对症下药——抢救被入侵的系统

核心提示： 5、 已经发现了系统入侵事件，并且已经及时识别了系统入侵事件的真假，对症下药——抢救被入侵的系统(2)，以及按入侵的严重程度进行了分类，上面列出来的这些任务不仅是及时发现系统被入侵的前提条件，然后通过查看系统进程、服务和分析系统和服务的日志文件，来检查系统攻击者在系统中还做了什么样的操作，

5、 已经发现了系统入侵事件，并且已经及时识别了系统入侵事件的真假，以及按入侵的严重程度进行了分类。

上面列出来的这些任务不仅是及时发现系统被入侵的前提条件，而且是成功恢复被入侵系统、降低系统入侵损失的基本条件，我们应当认真细致地完成它们。鉴于目前我国大多数中小企业和普通用户的计算机使用的都是Windows XP操作系统，在本文中，如果没有特别的说明，所说的系统都是指Windows XP操作系统。

一、 以炫耀技术目的的系统入侵恢复

有一部分攻击者入侵系统的目的，只是为了向同行或其他人炫耀其高超的网络技术，或者是为了实验某个系统漏洞而进行的系统入侵活动。对于这类系统入侵事件，攻击者一般会在被入侵的系统中留下一些证据来证明他已经成功入侵了这个系统，有时还会在互联网上的某个论坛中公布他的入侵成果，例如攻击者入侵的是一台WEB服务器，他们就会通过更改此WEB站点的首页信息来说明自己已经入侵了这个系统，或者会通过安装后门的方式，使被入侵的系统成他的肉鸡，然后公然出售或在某些论坛上公布，以宣告自己已经入侵了某系统。也就是说，我们可以将这种类型的系统入侵再细分为以控制系统为目的的系统入侵和修改服务内容为目的的系统入侵。

对于以修改服务内容为目的的系统入侵活动，可以不需要停机就可改完成系统恢复工作，我们应当按下列的方式来处理：

1、建立被入侵系统当前完整系统快照，或只保存被修改部分的快照，以便事后分析和留作证据。

2、立即通过备份恢复被修改的网页。

3、在Windows系统下，通过网络监控软件或“netstat –an”命令来查看系统目前的网络连接情况，如果发现不正常的网络连接，应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统和服务的日志文件，来检查系统攻击者在系统中还做了什么样的操作，以便做相应的恢复。