在这个网络时代,不安全的因素无处不在。一旦网络或一台计算机被严重地击毁了,系统管理员需要采取行动来对付攻击。在下面的文章中,让我们来看一些常见的选择和假设,并且考虑在处理一个受到攻击的系统时,为什么这些未必是最好的行动。
1. 你不能通过为一个受到损害的系统打补丁来保持其健康;补丁只能清除漏洞。而一旦一个黑客进入了你的系统,你应当假定他或她已经保证有其它的方法可以使其重新进入。例如,建立一个账户等。
2. 你不能通过移除后门来净化你受到损害的系统。你千万不要保证已经找到了攻击者可以进入的所有后门。事实是,你不能找到更多的后门只是表明:你并不知道到哪里去查看,或者系统已经被糟蹋的千疮百孔以至于你所看到的并不是其本来面目。
3. 你不能通过使用一些漏洞清除程序来为系统“净身”。让我们假设你的系统受到了冲击波的攻击。许多厂商(国内的、国际的都有)都发布了其漏洞清除程序。在清除工具运行之后 ,你能相信一个曾受冲击波攻击的系统吗?笔者不能。因为如果系统易受到冲击波的攻击,那么它也容遭受其它形式的攻击。你能保证其它的某种攻击不会针对你的系统吗?
4. 你不能通过使用一个病毒扫描程序来保障曾受到攻击的系统是安全的。一个完全受到损害的系统是不可信任的,它不会告诉你真相。甚至病毒扫描程序在某种水平上还要依赖于系统对其“真诚相见”,也就是说系统会向病毒扫描程序撒谎。如果要问一个特定的文件是否存在,攻击者可能只需要一个工具就可以告诉你一些虚假信息。.如果你能保证损害系统的唯一因素是一个特定的病毒或蠕虫,并且你知道这个病毒或蠕虫没有与之相关的后门,而且由这个恶意代码利用的漏洞不能从远程利用,那么可以使用一个病毒扫描程序来清洁你的系统。例如,多数电子邮件蠕虫依赖于一个用户打开一个附件。在这种特定的情况下,系统上的唯一感染源就是包含蠕虫的邮件附件。不过,如果这个被蠕虫所利用的漏洞能够在用户不操作的情况下被远程控制,而且你不能保证蠕虫是利用此漏洞的唯一因素,那么其它的某种恶意代码利用同一个漏洞的可能性是完全可能的。在这情况下,你就不能只是为系统打上补兜的唯一正确方法是自己破坏原有的系统,并重新构建它。也许可以这样说,要想创造一个新世界,首先要打破一个旧世界。如果你拥有一个受到彻底损坏的系统,你可以实施的唯一安全措施是重新构建、安装系统。
还有其它什么选择吗?我们的回答是有的,那就是一开始就要防止系统受到攻击。关于这方面有许多文章,你可以上网上找到许多资料,例如,通过一般用户上网查找资料,正确设置浏览器防止自动下载,及时安装下载补丁(不过,你怎么知道什么时候算是“及时”?你能为所使用的所有应用程序和工具及时安装补丁吗?),修改超级用户密码,安装防火墙,等等,在此笔者就不一一列举了。但我们要说的是,没有绝对安全的网络和系统!
