• 47472
  • 64
  • 22
Нравится блог?
Подписывайтесь!

Как выявить хакерскую атаку

Есть множество способов воспользоваться большинством уязвимостей. Для хакерской атаки можно использовать один эксплойт, связку эксплойтов, неверные настройки программных компонентов или даже программу-бэкдор, установленную в операционную систему в процессе предыдущей атаки.
Из-за этого детектирование хакерской атаки становится не самой простой задачей, особенно для неопытного пользователя.Помните, что, как и в случае вирусов, никто не дает 100% гарантии, что вы сможете зафиксировать атаку подобными способами. Впрочем, если ваша система уже взломана, то вы наверняка отметите некоторые из нижеприведенных признаков.


Windows-клиенты:

Подозрительно высокий исходящий трафик. Если вы пользуетесь дайлапом или ADSL-подключением и заметили необычно большое количество исходящего сетевого трафика (в частности, проявляющегося, когда ваш компьютер работает и подключен к интернету, но вы им не пользуетесь), то ваш компьютер, возможно, был взломан. Такой компьютер может использоваться для скрытой рассылки спама или для работы сетевых ботов и червей.

Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal,Webmoney. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой.Из-за этого детектирование хакерской атаки становится не самой простой задачей, особенно для неопытного пользователя.Помните, что, как и в случае вирусов, никто не дает 100% гарантии, что вы сможете зафиксировать атаку подобными способами. Впрочем, если ваша система уже взломана, то вы наверняка отметите некоторые из нижеприведенных признаков.Большое количество пакетов с одного и того же адреса, останавливаемые персональным межсетевым экраном. После определения цели (например, диапазона IP-адресов какой-либо компании или домашней сети) хакеры обычно запускают автоматические сканеры, пытающиеся использовать набор различных эксплойтов для проникновения в систему. Если вы запустите персональный межсетевой экран (фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно высокое количество остановленных пакетов с одного и того же адреса, то это — признак того, что ваш компьютер атакуют. Впрочем, если ваш межсетевой экран сообщает об остановке подобных пакетов, то компьютер, скорее всего, в безопасности. Однако многое зависит от того, какие запущенные сервисы открыты для доступа из интернета. Так, например, персональный межсетевой экран может и не справиться с атакой, направленной на работающий на вашем компьютере FTP-сервис. В данном случае решением проблемы является временная полная блокировка опасных пакетов до тех пор, пока не прекратятся попытки соединения.Большинство персональных межсетевых экранов обладают подобной функцией.Постоянная антивирусная защита вашего компьютера сообщает о присутствии на компьютере троянских программ или бэкдоров, хотя в остальном все работает нормально. Хоть хакерские атаки могут быть сложными и необычными, большинство взломщиков полагается на хорошо известные троянские утилиты, позволяющие получить полный контроль над зараженным компьютером. Если ваш антивирус сообщает о поимке подобных вредоносных программ, то это может быть признаком того, что ваш компьютер открыт для несанкционированного удаленного доступа.

UNIX-клиенты:

Файлы с подозрительными названиями в папке «/tmp». Множество эксплойтов в мире UNIX полагается на создание временных файлов в стандартной папке «/tmp», которые не всегда удаляются после взлома системы. Это же справедливо для некоторых червей, заражающих UNIX-системы; они рекомпилируют себя в папке «/tmp» и затем используют ее в качестве «домашней».Модифицированные исполняемые файлы системных сервисов вроде «login», «telnet», «ftp», «finger» или даже более сложных типа «sshd», «ftpd» и других. После проникновения в систему хакер обычно предпринимает попытку укорениться в ней, поместив бэкдор в один из сервисов, доступных из интернета, или изменив стандартные системные утилиты, используемые для подключения к другим компьютерам. Подобные модифицированные исполняемые файлы обычно входят в состав rootkit и скрыты от простого прямого изучения. В любом случае, полезно хранить базу с контрольными суммами всех системных утилит и периодически, отключившись от интернета, в режиме одного пользователя, проверять, не изменились ли они.Модифицированные «/etc/passwd», «/etc/shadow» или иные системные файлы в папке «/etc». Иногда результатом хакерской атаки становится появление еще одного пользователя в файле «/etc/passwd», который может удаленно зайти в систему позже. Следите за всеми изменениями файла с паролями, особенно за появлением пользователей с подозрительными логинами.Появление подозрительных сервисов в «/etc/services». Установка бэкдора в UNIX-системе зачастую осуществляется путем добавления двух текстовых строк в файлы «/etc/services» и «/etc/ined.conf». Следует постоянно следить за этими файлами, чтобы не пропустить момент появления там новых строк, устанавливающих бэкдор на ранее неиспользуемый или подозрительный порт.Также рекомендуется установить firewall с групповыми политиками для предотвращения хакерской атаки.


7 января 2011, 16:46
5169

Loading...

Комментарии

Как ни странно я это уже где-то читал)
А запись, запись неплоха для рядовых, а более точно вычислять следует другими методами)
Скоро выложу еще одну статью в более точных подробностях как выявлять атаки.
поменяй размер шрифта
Данная статья не копипаст,она немного дополненая мною...
то что ты вот это все написал отличный от кириллицы, я мало че понял))) мб объяснишь че такое к примеру: firewall, бэкдор, rootkit, UNIX-система и т.д.)))а?

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Исламская ипотека в Казахстане: в этом году выйдет на розничный рынок

Исламская ипотека в Казахстане: в этом году выйдет на розничный рынок

Многие клиенты, вздыхая о харамном ссудном проценте местных банков, сокрушались по поводу отсутствия у нас халяльного кредитования. Поддержка исламского банкинга на уровне МФЦА есть...
DanaJarlygapova
24 марта 2017 / 18:28
  • 14895
  • 46
Престарелый старец-киборг Рокфеллер предлагал уничтожить 90% населения Земли

Престарелый старец-киборг Рокфеллер предлагал уничтожить 90% населения Земли

Первую пересадку сердца Рокфеллер пережил в 1976 году на 62-м году жизни. Последнюю пересадку ему сделали в августе 2016 года. Пересадка сердца такому старому пациенту не имеет аналогов...
Timur_Tregulov
21 марта 2017 / 23:10
  • 6963
  • 52
Компания LG Electronics открыла предзаказ на новый флагман LG G6

Компания LG Electronics открыла предзаказ на новый флагман LG G6

LG Electronics объявляет о начале предварительного заказа онлайн на новый смартфон LG G6. Оформить предзаказ можно на сайтах магазинов электроники до 16 апреля 2017 года.
LG Electronics
24 марта 2017 / 14:20
  • 4747
  • 0
Беременность по-американски. Никто не ждет до 40 дней, с малышом гуляют с первого дня

Беременность по-американски. Никто не ждет до 40 дней, с малышом гуляют с первого дня

Мои волшебные 9 месяцев протекали в новой среде и далеко от всех родственников и подружек. Никто из моих знакомых в США на тот момент не успел обзавестись малышом, поэтому мне не с кем было...
Zarema_
23 марта 2017 / 9:25
  • 4446
  • 14
Алматы – это город-урод. Если вы живете здесь, то сами найдете кучу примеров

Алматы – это город-урод. Если вы живете здесь, то сами найдете кучу примеров

Париж, Рим, Барселона, Лондон, Алматы, Венеция – выберите город, который на ваш взгляд кажется лишним в этом списке. Если бы не было слова "урод", было бы легче определиться?
corridere
21 марта 2017 / 14:59
  • 4609
  • 75
Страну, где так строят дороги, победить невозможно!

Страну, где так строят дороги, победить невозможно!

Шестиминутный ролик про строительство автомобильной дороги в США - это как острый нож в пузо нашим чиновникам. Они же подавятся бешбармаком, увидев его! Похлеще любого пропагандистского фильма...
Timur_Tregulov
24 марта 2017 / 11:26
  • 3847
  • 31
Это вам не Дисней. Реальный прототип «Красавицы и Чудовища»

Это вам не Дисней. Реальный прототип «Красавицы и Чудовища»

Многие уверенны на 100%, что сказка «Красавица и Чудовище» - это интересная выдумка ее создателей. Однако, действия, происходящие в мультфильме и фильме, имели место в истории, и у главных героев...
Naomi_K
24 марта 2017 / 18:42
  • 4139
  • 34
Семь причин почему вам надо перестать откладывать переезд за границу

Семь причин почему вам надо перестать откладывать переезд за границу

Вы думаете о переезде за границу, но постоянно откладываете дату, потому что вас беспокоит тысяча мелочей, которые могут пойти не так? У меня есть семь причин, почему пора перестать мотать нервы...
Lesch
24 марта 2017 / 17:50
  • 2944
  • 14
Посчитав сколько я смогу сэкономить на еде, я понял, что это очень приличная сумма

Посчитав сколько я смогу сэкономить на еде, я понял, что это очень приличная сумма

Именно сейчас я начинаю понимать, как себя чувствуют иногородние студенты, которые живут общежитиях у нас в Алматы. Я не говорю, что они живут плохо, но многие из них рассчитывают только на свои...
noyanovmyras
23 марта 2017 / 0:18
  • 2974
  • 59