对症下药——抢救被入侵的系统

核心提示： 6、 在完成系统修复工作后，还应当使用弱点检测工具来对系统和应用程序进行一次全面的弱点检测，对症下药——抢救被入侵的系统(5)，以确保没有已经的系统或应用程序弱点出现，我们还应用使用手动的方式检查系统中是否添加了新的用户帐户，因此，在检测系统文件是否被修改时，以及被攻击做修改了相应的安装设

6、 在完成系统修复工作后，还应当使用弱点检测工具来对系统和应用程序进行一次全面的弱点检测，以确保没有已经的系统或应用程序弱点出现。我们还应用使用手动的方式检查系统中是否添加了新的用户帐户，以及被攻击做修改了相应的安装设置，例如修改了防火墙过滤规则，IDS/IPS的检测灵敏度，启用被攻击者禁用了的服务和安全软件。

在我们完成以炫耀技术为入侵目的的系统入侵事件后，为了安全起见，我们还应当对系统进行下列的相关操作，进一步保证入侵恢复的成果：

1、修改系统管理员或其它用户帐户的名称和登录密码；

2、修改数据库或其它应用程序的管理员和用户账户名称和登录密码；

3、检查防火墙规则；

4、如果系统中安装有杀毒软件和IDS/IPS，分别更新它们的病毒库和攻击特征库；

5、重新设置用户权限；

6、重新设置文件的访问控制规则；

7、重新设置数据库的访问控制规则；

8、修改系统中与网络操作相关的所有帐户的名称和登录密码等。

当我们完成上述所示的所有系统恢复和修补任务后，我们就可以对系统和服务进行一次完全备份，并且将新的完全备份与旧的完全备份分开保存。

在这里要注意的是：对于以控制系统为目的的入侵活动，攻击者会想方设法来隐藏自己不被用户发现。他们除了通过修改或删除系统和防火墙等产生的与他操作相关的日志文件外，高明的黑客还会通过一些软件来修改其所创建、修改文件的基本属性信息，这些基本属性包括文件的最后访问时间，修改时间等，以防止用户通过查看文件属性来了解系统已经被入侵。因此，在检测系统文件是否被修改时，应当使用RootKit Revealer等软件来进行文件完整性检测。

二、 以得到或损坏系统中机密数据为目的的系统入侵恢复