服務(wù)器被黑應(yīng)該如何恢復(fù)

本文主要講述Unix或者NT系統(tǒng)如果被侵入，應(yīng)該如何應(yīng)對(duì)。

　　注意：:你在系統(tǒng)恢復(fù)過程中的所有步驟都應(yīng)該與你所在組織的網(wǎng)絡(luò)安全策略相符。

　　準(zhǔn)備工作

　　一、商討安全策略

　　如果你的組織沒有自己的安全策略，那么需要按照以下步驟建立自己的安全策略：

　　1.和管理人員協(xié)商

　　將入侵事故通知管理人員，可能在有的組織中很重要。在be aware進(jìn)行事故恢復(fù)的時(shí)候，網(wǎng)絡(luò)管理人員能夠得到內(nèi)部各部門的配合。也應(yīng)該明白入侵可能引起傳媒的注意。

　　2.和法律顧問協(xié)商

　　在開始你的恢復(fù)工作之前，你的組織需要決定是否進(jìn)行法律調(diào)查。

　　注意CERT(Computer Emergency Response Team)只提供技術(shù)方面的幫助和提高網(wǎng)絡(luò)主機(jī)對(duì)安全事件的反應(yīng)速度。它們不會(huì)提出法律方面的建議。所以，對(duì)于法律方面的問題建議你咨詢自己的法律顧問。你的法律顧問能夠告訴你入侵者應(yīng)該承擔(dān)的法律責(zé)任(民事的或者是刑事的)，以及有關(guān)的法律程序。

　　現(xiàn)在，是你決定如何處理這起事故的時(shí)候了，你可以加強(qiáng)自己系統(tǒng)的安全或者選擇報(bào)警。

　　如果你想找出入侵者是誰，建議你與管理人員協(xié)商并咨詢法律顧問，看看入侵者是否觸犯了地方或者全國的法律。根據(jù)這些，你可以報(bào)案，看看警方是否愿意對(duì)此進(jìn)行調(diào)查。

　　針對(duì)與入侵事件，你應(yīng)該與管理人員和法律顧問討論以下問題：

　　如果你要追蹤入侵者或者跟蹤網(wǎng)絡(luò)連接，是否會(huì)觸犯法律。

　　如果你的站點(diǎn)已經(jīng)意識(shí)到入侵但是沒有采取措施阻止，要承擔(dān)什么法律責(zé)任。

　　入侵者是否觸犯了全國或者本地的法律。

　　是否需要進(jìn)行調(diào)查。

　　是否應(yīng)該報(bào)警。

　　3.報(bào)警

　　通常，如果你想進(jìn)行任何類型的調(diào)查或者起訴入侵者，最好先跟管理人員和法律顧問商量以下。然后通知有關(guān)執(zhí)法機(jī)構(gòu)。

　　一定要記住，除非執(zhí)法部門的參與，否則你對(duì)入侵者進(jìn)行的一切跟蹤都可能是非法的。

　　4.知會(huì)其他有關(guān)人員

　　除了管理者和法律顧問之外，你還需要通知你的恢復(fù)工作可能影響到的人員，例如其他網(wǎng)絡(luò)管理人員和用戶。

　　二、記錄恢復(fù)過程中所有的步驟

　　毫不夸張地講，記錄恢復(fù)過程中你采取的每一步措施，是非常重要的�；謴�(fù)一個(gè)被侵入的系統(tǒng)是一件很麻煩的事，要耗費(fèi)大量的時(shí)間，因此經(jīng)常會(huì)使人作出一些草率的決定。記錄自己所做的每一步可以幫助你避免作出草率的決定，還可以留作以后的參考。記錄還可能對(duì)法律調(diào)查提供幫助。

　　奪回對(duì)系統(tǒng)的控制權(quán)

　　一、將被侵入的系統(tǒng)從網(wǎng)絡(luò)上斷開

　　為了奪回對(duì)被侵入系統(tǒng)的控制權(quán)，你需要將其從網(wǎng)絡(luò)上斷開，包括播號(hào)連接。斷開以后，你可能想進(jìn)入U(xiǎn)nix系統(tǒng)的單用戶模式或者NT的本地管理者(local administrator)模式，以奪回系統(tǒng)控制權(quán)。然而，重啟或者切換到單用戶/本地管理者模式，會(huì)丟失一些有用的信息，因?yàn)楸磺秩胂到y(tǒng)當(dāng)前運(yùn)行的所有進(jìn)程都會(huì)被殺死。

　　因此，你可能需要進(jìn)入“檢查網(wǎng)絡(luò)嗅探器”一節(jié)，以確定被侵入的系統(tǒng)是否有網(wǎng)絡(luò)嗅探器正在運(yùn)行。

　　在對(duì)系統(tǒng)進(jìn)行恢復(fù)的過程中，如果系統(tǒng)處于Unix單用戶模式下，會(huì)阻止用戶、入侵者和入侵進(jìn)程對(duì)系統(tǒng)的訪問或者切換主機(jī)的運(yùn)行狀態(tài)。

　　如果在恢復(fù)過程中，沒有斷開被侵入系統(tǒng)和網(wǎng)絡(luò)的連接，在你進(jìn)行恢復(fù)的過程中，入侵者就可能連接到你的主機(jī)，破壞你的恢復(fù)工作。

　　二、復(fù)制一份被侵入系統(tǒng)的影象

　　在進(jìn)行入侵分析之前，建議你備份被侵入的系統(tǒng)。以后，你可能會(huì)用得著。

　　如果有一個(gè)相同大小和類型的硬盤，你就可以使用Unix命令dd將被侵入系統(tǒng)復(fù)制到這個(gè)硬盤。