全提示

我们鼓励你查阅CERT以前的安全建议和总结，以及供应商的安全提示，一定要安装所有的安全补丁。

CERT安全建议：

http://www.cert.org/advisories/

CERT安全总结：

http://www.cert.org/advisories/

供应商安全提示：
ftp://ftp.cert.org/pub/cert_bulletins/
5.谨慎使用备份数据

在从备份中恢复数据时，要确信备份主机没有被侵入。一定要记住，恢复过程可能会重新带来安全缺陷，被***者利用。如果你只是恢复用户的home目录以及数据文件，请记住文件中可能藏有特洛伊***程序。你还要注意用户起始目录下的.rhost文件。

6.改变密码

在弥补了安全漏洞或者解决了配置问题以后，建议你改变系统中所有帐户的密码。一定要确信所有帐户的密码都不容易被猜到。你可能需要使用供应商提供的或者第三方的工具加强密码的安全。

澳大利亚CERT发表了一篇choosing good passwords的文章，可以帮助你选择良好的密码。

F.加强系统和网络的安全

1.根据CERT的Unix/NT配置指南检查系统的安全性

CERT的UNIX/NT配置指南可以帮助你检查系统中容易被***者利用的配置问题。

http://www.cert.org/tech_tips/unix_configuration_guidelines.HTML
http://www.cert.org/tech_tips/win_configuration_guidelines.html
查阅安全工具文档可以参考以下文章，决定使用的安全工具。

http://www.cert.org/tech_tips/security_tools.html

2.安装安全工具

在将系统连接到网络上之前，一定要安装所有选择的安全工具。同时，最好使用Tripwire、aide等工具对系统文件进行MD5校验，把校验码放到安全的地方，以便以后对系统进行检查。

3.打开日志

启动日志(logging)/检查(auditing)/记帐(accounting)程序,将它们设置到准确的级别,例如sendmail日志应该是9级或者更高。经常备份你的日志文件，或者将日志写到另外的机器、一个只能增加的文件系统或者一个安全的日志主机。

4.配置防火墙对网络进行防御

现在有关防火墙的配置文章很多，在此就不一一列举了。你也可以参考：

http://www.cert.org/tech_tips/packet_filtering.html

G.重新连接到Internet全

完成以上步骤以后，你就可以把系统连接回Internet了。

H.升级你的安全策略

CERT调节中心建议每个站点都要有自己的计算机安全策略。每个组织都有自己特殊的文化和安全需求，因此需要根据自己的情况指定安全策略。关于这一点请参考RFC2196站点安全手册: