國內某網絡游戲公司服務器被黑客入侵,并有玩家帳號等資料外泄,黑客事件被鬧得沸沸揚揚。安全維護、入侵檢測及相應的應急處理也將受到重視。目前國內網絡存在嚴重安全問題,而造成這些問題的根本原因多在于企業、單位、組織對安全問題的認識程度和管理員的技術水平。
金山毒霸安全小組從目前國內的黑客事件統計并作嚴密分析后發現,絕大多數的入侵者只是使用一些常見的漏洞掃描工具然后配合入侵工具而進行的,這些工具都可以從網絡上任意下載。從入侵技術上看,根本無高深技術可言,這些工具也多是利用已公布的常見漏洞,比如IIS的幾大遠程緩沖區溢出獲取任意程序執行權限,通過UNICODE這樣的編碼解析漏洞直接從瀏覽器上執行程序等,而且這些漏洞也都出現很長時間,如果安全維護得力就可以根本不在乎這些“工具黑客”(Script Guy)了。
首先,對系統進行安全配置是必須做到的,因為操作系統和應用軟件通常并不保證足夠的安全性,這也是對網絡管理員的基本要求。但是同系統安全配置一樣,如何進行入侵檢測,以及如何進行“有效的”應急處理,絕大多數網絡管理員并沒有這樣的經驗和能力,因此這也將成為擺在管理者面前的一大問題。
金山毒霸安全小組從對入侵事件的分析發現,通常的“黑客”入侵手段和過程,一般包括下面這些步驟:
??1、黑客們首先確定目標并且收集相關信息(包括郵件地址、相關IP地址、漏洞等等),他們將使用各種漏洞掃描器進行操作;
??2、根據得到的信息可能進行滲透,也就是“入侵”,總的說來入侵者就是要盡可能獲得足夠的權限,而從多數入侵事件分析看出,“工具黑客”僅僅對常見的而且操作簡單的漏洞感興趣;
??3、接著就做他們愿意做的事情,獲得機密、進行破壞等等;
??4、“盡可能”地清除自己留下的痕跡,包括修改、刪除系統日志等;
??5、最后按照他們的期望(是否再來),安裝后門(木馬、添加帳號等等)方便以后進入,有更深度入侵打算的入侵者,還會安裝網絡嗅探器,以便捕獲到更多可用的帳號密碼等。
??從入侵統計上看,現在多數的入侵者并沒有專一的入侵目標,在收集信息階段,基本是按照一個網段一個網段進行的大范圍掃描,如果發現有漏洞的主機即開始實施后面的步驟。
對于重視度不夠的企業和組織,和那些沒有足夠技術以及經驗的系統管理員來說,所有的這些入侵事件都會顯得靜悄悄。也由于這些入侵事件的不確定性,因此在日常管理和維護中就應該時刻注意入侵問題,及時發現可疑事件,一個疏忽就可能帶來不可估量的損失。這里需要提醒廣大的管理員的是,不要過于信賴你們的高價防火墻或者入侵檢測系統,能夠繞過這些機械的程序的方法簡直太多了。因此也要求管理員需要保持高度的警覺,入侵者是不會主動告訴你“狼來了”的。除了通常的安全配置之外,有兩點是管理員還需要做到的:詳細的事件記錄和例行的系統維護,這將讓我們能夠及時地發現入侵并找到足夠的線索。
如何發現是否被入侵呢?那些昂貴的入侵檢測系統設備,讓很多公司和組織卻步。沒有入侵檢測系統,雖然不能即時性地發現可能發生的入侵事件,但是也同樣可以做好檢測工作。金山毒霸系統安全小組根據黑客采用的慣用手段分析,例行的檢查可以從這些方面進行,以WINDOWS 2000系統為例,而其他操作系統或者設備的安全檢查分析基本類似:
??1、首先要查看的就是系統正在使用的端口列表。在命令行中輸入:netstat –a 看看自己打開了些什么端口,是否有可疑的地方,你最好能夠有一個類似fport這樣的端口查看工具,能夠同時查看使用端口的進程,大多數木馬或者后門都會打開一個自己的端口單獨使用,因此從端口上查看能夠發現一些木馬后門的蹤跡。但是,這并不能對付所有的木馬,而且一些打開系統后門的方法也不能這樣來檢查。正如那個網絡游戲公司一樣,服務器也被安裝了后門一樣。安裝后門通常是入侵者的必做工作,同時后門也是入侵者宣告下次還要來的最明顯的標志,也給捕獲他們提供很多的途徑。
??2、打開任務管理器,查看進程列表,及時發現可疑進程,這是一個經驗的較量,不要被一些kernel,internet這樣的進程所迷惑,入侵者命名的進程往往很接近系統的進程名。一些入侵者使用可隱藏的進程,也可能通過系統進程來達到目的。
3、打開計算機管理,查看用戶和用戶組管理,是否有可疑用戶出現,是否在各個用戶組里面存在不該有的帳號,特別是administrators這樣的管理員組,按照一些黑客教程的慣用手法,通常把Guest、TsInternetUser 這樣的系統提供的帳戶,同時也是不被注意的帳戶,添加到管理員組里面去。查看共享文件夾,是否出現不該有的共享,正常的配置情況下應該取消所有的共享,但是黑客們為了傳送文件等等的方便,會再次打開一些共享,當然,大多數被入侵者打開的共享往往被他們忘記關閉了。順便再看看會話,說不定入侵者也正好在呢。還需要查看的是,服務,因為把程序啟動成為服務能夠給入侵者相當多的好處,國內“黑客愛好者”使用最廣泛的是小榕的“RemoteNC”這樣的后門,它就會在系統中啟動一個自己的服務,當然,這個啟動的服務名稱一定具有相當的欺騙性。
??4、對照文件列表。你需要一個類似Regsnap這樣類似的工具,通常一些后門都是被安裝到系統目錄下的,而且“黑客”們也喜歡將自己的文件放置在系統目錄里面,因為那里實在是很少人去檢查,也更方便執行。比較你的備份文件列表和當前文件列表有什么不同,不要以為一些新增加的類似系統文件名的程序。通常這是最直接的檢測方式,如果入侵者安裝后門等等,肯定需要放置他們的程序,或者需要清除他們的腳印,“工具黑客”往往也會再上傳一個工具用來完成這項任務,但是他們往往忘記刪除它。
??5、查看各種系統日志。除了系統的日志以外,還需要查看的是你所開服務的日志,比如FTP、IIS等等的日志。這個工作量比較大,而且需要非常有經驗。可以從這些方面來查看,以減少工作量:是否出現日記記錄斷裂(入侵者通常消除他們的痕跡,而且一般都是刪除整個日志或者刪除部分日志);是否有可疑的帳號登錄(使用帳號登錄是最直接的入侵手段);是否在不該出現的時間段內發生了不該有的事件,比如晚上12點大家下班后仍有管理員登錄。各種服務的日志記錄也是發現入侵手段的最有效途徑,比如IIS日志能夠詳細記錄下來一個入侵者掃描80端口的全過程,以及他能夠獲得的有用信息,對于開啟WEB服務的服務器來說,多數入侵都是通過這里進入的。這里需要提醒管理員的是,記錄日志的時候不光是進行審記,還應該作到一定程度上的跟蹤記錄。
請你相信,不管入侵者怎么掩蓋自己的行為,在系統中仍然能夠找到各種各樣的痕跡,讓你能夠發現是否被入侵過。比如大多數入侵者可能想盡辦法對付系統日志,但是卻往往“興奮”得忘記刪除一些他們臨時使用的文件。
不要以為上面的檢測內容非常復雜,如果每天都象上面這樣作一次檢查的話,也花不了多少時間。金山毒霸系統安全小組建議系統管理員至少每天都進行一定程度的安全檢查。慣例性地進行入侵檢查,在即使被入侵了的情況,這也能夠盡量使損失減到最小,并及時發現問題。
