國(guó)內(nèi)某網(wǎng)絡(luò)游戲公司服務(wù)器被黑客入侵，并有玩家?guī)ぬ?hào)等資料外泄，黑客事件被鬧得沸沸揚(yáng)揚(yáng)。安全維護(hù)、入侵檢測(cè)及相應(yīng)的應(yīng)急處理也將受到重視。目前國(guó)內(nèi)網(wǎng)絡(luò)存在嚴(yán)重安全問(wèn)題，而造成這些問(wèn)題的根本原因多在于企業(yè)、單位、組織對(duì)安全問(wèn)題的認(rèn)識(shí)程度和管理員的技術(shù)水平。
金山毒霸安全小組從目前國(guó)內(nèi)的黑客事件統(tǒng)計(jì)并作嚴(yán)密分析后發(fā)現(xiàn)，絕大多數(shù)的入侵者只是使用一些常見的漏洞掃描工具然后配合入侵工具而進(jìn)行的，這些工具都可以從網(wǎng)絡(luò)上任意下載。從入侵技術(shù)上看，根本無(wú)高深技術(shù)可言，這些工具也多是利用已公布的常見漏洞，比如IIS的幾大遠(yuǎn)程緩沖區(qū)溢出獲取任意程序執(zhí)行權(quán)限，通過(guò)UNICODE這樣的編碼解析漏洞直接從瀏覽器上執(zhí)行程序等，而且這些漏洞也都出現(xiàn)很長(zhǎng)時(shí)間，如果安全維護(hù)得力就可以根本不在乎這些“工具黑客”（Script Guy）了。
首先，對(duì)系統(tǒng)進(jìn)行安全配置是必須做到的，因?yàn)椴僮飨到y(tǒng)和應(yīng)用軟件通常并不保證足夠的安全性，這也是對(duì)網(wǎng)絡(luò)管理員的基本要求。但是同系統(tǒng)安全配置一樣，如何進(jìn)行入侵檢測(cè)，以及如何進(jìn)行“有效的”應(yīng)急處理，絕大多數(shù)網(wǎng)絡(luò)管理員并沒(méi)有這樣的經(jīng)驗(yàn)和能力，因此這也將成為擺在管理者面前的一大問(wèn)題。
金山毒霸安全小組從對(duì)入侵事件的分析發(fā)現(xiàn)，通常的“黑客”入侵手段和過(guò)程，一般包括下面這些步驟：
??1、黑客們首先確定目標(biāo)并且收集相關(guān)信息（包括郵件地址、相關(guān)IP地址、漏洞等等），他們將使用各種漏洞掃描器進(jìn)行操作；
??2、根據(jù)得到的信息可能進(jìn)行滲透，也就是“入侵”，總的說(shuō)來(lái)入侵者就是要盡可能獲得足夠的權(quán)限，而從多數(shù)入侵事件分析看出，“工具黑客”僅僅對(duì)常見的而且操作簡(jiǎn)單的漏洞感興趣；
??3、接著就做他們?cè)敢庾龅氖虑椋@得機(jī)密、進(jìn)行破壞等等；
??4、“盡可能”地清除自己留下的痕跡，包括修改、刪除系統(tǒng)日志等；
??5、最后按照他們的期望（是否再來(lái)），安裝后門（木馬、添加帳號(hào)等等）方便以后進(jìn)入，有更深度入侵打算的入侵者，還會(huì)安裝網(wǎng)絡(luò)嗅探器，以便捕獲到更多可用的帳號(hào)密碼等。
??從入侵統(tǒng)計(jì)上看，現(xiàn)在多數(shù)的入侵者并沒(méi)有專一的入侵目標(biāo)，在收集信息階段，基本是按照一個(gè)網(wǎng)段一個(gè)網(wǎng)段進(jìn)行的大范圍掃描，如果發(fā)現(xiàn)有漏洞的主機(jī)即開始實(shí)施后面的步驟。
對(duì)于重視度不夠的企業(yè)和組織，和那些沒(méi)有足夠技術(shù)以及經(jīng)驗(yàn)的系統(tǒng)管理員來(lái)說(shuō)，所有的這些入侵事件都會(huì)顯得靜悄悄。也由于這些入侵事件的不確定性，因此在日常管理和維護(hù)中就應(yīng)該時(shí)刻注意入侵問(wèn)題，及時(shí)發(fā)現(xiàn)可疑事件，一個(gè)疏忽就可能帶來(lái)不可估量的損失。這里需要提醒廣大的管理員的是，不要過(guò)于信賴你們的高價(jià)防火墻或者入侵檢測(cè)系統(tǒng)，能夠繞過(guò)這些機(jī)械的程序的方法簡(jiǎn)直太多了。因此也要求管理員需要保持高度的警覺(jué)，入侵者是不會(huì)主動(dòng)告訴你“狼來(lái)了”的。除了通常的安全配置之外，有兩點(diǎn)是管理員還需要做到的：詳細(xì)的事件記錄和例行的系統(tǒng)維護(hù)，這將讓我們能夠及時(shí)地發(fā)現(xiàn)入侵并找到足夠的線索。
如何發(fā)現(xiàn)是否被入侵呢？那些昂貴的入侵檢測(cè)系統(tǒng)設(shè)備，讓很多公司和組織卻步。沒(méi)有入侵檢測(cè)系統(tǒng)，雖然不能即時(shí)性地發(fā)現(xiàn)可能發(fā)生的入侵事件，但是也同樣可以做好檢測(cè)工作。金山毒霸系統(tǒng)安全小組根據(jù)黑客采用的慣用手段分析，例行的檢查可以從這些方面進(jìn)行，以WINDOWS 2000系統(tǒng)為例，而其他操作系統(tǒng)或者設(shè)備的安全檢查分析基本類似：
??1、首先要查看的就是系統(tǒng)正在使用的端口列表。在命令行中輸入：netstat –a 看看自己打開了些什么端口，是否有可疑的地方，你最好能夠有一個(gè)類似fport這樣的端口查看工具，能夠同時(shí)查看使用端口的進(jìn)程，大多數(shù)木馬或者后門都會(huì)打開一個(gè)自己的端口單獨(dú)使用，因此從端口上查看能夠發(fā)現(xiàn)一些木馬后門的蹤跡。但是，這并不能對(duì)付所有的木馬，而且一些打開系統(tǒng)后門的方法也不能這樣來(lái)檢查。正如那個(gè)網(wǎng)絡(luò)游戲公司一樣，服務(wù)器也被安裝了后門一樣。安裝后門通常是入侵者的必做工作，同時(shí)后門也是入侵者宣告下次還要來(lái)的最明顯的標(biāo)志，也給捕獲他們提供很多的途徑。
??2、打開任務(wù)管理器，查看進(jìn)程列表，及時(shí)發(fā)現(xiàn)可疑進(jìn)程，這是一個(gè)經(jīng)驗(yàn)的較量，不要被一些kernel，internet這樣的進(jìn)程所迷惑，入侵者命名的進(jìn)程往往很接近系統(tǒng)的進(jìn)程名。一些入侵者使用可隱藏的進(jìn)程，也可能通過(guò)系統(tǒng)進(jìn)程來(lái)達(dá)到目的。
3、打開計(jì)算機(jī)管理，查看用戶和用戶組管理，是否有可疑用戶出現(xiàn)，是否在各個(gè)用戶組里面存在不該有的帳號(hào)，特別是administrators這樣的管理員組，按照一些黑客教程的慣用手法，通常把Guest、TsInternetUser 這樣的系統(tǒng)提供的帳戶，同時(shí)也是不被注意的帳戶，添加到管理員組里面去。查看共享文件夾，是否出現(xiàn)不該有的共享，正常的配置情況下應(yīng)該取消所有的共享，但是黑客們?yōu)榱藗魉臀募鹊鹊姆奖悖瑫?huì)再次打開一些共享，當(dāng)然，大多數(shù)被入侵者打開的共享往往被他們忘記關(guān)閉了。順便再看看會(huì)話，說(shuō)不定入侵者也正好在呢。還需要查看的是，服務(wù)，因?yàn)榘殉绦騿?dòng)成為服務(wù)能夠給入侵者相當(dāng)多的好處，國(guó)內(nèi)“黑客愛(ài)好者”使用最廣泛的是小榕的“RemoteNC”這樣的后門，它就會(huì)在系統(tǒng)中啟動(dòng)一個(gè)自己的服務(wù)，當(dāng)然，這個(gè)啟動(dòng)的服務(wù)名稱一定具有相當(dāng)?shù)钠垓_性。
??4、對(duì)照文件列表。你需要一個(gè)類似Regsnap這樣類似的工具，通常一些后門都是被安裝到系統(tǒng)目錄下的，而且“黑客”們也喜歡將自己的文件放置在系統(tǒng)目錄里面，因?yàn)槟抢飳?shí)在是很少人去檢查，也更方便執(zhí)行。比較你的備份文件列表和當(dāng)前文件列表有什么不同，不要以為一些新增加的類似系統(tǒng)文件名的程序。通常這是最直接的檢測(cè)方式，如果入侵者安裝后門等等，肯定需要放置他們的程序，或者需要清除他們的腳印，“工具黑客”往往也會(huì)再上傳一個(gè)工具用來(lái)完成這項(xiàng)任務(wù)，但是他們往往忘記刪除它。
??5、查看各種系統(tǒng)日志。除了系統(tǒng)的日志以外，還需要查看的是你所開服務(wù)的日志，比如FTP、IIS等等的日志。這個(gè)工作量比較大，而且需要非常有經(jīng)驗(yàn)。可以從這些方面來(lái)查看，以減少工作量：是否出現(xiàn)日記記錄斷裂（入侵者通常消除他們的痕跡，而且一般都是刪除整個(gè)日志或者刪除部分日志）；是否有可疑的帳號(hào)登錄（使用帳號(hào)登錄是最直接的入侵手段）；是否在不該出現(xiàn)的時(shí)間段內(nèi)發(fā)生了不該有的事件，比如晚上12點(diǎn)大家下班后仍有管理員登錄。各種服務(wù)的日志記錄也是發(fā)現(xiàn)入侵手段的最有效途徑，比如IIS日志能夠詳細(xì)記錄下來(lái)一個(gè)入侵者掃描80端口的全過(guò)程，以及他能夠獲得的有用信息，對(duì)于開啟WEB服務(wù)的服務(wù)器來(lái)說(shuō)，多數(shù)入侵都是通過(guò)這里進(jìn)入的。這里需要提醒管理員的是，記錄日志的時(shí)候不光是進(jìn)行審記，還應(yīng)該作到一定程度上的跟蹤記錄。
請(qǐng)你相信，不管入侵者怎么掩蓋自己的行為，在系統(tǒng)中仍然能夠找到各種各樣的痕跡，讓你能夠發(fā)現(xiàn)是否被入侵過(guò)。比如大多數(shù)入侵者可能想盡辦法對(duì)付系統(tǒng)日志，但是卻往往“興奮”得忘記刪除一些他們臨時(shí)使用的文件。
不要以為上面的檢測(cè)內(nèi)容非常復(fù)雜，如果每天都象上面這樣作一次檢查的話，也花不了多少時(shí)間。金山毒霸系統(tǒng)安全小組建議系統(tǒng)管理員至少每天都進(jìn)行一定程度的安全檢查。慣例性地進(jìn)行入侵檢查，在即使被入侵了的情況，這也能夠盡量使損失減到最小，并及時(shí)發(fā)現(xiàn)問(wèn)題。