• 47176
  • 64
  • 22
Нравится блог?
Подписывайтесь!

Как выявить хакерскую атаку

Есть множество способов воспользоваться большинством уязвимостей. Для хакерской атаки можно использовать один эксплойт, связку эксплойтов, неверные настройки программных компонентов или даже программу-бэкдор, установленную в операционную систему в процессе предыдущей атаки.
Из-за этого детектирование хакерской атаки становится не самой простой задачей, особенно для неопытного пользователя.Помните, что, как и в случае вирусов, никто не дает 100% гарантии, что вы сможете зафиксировать атаку подобными способами. Впрочем, если ваша система уже взломана, то вы наверняка отметите некоторые из нижеприведенных признаков.


Windows-клиенты:

Подозрительно высокий исходящий трафик. Если вы пользуетесь дайлапом или ADSL-подключением и заметили необычно большое количество исходящего сетевого трафика (в частности, проявляющегося, когда ваш компьютер работает и подключен к интернету, но вы им не пользуетесь), то ваш компьютер, возможно, был взломан. Такой компьютер может использоваться для скрытой рассылки спама или для работы сетевых ботов и червей.

Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal,Webmoney. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой.Из-за этого детектирование хакерской атаки становится не самой простой задачей, особенно для неопытного пользователя.Помните, что, как и в случае вирусов, никто не дает 100% гарантии, что вы сможете зафиксировать атаку подобными способами. Впрочем, если ваша система уже взломана, то вы наверняка отметите некоторые из нижеприведенных признаков.Большое количество пакетов с одного и того же адреса, останавливаемые персональным межсетевым экраном. После определения цели (например, диапазона IP-адресов какой-либо компании или домашней сети) хакеры обычно запускают автоматические сканеры, пытающиеся использовать набор различных эксплойтов для проникновения в систему. Если вы запустите персональный межсетевой экран (фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно высокое количество остановленных пакетов с одного и того же адреса, то это — признак того, что ваш компьютер атакуют. Впрочем, если ваш межсетевой экран сообщает об остановке подобных пакетов, то компьютер, скорее всего, в безопасности. Однако многое зависит от того, какие запущенные сервисы открыты для доступа из интернета. Так, например, персональный межсетевой экран может и не справиться с атакой, направленной на работающий на вашем компьютере FTP-сервис. В данном случае решением проблемы является временная полная блокировка опасных пакетов до тех пор, пока не прекратятся попытки соединения.Большинство персональных межсетевых экранов обладают подобной функцией.Постоянная антивирусная защита вашего компьютера сообщает о присутствии на компьютере троянских программ или бэкдоров, хотя в остальном все работает нормально. Хоть хакерские атаки могут быть сложными и необычными, большинство взломщиков полагается на хорошо известные троянские утилиты, позволяющие получить полный контроль над зараженным компьютером. Если ваш антивирус сообщает о поимке подобных вредоносных программ, то это может быть признаком того, что ваш компьютер открыт для несанкционированного удаленного доступа.

UNIX-клиенты:

Файлы с подозрительными названиями в папке «/tmp». Множество эксплойтов в мире UNIX полагается на создание временных файлов в стандартной папке «/tmp», которые не всегда удаляются после взлома системы. Это же справедливо для некоторых червей, заражающих UNIX-системы; они рекомпилируют себя в папке «/tmp» и затем используют ее в качестве «домашней».Модифицированные исполняемые файлы системных сервисов вроде «login», «telnet», «ftp», «finger» или даже более сложных типа «sshd», «ftpd» и других. После проникновения в систему хакер обычно предпринимает попытку укорениться в ней, поместив бэкдор в один из сервисов, доступных из интернета, или изменив стандартные системные утилиты, используемые для подключения к другим компьютерам. Подобные модифицированные исполняемые файлы обычно входят в состав rootkit и скрыты от простого прямого изучения. В любом случае, полезно хранить базу с контрольными суммами всех системных утилит и периодически, отключившись от интернета, в режиме одного пользователя, проверять, не изменились ли они.Модифицированные «/etc/passwd», «/etc/shadow» или иные системные файлы в папке «/etc». Иногда результатом хакерской атаки становится появление еще одного пользователя в файле «/etc/passwd», который может удаленно зайти в систему позже. Следите за всеми изменениями файла с паролями, особенно за появлением пользователей с подозрительными логинами.Появление подозрительных сервисов в «/etc/services». Установка бэкдора в UNIX-системе зачастую осуществляется путем добавления двух текстовых строк в файлы «/etc/services» и «/etc/ined.conf». Следует постоянно следить за этими файлами, чтобы не пропустить момент появления там новых строк, устанавливающих бэкдор на ранее неиспользуемый или подозрительный порт.Также рекомендуется установить firewall с групповыми политиками для предотвращения хакерской атаки.


7 января 2011, 16:46
5156

Загрузка...

Комментарии

Как ни странно я это уже где-то читал)
А запись, запись неплоха для рядовых, а более точно вычислять следует другими методами)
Скоро выложу еще одну статью в более точных подробностях как выявлять атаки.
поменяй размер шрифта
Данная статья не копипаст,она немного дополненая мною...
то что ты вот это все написал отличный от кириллицы, я мало че понял))) мб объяснишь че такое к примеру: firewall, бэкдор, rootkit, UNIX-система и т.д.)))а?

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Обратная сторона Астаны. Девять худших и проблемных районов столицы Казахстана

Обратная сторона Астаны. Девять худших и проблемных районов столицы Казахстана

Несмотря на то, что Астана столица, и один из самых красивых и современных городов Казахстана, здесь все равно есть места, за которые стыдно и даже как-то неудобно перед гостями.
Washington
12 янв. 2017 / 12:25
  • 20463
  • 25
Расписание Универсиады в Алматы. Что стоит посетить?

Расписание Универсиады в Алматы. Что стоит посетить?

Путеводитель по соревнованиям Универсиады с рекомендациями, какие соревнования Универсиады никак нельзя пропустить. До встречи на Универсиаде!
olympic
11 янв. 2017 / 10:40
  • 18316
  • 7
Господин министр, что означает ваша фраза «Хорошо, не открывайте, мы найдем другой способ проверить»?

Господин министр, что означает ваша фраза «Хорошо, не открывайте, мы найдем другой способ проверить»?

Это что, совет? Рекомендация? Или это угроза? Чего нам ждать? Чего нам бояться? Мы – законопослушные граждане Республики Казахстан, мы ЗА ужесточение законодательства в части борьбы с терроризмом, но при этом...
AliyaSadyrbaeva
10 янв. 2017 / 21:02
  • 15582
  • 32
Как мы «скидываемся» на красивую жизнь мажоров. Воровство пенсионных денег

Как мы «скидываемся» на красивую жизнь мажоров. Воровство пенсионных денег

Официальные спикеры КНБ РК рассказали о ходе расследования, раскрыв общественности схему, которую использовало руководство ЕНПФ для воровства 5 миллиардов тенге пенсионных накоплений.
openqazaqstan
13 янв. 2017 / 11:30
  • 13787
  • 12
«Ещё раз на те же грабли». Премьер Сагинтаев о временной регистрации

«Ещё раз на те же грабли». Премьер Сагинтаев о временной регистрации

Казахстанцы по-прежнему с нескрываемым возмущением и сарказмом комментируют нововведения в миграционное законодательство. Проблема, как это ни парадоксально, в том, что мы, казахстанцы – народ законопослушный.
openqazaqstan
12 янв. 2017 / 10:07
  • 10991
  • 26
Так и думал, что 2017-й начнется отвратительно. Каково вообще таким как я, квартирантам?

Так и думал, что 2017-й начнется отвратительно. Каково вообще таким как я, квартирантам?

В городе у меня нет совершенно никого, поэтому ни прописки, ни регистрации у меня нет, а живу я в съемной, как и многие. К сожалению, далеко не каждый человек готов прописать, хоть и временно, своего квартиранта.
MrVladimirLV
10 янв. 2017 / 15:21
  • 6822
  • 81
Наверное, я себя почувствовала человеком именно в Корее. Не в Казахстане

Наверное, я себя почувствовала человеком именно в Корее. Не в Казахстане

Если я останусь в Казахстане, то идти мне здесь некуда, пахать за копейки на госслужбе? Прожить всю жизнь в однокомнатной вместе с котом и мамой?
savira6
13 янв. 2017 / 9:44
  • 4615
  • 28
Айсулу Салгарина. Решил пойти в гости к той, что вызывает гордость за казахских девушек

Айсулу Салгарина. Решил пойти в гости к той, что вызывает гордость за казахских девушек

Прошло около 2 лет. За эти годы в моей жизни многое изменилось. И мне стало интересно, какие же изменения произошли в жизни тех, у кого я когда-то брал интервью...
DastanIskakov
14 янв. 2017 / 11:43
  • 4136
  • 4
Сейчас даже дяденьки и тетеньки в 20-27 лет живут с родителями. Безработица в Алматы

Сейчас даже дяденьки и тетеньки в 20-27 лет живут с родителями. Безработица в Алматы

Наверняка, все знают крылатую фразу Ленина "Кто не работает - тот не ест" В то время за безработицу осуждали, а кормили народ за счет предприятия - славные были времена, пусть я и застала их лишь...
DoZa
13 янв. 2017 / 9:54
  • 3698
  • 43