Cum se detectează un atac hacker
<<назад
Există multe modalități de a profita de majoritatea vulnerabilităților. Pentru un atac hacker, puteți utiliza un exploit, mai multe exploatații în același timp, setări incorecte pentru componentele software sau chiar un program backdoor instalat în sistemul de operare în timpul atacului anterior.
Din acest motiv, detectarea unui atac hacker nu este cea mai ușoară sarcină, mai ales pentru un utilizator neexperimentat. În această secțiune, vom încerca să formăm sfaturi care pot ajuta cititorul să determine dacă computerul său este supus unui atac hacker sau dacă protecția calculatorului a fost deja hacked mai devreme. Amintiți-vă că, la fel ca în cazul virușilor, nimeni nu dă 100% garanție că veți putea remedia un atac hacker în astfel de moduri. Cu toate acestea, dacă sistemul dvs. este deja hacked, atunci probabil veți observa unele dintre următoarele simptome.
Trafic susceptibil de mare de ieșire. Dacă utilizați un dial-up sau ADSL-conexiune și observați un volum neobișnuit de mare de trafic de rețea care își încetează activitatea (în special, se produce atunci când computerul este pornit și conectat la Internet, dar nu îl utilizați), computerul poate să fi fost piratat. Un astfel de calculator poate fi folosit pentru spam-uri ascunse sau pentru propagarea viermilor de rețea.
Protecția anti-virus permanentă a computerului dvs. raportează prezența troienilor sau a spatelor pe computer, deși altfel totul funcționează bine. Deși atacurile hackerilor pot fi complexe și neobișnuite, cele mai multe crackere se bazează pe bine-cunoscute utilitare Troian care vă permit să obțineți control complet asupra unui calculator infectat. În cazul în care rapoartele antivirus că un astfel de program malware a fost prins, acest lucru poate fi un semn că computerul dvs. este deschis la accesul neautorizat de la distanță.
Fișiere cu nume suspecte în dosarul "/ tmp". O mulțime de exploatări în lumea UNIX se bazează pe crearea fișierelor temporare în folderul standard "/ tmp", care nu sunt întotdeauna șterse după compromiterea sistemului. Același lucru este valabil și pentru unii viermi care infectează sistemele UNIX; se recompila în folderul "/ tmp" și apoi îl folosesc ca "acasă".
Modificate fișiere executabile de servicii de sistem, cum ar fi «autentificare», «telnet», «ftp», «degetul», sau chiar mai complexe de tip «sshd», «ftpd» și altele. După pătrunderea în sistemul de hacker încearcă de obicei să prindă rădăcini în ea, pune un backdoor într-unul dintre serviciile disponibile de pe Internet, sau prin modificarea sistemului de utilități standard folosite pentru conectarea la alte calculatoare. Astfel de fișiere executabile modificate sunt de obicei parte din rootkit și sunt ascunse de învățarea directă simplă. În orice caz, este util la baza de date magazin cu checksum de toate instrumentele de sistem și deconectat periodic de pe Internet, în modul single-utilizator, verificați pentru a vedea dacă acestea s-au schimbat.
Modificate "/ etc / passwd", "/ etc / shadow" sau alte fișiere de sistem din dosarul "/ etc". Uneori, rezultatul unui atac hacker este apariția unui alt utilizator din fișierul "/ etc / passwd", care se poate conecta la distanță de mai târziu. Urmăriți toate modificările aduse fișierului de parolă, mai ales când apar utilizatori cu logare suspecte.
Apariția serviciilor suspecte în "/ etc / services". Configurarea unui backdoor pe un sistem UNIX este adesea realizată prin adăugarea a două șiruri de text la fișierele "/ etc / services" și "/etc/ined.conf". Ar trebui să păstrați un ochi pentru aceste fișiere, astfel încât să nu pierdeți la apariția de noi linii care a setat backdoor pe un port anterior neutilizate sau suspecte.