Действия при обнаружении факта взлома системы

Действия при обнаружении факта взлома системы

При выявлении факта вторжения в систему рекомендуется выполнить следующие действия.

• Отключить компьютер от сети. Компьютер, который подвергся атаке, может представлять собой угрозу для других узлов. Если на этом компьютере содержатся важные данные, то чем дольше он будет работать в сети, тем больше вероятность что эти данные попадут в руки злоумышленника.

• Выяснить причины, в результате которых взломщик смог получить доступ к системе. Необходимо убедиться, что попытка взлома имела место и была успешной. Как было замечено ранее, многие проблемы, связанные с недостатками в аппаратных и программных средствах, могут быть ошибочно приняты за взлом системы. Следует также попытаться выяснить путь, по какому взломщик смог проникнуть в вашу систему. Если вы устраните последствия взлома, но не выявите причины, которые сделали это возможным, злоумышленник сможет снова воспользоваться теми же средствами. К сожалению, установить конкретные недостатки в защите системы чрезвычайно сложно, поэтому в большинстве случаев незаконного проникновения извне системные администраторы ограничиваются обновлением версии системы и принимают меры общего характера, направленные на повышение уровня защиты.

• Создать резервные копии важных данных. Если резервные копии данных создавались слишком давно, вам следует скопировать важную информацию на резервный носитель. Имеет также смысл создать копию всей системы, подвергшейся атаке. Копия может пригодиться вам впоследствии для анализа особенностей проникновения в систему.

• Устранить последствия атаки. К сожалению, действия по устранению последствий взлома не ограничиваются восстановлением файлов, которые были изменены злоумышленником. Вы можете пропустить какой-либо из файлов и предоставить тем самым возможность взломщику повторить атаку. Вам необходимо полностью очистить жесткий диск или, по крайней мере, те разделы, в которых содержались компоненты системы Linux. При необходимости раздел /home можно оставить нетронутым. Затем следует повторно инсталлировать систему с нуля либо восстановить ее с резервной копии, которая была создана до атаки. На этом этапе на следует подключать компьютер к сети.

• Восстановить файлы с данными. Если на предыдущем этапе вы удалили всю информацию с жесткого диска, вам надо восстановить данные, резервные копии которых были созданы на третьем этапе. Если вы инсталлировали систему с нуля, следует также восстановить содержимое конфигурационных файлов.

• Устранить недостатки в защите. Если на втором этапе вам удалось выяснить причины, позволившие злоумышленнику поникнуть в систему, следует устранить их. Целесообразно также принять меры общего характера для повышения уровня защиты, например, инсталлировать в системе инструмент Tripwire (если он не был инсталлирован ранее) или установить и настроить брандмауэр.

• Подключить компьютер к сети. После устранения всех проблем надо подключить компьютер к сети и возобновить его работу.

Помимо описанных выше действий, желательно также принять дополнительные меры. Вы можете, например, проследить маршрут к удаленному узлу, с которого была предпринята попытка атаки, и передать сообщение системному администратору. Хакеры часто взламывают систему, зарегистрировавшись на компьютере, который был взломан ранее. Если вы сообщите администратору о том, что с его машины была предпринята атака на ваш компьютер, он, вероятнее всего, займется проверкой системы. Если взломщик нанес вам большой урон, вы можете также обратиться за помощью к органам правопорядка.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

Выражение действия

Из книги Самоучитель UML автора Леоненков Александр

Выражение действия Выражение действия (action expression) выполняется в том и только в том случае, когда переход срабатывает. Представляет собой атомарную операцию (достаточно простое вычисление), выполняемую сразу после срабатывания соответствующего перехода до начала каких


7.1. Состояние действия

Из книги Могут ли машины мыслить? автора Тьюринг Алан

7.1. Состояние действия Состояние действия (action state) является специальным случаем состояния с некоторым входным действием и по крайней мере одним выходящим из состояния переходом. Этот переход неявно предполагает, что входное действие уже завершилось. Состояние действия


Как защитить компьютер от взлома техническими средствами

Из книги Защита вашего компьютера автора Яремчук Сергей Акимович

Как защитить компьютер от взлома техническими средствами Надо сказать, что сами хакеры признают: взлом техническими средствами часто бывает затруднителен. Это связано с тем обстоятельством, что производители программного обеспечения и «железа» непрерывно отслеживают


История взлома баннерной сети или охота на referer’ы

Из книги Программирование на языке Пролог для искусственного интеллекта автора Братко Иван

История взлома баннерной сети или охота на referer’ы Автор: Михаил Черновhttp://www.abc-it.lv/Порой бывает так, что для проникновения в чужую систему, злоумышленнику вообще не приходиться искать какие-либо уязвимости в ней, т. к. поистине ценная находка его ожидает в log`ах


5 Действия

Из книги Наглядный самоучитель работы на нетбуке автора Сенкевич Г. Е.

5 Действия ДЛЯ УСТРОЙСТВ С МАЛЕНЬКИМ ДИСПЛЕЕМ, помещающихся на ладони, сенсорный экран — это естественный выбор. В сущности, благодаря ему мобильное устройство (а не только клавиатура или трекбол) превращается в интерактивную поверхность. Именно поэтому телефонов, экран


Что происходит при обнаружении вируса?

Из книги Firebird РУКОВОДСТВО РАЗРАБОТЧИКА БАЗ ДАННЫХ автора Борри Хелен

Что происходит при обнаружении вируса? Антивирус Microsoft Security Essentials постоянно наблюдает за выполняющимися на компьютере программами и файлами, к которым те обращаются. Это и есть защита реального времени.Если в ходе наблюдения обнаружена угроза безопасности компьютера,


Время действия

Из книги Создаем вирус и антивирус автора Гульев Игорь А.

Время действия Время действия блокировки строки при обычной активности чтения/записи является оптимистическим - не выполняется никакая блокировка никаких строк до того момента, когда она действительно нужна. Пока изменения строки не отправлены на сервер, строка


Получение пароля BBS без взлома

Из книги Linux глазами хакера автора Флёнов Михаил Евгеньевич

Получение пароля BBS без взлома Рассмотренные выше способы взлома BBS предполагают наличие у пользователя базовых знаний о системе. Теперь немного о том, как можно достать пароль еще проще. Практически на каждой BBS существуют неопытные пользователи, имеющие высокий уровень


14.9. Определение взлома

Из книги IT-безопасность: стоит ли рисковать корпорацией? автора Маккарти Линда

14.9. Определение взлома Для эффективной защиты сервера очень важно вовремя определить, что сервер был взломан. Чем раньше вы узнаете о проникновении в систему хакера, тем скорее сможете отреагировать и предотвратить печальные последствия. Помните, взломы бывают всегда и


Использовать программы обнаружения взлома

Из книги Цифровой журнал «Компьютерра» № 219 автора Журнал «Компьютерра»

Использовать программы обнаружения взлома Программы-детекторы не могут со 100-процентной вероятностью обнаруживать взломщика, но они являются хорошим началом. Программы-детекторы могут дать вам лучшее представление о масштабе угрозы, с которой вы столкнулись. В течение


Как хакеры используют QR-коды для взлома систем Олег Нечай

Из книги Linux и UNIX: программирование в shell. Руководство разработчика. автора Тейнсли Дэвид

Как хакеры используют QR-коды для взлома систем Олег Нечай Опубликовано 31 марта 2014 В последние годы двумерные (матричные) QR-коды (от английского Quick Response, то есть «быстрый отклик») получили самое широкое распространение: их нередко используют в


11.1.5. Проверка факта сортировки файла

Из книги автора

11.1.5. Проверка факта сортировки файла Каким образом можно узнать, отсортирован ли данный файл? Если он содержит, например, около 30 строк, то достаточно его просмотреть. А если в нем 400 строк? Примените команду sort -c, которая сама определит, отсортирован ли файл:$ sort -с video.txtsort: