WEB开发网
开发学院网络安全安全技术 做好网络安全要注意收集入侵信息 阅读

做好网络安全要注意收集入侵信息

 2008-11-22 13:33:46 来源:WEB开发网   
核心提示: 总之,相关的日志信息会记录某个非法用户多次尝登陆某个系统,做好网络安全要注意收集入侵信息(2),以及记录某个非法用户多次试图访问未经授权的文件或者系统,而这些信息是我们以后作好防治措施的依据,一般来说,我们借助一些检测软件,所以,我们信息收集的第一步

总之,相关的日志信息会记录某个非法用户多次尝登陆某个系统,以及记录某个非法用户多次试图访问未经授权的文件或者系统。而这些信息是我们以后作好防治措施的依据。所以,我们信息收集的第一步,就是要关注相关的日志信息。在这些日志文件中,找到攻击者蛛丝马迹。

非正常的目录以及非正常的文件

当黑客攻击成功后,取得某个管理员帐户之后,为了进一步加固自己的成果,会在系统中设置一些文件夹、目录或者文件,以进行下一步的攻击行为。如有一些攻击者在取得系统的管理员轧帐户与密码之后,会在系统中建立一个文件夹,上传一些木马攻击。并且设置相关的任务调度计划,当某个特定的时间,运行这个文件夹中的程序等等。所以,我们若能够及早的发现这些非正常的文件夹以及文件信息,就可以及早的发现攻击的迹象,从而及时采取相关的措施。

所以,操作系统与应用软件中的目录与文件、文件夹的非正常改变,包括增加、删除、修改等等,特别是一般情况下受限制访问的文件夹以及目录非正常的改变,很可能是一种入侵产生的指示或者信号。

一般来说,有如下几种情况。

一是应用程序的执行路径发生了改变。如有些企业通过MSN跟可户进行联系。当非法攻击着侵入企业网络,取得某台主机的管理员密码之后,就可以改变用户桌面上的MSN程序图标的路径。当用户双击打开这个程序的话,打开的不是原来的MSN程序,而可能是一个绑有木马的MSN程序,可以窃取用户了聊天记录、帐户名与密码等等。

二是可疑的文件夹。当非法攻击者取得管理员用户名与密码之后,利用TELENT程序远程登陆,然后在主机上建立文件夹,上传木马或者其他的非法软件,然后通过操作系统本身的任务调度命令,在一个特定的时刻运行这个文件夹中的程序。这是很多非法攻击者常用的手段。所以,我们若能够及时的发现这些可疑的文件夹信息,就可以及早的发现攻击的行为,从而减少由此带来的损失,等等。一般来说,我们借助一些检测软件,就可以收集到这些信息。

Tags:做好 网络安全 注意

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接