- Rongsen.Com.Cn 版权所有 2008-2010 京ICP备08007000号 京公海网安备11010802026356号 朝阳网安编号:110105199号
- 北京黑客防线网安工作室-黑客防线网安服务器维护基地为您提供专业的
服务器维护
,企业网站维护
,网站维护
服务 - (建议采用1024×768分辨率,以达到最佳视觉效果) Powered by 黑客防线网安 ©2009-2010 www.rongsen.com.cn
作者:黑客防线网安网站维护基地 来源:黑客防线网安网站维护基地 浏览次数:0 |
一、主机的服务端口关闭
主机大部分都提供WWW、Mail、FTP、BBS等日常网络服务,每一台网络主机原则上可以同时提供几种服务, 一台主机为何能够提供如此多的服务呢?因为,Unix/Windows系统是一种多用户、多任务的系统,将网络 服务划分为许多不同的端口,每一个端口提供一种不同服务,一个服务会有一个程序时刻监视端口活动, 并且给予应有的应答。并且,端口的定义已经成为了标准,例如:FTP服务的端口是21,Telnet服务的端口 是23,WWW服务的端口是80等。
想要防御黑客,就要知道他们经常使用一些像Portscan这样的工具软件,对目标主机一定范围的端口进行扫描。这样可以全部掌握 目标主机的端口情况。有一个好工具Haktek,这是一个非常实用的工具软件,它将许多应用集成在一起, 其中包括: Ping、IP地址范围扫描、目标主机端口扫描、邮件炸弹、过滤邮件、Finger主机等都是非常实 用的工具。完成目标主机扫描任务,首先告诉Haktek目标主机的位置,即域名或IP地址。然后选择端口扫 描,输入扫描范围,开始扫描,屏幕很快返回激活的端口号以及对应的服务。对资料的收集非常迅速完整 。因此,如果怀疑或确认主机遭到攻击,防御黑客攻击的第一步,首先要立即关闭主机上可能被黑客利用的服务端口,以阻断黑客入侵的渠道。
二、终止可疑进程,避免使用危险进程
对于Windows操作系统,按Ctrl + Alt + Del打开任务管理器,终止可疑的进程。发现可疑进程后,利用 Windows的查找功能,查找该进程所在的具体路径,通过路径可以知道该进程是否合法,譬如由路径 “C:\Program Files\3721\assistse.exe”知道该程序是3721的进程,是合法的。如果在对进程是否合法 进程拿不定主意时,可以复制该进程的全名,如:“xxx.exe”到www.baidu.com这样的全球搜查引擎上进行搜索。确定了该进程是黑客进程,此时想要防御黑客,应该立即杀掉该进程,对于Windows 9x系统,选中该进程后,点击下面的“结束任务”按钮,Windows 2000、Windows XP、Windows 2003系统则在进程上单击右键在弹出菜单 上选择“结束任务”。终止进程后找到该进程的路径删除掉即可,完成后最好再进行一次杀毒,这样就万 无一失了。一次利用进程管理器杀可疑进程的具体过程是这样的:“通过进程名及路径判断是否可疑——杀掉进程——删除进程程序”。在防御黑客入侵后,除了杀掉系统中的可疑进程外,还应该避免使用危险的可能被黑客利用的进程。
三、主机账号和密码的修改
根据平时的经验,一些系统总有一些习惯性的常用账号,这些账号都是系统中因为某种应用而设置的。例 如:Windows操作系统的administrator账号,制作WWW网站的账号可能是html、www、web等,安装Oracle数 据库的可能有Oracle的账号,用户培训或教学而设置的user1、user2、student1、student2、client1、client2等账户,一些常用的英文名字也经常会使用,例如:tom、john等,因此想要防御黑客可以根据系统所提供的服务和在其主页得到的工作人员的名字信息进行猜测。
结束进程示意图对很多黑客入侵系统实例的分析表明,由于普通用户对系统安全没有具体的认识,因此其密码很容易被猜测出来,一般用户的初始密码大部分和其账号相同,这根本没有一点安全性,在得到其账号信息后就得到了它的密码;另外一部分使用的密码比较简单,例如:将账号的第一个字母大写、后面加一个数字,或者使用简单数字0、1等作为密码。还有一些成对的账号和密码,例如:账号是admin,那么密码可能是manager等。在对普通用户进行测试密码时,实际上也可以对目标主机系统的重要账号进行猜测,例如:一些系统管理员将root的密码定为主机的名字,像Sun、Digital、sparc20、alpha2100等,Oracle数据库的账号密码为oracle7、oracle8等,因此经常发生系统安全的事故。因此,在防御黑客入侵后,应及时修改主机的账号和密码,以避免黑客再次通过这些账号和密码侵入您的主机。
四、主机系统日志的检查与备份
主机系统的日志记录提供了对系统活动的详细审计,这些日志用于评估、审查系统的运行环境和各种操作 。对于一般情况 ,日志记录包括记录用户登录时间、登录地点、进行什么操作等内容,如果使用得当,日 志记录能向系统管理员提供有关危害安全的侵害或入侵试图等非常有用的信息。
以Unix系统为例,提供了详细的各种日志记录,以及有关日志的大量工具和实用程序。这些审计记录通常 由程序自动产生,是缺省设置的一部分,能够帮助Unix管理员来寻找系统中存在的问题,对系统维护十分 有用。还有另一些日志记录,需要管理员进行设置才能生效。大部分日志记录文件被保存在/var/log目录 中,在这个目录中除了保存系统生成日志之外,还包括一些应用软件的日志文件。当然/var目录下的其他 子目录中也会记录下一些其他种类的日志记录文件,这依赖于具体的应用程序的设置。系统登录日志会保存每个用户的登录记录,这些信息包括这个用户的名字、登录起始结束时间以及从何处登录入系统的等等 。
当防御黑客入侵之后,应当及时检查和备份主机系统日志,对黑客所破坏的系统进行及时的恢复。
五、关键数据的备份
数据备份就是将数据以某种方式加以保留,以便在系统遭受破坏或其他特定情况下,重新加以利用的一个 过程。数据备份的根本目的是重新利用,这也就是说,备份工作的核心是恢复。数据备份作为存储领域的 一个重要组成部分,其在存储系统中的地位和作用都是不容忽视的。对一个完整的企业IT系统而言,备份 工作是其中必不可少的组成部分。其意义不仅在于防范意外事件的破坏,而且还是历史数据保存归档的最 佳方式。换言之,即便系统正常工作,没有任何数据丢失或破坏发生,备份工作仍然具有非常大的意义— —为我们进行历史数据查询、统计和分析,以及重要信息归档保存提供了可能。
如果您的主机不幸防御黑客的入侵不够及时,或已经被入侵,那么你首先要做的就是备份主机中幸存的关键数据,以便在系统重新恢复正常运转后及时地恢复系统数据。
六、查询防火墙日志详细记录、修改防火墙安全策略
随着网络攻击手段和信息安全技术的发展,新一代的功能更强大、安全性更强的防火墙已经问世,这个阶 段的防火墙已超出了原来传统意义上防火墙的范畴,已经演变成一个全方位的安全技术集成系统,我们称 之为第四代防火墙,它可以抵御目前常见的网络攻击手段,如IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等等。
七、利用DiskRecovery技术对硬盘数据进行恢复
在最坏的情况下,防御黑客失败,可能会导致硬盘上的所有重要数据被破坏甚至删除。在遇到这种情况时,首先要保持冷静 ,当数据无法读取或硬盘被格式化后,往往可以恢复,不必紧张。
那数据为什么能恢复呢?这主要取决于硬盘数据的存储原理。硬盘中由一组金属材料为基层的盘片组成, 盘片上附着磁性涂层,靠硬盘本身转动和磁头的移动来读写数据的。其中,最外面的一圈称为“0”磁道。 上面记录了硬盘的规格、型号、主引导记录、目录结构等一系列最重要的信息。我们存放在硬盘上的每一 个文件都在这里有记录。在读取文件时,首先要寻找0磁道的有关文件的初始扇区,然后按图索骥,才能找 到文件的位置。删除就不一样了,系统仅仅对0磁道的文件信息打上删除标志,但这个文件本身并没有被清 除。只是文件占用的空间在系统中被显示为释放,而且,当你下次往硬盘上存储文件时,系统将会优先考 虑真正的空白区,只有这些区域被用完以后,才会覆盖上述被删文件实际占有的空间。另外,即使硬盘格 式化后(如Format),只要及时抢救,还是有很大希望的。我们可以选择一些专业的数据恢复软件来恢复被黑客破坏的数据,譬如EasyRecovery,这是一个威力非常强大的硬盘数据恢复工具,能够帮你恢复丢失的数据以及重建文件系统。
如果您不具备硬盘数据恢复的知识,目前有许多专业的数据恢复公司也提供硬盘数据恢复服务。如果我们 要恢复的数据涉及一些商业机密,那么,我们所要做的是准备新的空白硬盘作为数据恢复后的载体,不要 将数据恢复到别人的机器上,不要因为他们已删除而感到放心,因为他们既然能恢复您硬盘上的数据,就 一定也能恢复您暂存在他们的硬盘上的数据。而且恢复数据的过程最好也要有人全程监控,以避免泄密。
我要申请本站:N点 | 黑客防线官网 | |
专业服务器维护及网站维护手工安全搭建环境,网站安全加固服务。黑客防线网安服务器维护基地招商进行中!QQ:29769479 |