入侵检测与响应¶
入侵分析员的真正价值体现在其估定现象和情况的能力[1]。
入侵检测工具只是用来辅助的,关键还是要靠人来驱动。
可能遭到入侵的症状¶
RFC 2196 “Site Security Handbook”和CERT的“Steps for Recovering from a UNIX or NT System Compromise”提供了一些检查异常状态列表。
日志中的异常¶
- 系统日志文件t 系统日志中原因不明的条目、日志文件缩减、日志文件丢失等
- 系统守护进程报告
- 异常控制台和终端消息t 莫名其妙的终端信息
- 反复的访问尝试t 通过FTP或Web反复进行登录尝试,访问非法文件等操作
系统配置异常¶
配置文件和系统脚本被修改,未调用的进程在运行、非预期端口的使用、网络设备状态改变等。
- cron任务检查cron配置和可执行程序是否正常
- ps命令显示不能解释的服务和进程t 注意ps命令也可能被替换
- netstat, lsof, tcpdump等检测到非预期的连接和端口使用
- 系统崩溃及丢失进程t 系统和服务非预期的崩溃都是可疑的
- 设备配置改变t 网络设备被设定为混杂模式等
文件系统中的异常¶
- 出现新的文件和目录
- setuid程序
- 文件丢失
- 文件系统大小迅速改变t 磁盘被快速耗尽
- 公共文件被修改t FTP和Web内容被修改
- /dev目录中出现新文件t /dev目录下出现新的ASCII文件或目录,有可能为木马的配置文件
帐号异常¶
- 出现新的帐号或原帐号被修改t /etc/passwd中出现新帐号,非预期的UID进程;突然无法登陆等
- 用户登陆记录t last显示非预期的登陆,登陆相关日志被编辑过(/var/log/lastlog, /var/log/pacct等)
- 根用户被修改t 特别注意用户的相关配置文件,环境变量是否被修改
系统性能方面¶
- 异常的高负载
- 频繁的磁盘访问
入侵后采取的措施¶
- 断开网络
- 检查系统日志,配置文件,suid程序,与备份进行对比
- 检查运行中的进程和打开的端口
- 观察系统中任何不断变化的信息
- 从干净的或备份系统启动进入,对磁盘进行检查
- 判断黑客如何成功进入系统的,对系统做了哪些手脚
- 如果可能全新安装系统
- 纠正系统弱点
- 安装和配置一个系统完整性检查软件包
- 启动全部日志功能
- 恢复已知、未受感染用户文件和特定的配置文件
- 为系统的二进行文件和静态文件创建MD5校验和
- 更新系统补丁
- 对新安装的二进制程序创建MD5校验和,并将其存于其它系统中
- 监控系统,观察黑客是否再次进行非法访问尝试