发现网络攻击并阻止和恢复

    导读随着我们与internet联系的日益密切，黑客的攻击对我们来说不再是遥远的传说，而成了实实在在发生在我们身边的事。作为一个网络管理员，我们最担心的事莫过于发现自己的网络被人攻击。从本文中，我们可以学到如何在受到黑客攻击时，尽快找出问题所在，并使一切恢复正常。

    终于到了星期五，您正准备前往您梦想的度假胜地度过一个3天的周末长假。就在您准备离开办公室的时候，有个用户抱怨说网络速度很慢，特别是访问 internet的时候。您检查了一下，发现服务器和网络真的都慢得出奇。您检查了防火墙的通信量情况，注意到有非常大的internet通信量。您在服务器上运行netstat命令，发现服务器上有几个未经授权的连接，并且这些连接看起来都来自internet。您检查服务器的注册表，注意到有几个陌生的程序被设置为自动加载。那么，现在取消您的旅行计划吧，您这个周末会有一大堆工作要做。您被黑客攻击了。     根据攻击性质的不同，有时并不容易判断出是否已受到黑客攻击。了解该检查哪些方面以及检查什么内容，能帮助您发现黑客的攻击，并且在这些攻击造成进一步破坏之前采取恢复措施。我将会告诉您从哪里查找可能会严重破坏您系统的恶意程序，我还会帮助您作出一个攻击恢复计划。我将会用三个案例来告诉您我是如何使用这些策略来帮助这些机构检测网络攻击、从攻击中恢复，并避免将来再受到攻击。
    要检查的内容
    很显然，您只有发现了黑客的攻击，才能采取措施阻止攻击并使之恢复。那么该从哪里入手呢？每一次的攻击都是独一无二的，但有些地方总是需要您首先检查的。以下是您开始搜索的关键位置。     注册表子项。如果您怀疑某台机器被黑客攻击，请首先检查它的注册表的“run”子项。查找在这些子项中是否加载了任何陌生的程序。攻击者可以利用 “run”子项启动恶意程序，入侵者还有可能通过这些子项启动病毒。这些子项适用于以下操作系统：windows server 2003、windows xp、windows 2000、windows nt、windows me和windows 9x。这些需要检查的子项包括：
• hkey_local_machine\software\microsoft\windows
   \currentversion\run 
• hkey_local_machine\software\microsoft\windows
   \currentversion\runonce 
• hkey_local_machine\software\microsoft\windows
   \currentversion\runservices 
• hkey_local_machine\software\microsoft\windows
   \currentversion\runservicesonce 
• hkey_current_user\software\microsoft\windows
   \currentversion\run 
• hkey_current_user\software\microsoft\windows
   \currentversion\runonce 
• hkey_current_user\software\microsoft\windows
   \currentversion\runservices 
• hkey_current_user\software\microsoft\windows
   \currentversion\runservicesonce      如果您运行的是windows 2003、windows xp、windows 2000或windows nt系统，您还需要检查“hkey_local_machine\software\microsoft\windows\currentversion \policies\explorer\run”子项。     任何您无法识别的程序都有可能是黑客程序。您可以用google或者类似的搜索引擎在internet上搜索程序名，以确定程序是否合法。您需要特别留意从“c:”、“c:\windows”和“c:\windows\system32”加载的程序。强烈建议您养成定期复查这些注册表项的习惯，这样您会熟悉自动加载到您计算机上的所有程序。     下面的一些子项较少被用来启动黑客程序，但您还是需要检查它们。这些子项适用于所有windows操作系统。如果缺省的注册表项的值不是"%1" %*，那么这个程序很可能是个黑客程序。
• hkey_classes_root\batfile\shell\open\command 
• hkey_classes_root\comfile\shell\open\command 
• hkey_classes_root\exefile\shell\open\command 
• hkey_classes_root\htafile\shell\open\command  
• hkey_classes_root\piffile\shell\open\command 
• hkey_local_machine\software\classes\batfile
  \shell\open\command 
• hkey_local_machine\software\classes\comfile
  \shell\open\command  
• hkey_local_machine\software\classes\exefile
  \shell\open\command  
• hkey_local_machine\software\classes\htafila
  \shell\open\command 
• hkey_local_machine\software\classes\piffile
  \shell\open\command 服务。对于所有的windows操作系统，检查它们的“hkey_local_machine\system\currentcontrolset\ services”注册表子项。这个子项下的项目指定了计算机上所定义的服务。我建议您直接在注册表中查看服务而不是使用windows的“服务”图形界面来查看，因为一些服务（例如类型为1的服务）并不显示在“服务”图形界面中。同样，还是要检查您无法识别的程序。如果可能的话，请与一台您已知并未受到黑客攻击的机器的services子项对比它的各项以及对应的值，看是否有任何不同之处。     “启动”文件夹。检查“c:\documents and settings\all users\start menu\programs\startup”和“c:\documents and settings\\start menu\programs\startup”文件夹看是否有陌生的程序和隐藏的文件。要显示当前文件夹及其子文件夹内的所有隐藏文件，在命令提示符处输入：     dir /a h /s     任务计划。检查“c:\windows\tasks”文件夹看是否有未授权的任务。研究您无法识别的任何任务计划。 win.ini。恶意的用户能够通过“c:\windows\win.ini”自动加载黑客程序。请检查“win.ini”文件中的这一小节： [windows] run= load= 任何在“run=”或“load=”后面列出的程序都会在windows启动时自动加载。 system.ini。入侵者可以在“c:\windows\system.ini”中利用shell命令加载程序。请在“system.ini”中搜索： [boot] shell=explorer.exe 任何在“explorer.exe”后面列出的程序都会在windows启动时自动加载     黑客可以在windows启动时自动加载程序的其它位置。sysinternals的免费软件autoruns可以显示出哪些程序被配置为在 windows nt（以及之后的系统）启动时加载的。您可以从下载这个工具 .
   开放的端口和未授权的用户
    在您对关键位置是否有黑客攻击活动做了初步的检查以后，请查找意外或可疑的开放端口。 root kit。root kit是运行在操作系统级别上的秘密程序，它能够打开有危险的机器的端口，入侵者用它来进行远程访问。root kit在unix的世界比较常见，但是越来越多恶意的黑客编写它们并利用在windows上。要判断一台基于windows的计算机上的连接和正在监听的端口，请打开命令提示符并运行以下命令：      netstat -a     表1列出了在一台windows xp计算机上通常打开的端口。如果您在某台工作站或服务器上看到有更多的开放端口，请不要惊慌。端口会根据服务的类型进行动态分配。例如，当您远程管理dhcp和wins的时候，远程过程调用（rpc）会使用动态端口。要了解更多信息，请参考微软的文章“how to configure rpc dynamic port allocation to work with firewall”（?kbid=154596）。当您运行netstat时，查找以下项目：     • 大量已建立的连接（10个或更多，这取决于您的环境），特别是连接到您公司外的ip地址的连接。     • 意外的开放端口，特别是序号较高的端口（例如大于1024的端口号）。黑客程序和root kit往往使用高序号的端口建立远程连接。     • 很多待处理的连接尝试。这有可能是syn flood attack的讯号。
     • 无法识别的批处理文件。一些root kit在下列文件夹中创建批处理文件：“c:\”、“c:\winnt\”、“c:\windows\”、“c:\winnt\system32”和“c:\windows\system32”。root kit或其它未授权的程序还可以在回收站下创建文件和文件夹，所以请查找回收站文件夹内的隐藏文件夹或未授权的文件夹。缺省情况下，回收站文件位于“c:\recycler”文件夹中。要小心在您清空回收站以后仍残留其中的文件和文件夹。     一些黑客工具能够阻止netstat显示一台计算机上的开放端口。如果netstat显示没有可疑的开放端口，但您仍怀疑有，可从另一台计算机运行端口扫描工具来查看目标计算机上有哪些端口是打开的。例如运行源代码开放的实用程序network mapper（nmap），您可以从下载它。
     ad中的恶意用户。当入侵者试图危及系统安全时，他或她有时会在active directory（ad）中创建一个或多个恶意用户。通常入侵者创建的这些用户账号的说明字段都是空的。为了对付这种情况，建议您按照一定的命名规则，为ad中的每个授权用户都添加一个说明。然后，您就可以按照说明对用户排序，这样所有没有说明的用户都会出现在列表的顶端。
     特权组中的未授权用户。黑客攻击的一个主要目标是扩大权力。检查ad中的特权组（例如administrators、domain admins、enterprise admins、server operators）看是否存在未授权的组成员。您需要确保限制这些组的成员，以便更容易发现未授权的用户。
     为系统止血：恢复计划如果您发现有一个系统被黑客攻击了，请不要惊慌。您需要保持冷静，然后有逻辑地进行处理。以下的行动计划能帮助您减少损失。
     1.隔离网络。关闭您网络的所有外部接口，包括internet、wan、vpn和拨号连接，断开路由器、无线接入点（ap）以及将您的网络与外界连接起来的任何其它设备的所有线路。这样做能立即停止当前正受到的攻击，并阻止入侵者危及其它系统的安全。
     2.清理无线设备。使用无线嗅探器（如airscanner mobile sniffer或netstumbler.com的netstumbler）在您的区域内查找任何恶意的ap。确保嗅探器安装在支持当前所有无线标准（也就是802.11a、802.11b和802.11g）的卡上。
     3.查找其它被攻击了的机器。使用本文所述的技术来查找您是否有其它机器已遭受到黑客攻击。       
     4.复查防火墙配置。查找是否存在任何未授权的规则、未授权对外界打开的端口和未授权的网络地址转换（nat）规则。检查防火墙日志中是否记录了可疑的活动。建议您始终将出站的通信限制在必要的出站端口，并确保只有经授权的计算机才能通过防火墙向外发送邮件。
     5.检查ad。查找任何未授权的用户账号并禁用它们。
     6.更改网络中所有账号的密码。对于有较高权限的账号，建议您设置至少15个字符的密码（或密码短语）。这样长度的密码很难破解，因为lan管理器（lm）密码hash不会在服务器上存储超过14个字符的密码。
     7.更换被黑客攻击的计算机上的硬盘。更换硬盘可以隔离并保留黑客的攻击行为。您可以复查旧硬盘上的数据以获得有关攻击的有用信息。
     8.找出被攻击的弱点。尽量找出黑客是如何访问网络的，但这通常是很难做到的（并且超出了本文的讨论范围）。如果您不能找到漏洞在哪里，请考虑雇用一位安全顾问来帮助您。
     9.重装被攻击的机器。彻底清理一个被黑客攻击的计算机几乎是不可能的。如果机器上还残留着一种或多种黑客工具，入侵者将会重新获得访问该机器的能力。确保机器完全清理干净的唯一办法是格式化硬盘，并重装整个机器。这样确保不会保留了任何先前安装的黑客工具。您应该从cd-rom重新安装所有程序，手工安装所有补丁，只恢复数据文件。绝对不要从磁带恢复注册表、操作系统或任何程序。
     10.对所有机器进行全面的病毒扫描。要注意，防病毒程序有时会把黑客工具当作是合法程序。如果扫描结果显示机器是干净的，但您还是怀疑它已被攻击，建议您重装该机器。
     11.重新连接wan线路。重新连接wan线路，并仔细监测，以确保您关闭了网络的所有漏洞。注意网络的带宽是否会被大量占用，密切监测防火墙日志，并在所有服务器上启用安全审核。
     12.仔细调查被黑客攻击的硬盘。把被黑客攻击的机器的硬盘安装在一台独立的计算机上，检查它们以获得有关攻击的更多信息。虽然入侵者往往使用虚假的ip地址，ip地址仍然是追踪攻击来源的很好线索。您可以从internet assigned numbers authority（iana)网站（）获得ip地址分配的列表。
     13.通知有关当局。如果您在美国，可以向fbi属下的internet fraud complaint center （ifcc-）报告可疑的internet活动，并且大部分的 fbi各地区办事处都有cyber action teams（cat）。没有人愿意承认被黑客攻击，但是通知有关当局可以防止黑客进行更多的破坏。如果要联系您当地的fbi办事处，请访问。
     您可以使用上述步骤设计出一个定制的攻击恢复计划。请根据您机构的情况适当地修改这些步骤，并将它们整合到您公司的灾难恢复计划中。案例学习     在我的顾问实践中，曾经遇到过许多情形，都是一些机构的网络受到攻击。通过学习别人的经验可以帮助您发现您网络的弱点，并帮助您在受到类似攻击时进行恢复。那么，让我们看一下真实生活中的黑客攻击案例。