作为网络管理员,一旦发现本网服务器有被黑客入侵的迹象后,应从以下几个方面出发进行处理。
1.保护证据
保护证据是网络系统受到攻击后应进行的第一项工作,方法上可以考虑对受到攻击的服务器进行镜像处理。通过系统镜像保存现场,以便随后进行分析。
2.恢复服务
对于受到入侵的系统,最佳的恢复服务方式为对系统进行彻底重建。由于入侵者很可能在系统中留有后门以便于今后的再次造访。因此对于这种十分隐蔽难以处理的隐患,只有系统重建方可彻底清除。
3.分析证据,找出漏洞
计算机证据的来源很多,有操作系统中的各项日志,包括系统的审计记录,网络应用系统日志,如Web和Ftp服务器日志。此外,还包括入侵检测系统、防火墙和防病毒软件等系统的日志记录。
除了分析各种日志系统外,还要注意查找各种可能发现入侵者线索的证据,包括操作系统和数据库的临时文件或隐藏文件、数据库的操作记录、硬盘驱动的交换(swap)分区和空闲区、软件设置、完成特定功能的脚本文件、Web浏览器数据缓冲区、书签、历史记录或会话日志等。
只有通过分析,发现入侵者使用手法及利用的漏洞并加以控制,才能使系统的安全得到有效的保障。
4.向上级报告
根据有关的规定,逐级向上级相关部门报告并提供证据,以便进一步追查入侵者,将其绳之于法。
