Cum de a detecta un atac hacker?
Există multe modalități de a profita de majoritatea vulnerabilităților. Pentru un atac de hacker poate folosi unul exploata, mai multe exploateaza în același timp, configurația greșită a componentelor software sau backdoor program instalat în sistemul de operare în timpul atacului precedent.
Din acest motiv, detectarea unui atac hacker nu este cea mai ușoară sarcină, mai ales pentru un utilizator neexperimentat. În această secțiune, vom încerca să formăm sfaturi care pot ajuta cititorul să determine dacă computerul său este supus unui atac hacker sau dacă protecția calculatorului a fost deja hacked mai devreme. Amintiți-vă că, ca și în cazul virușilor, nimeni nu dă 100% garanție că veți putea remedia un atac hacker în astfel de moduri. Cu toate acestea, dacă sistemul dvs. este deja hacked, atunci probabil veți observa unele dintre următoarele simptome.
Fișiere cu nume suspecte în dosarul "/ tmp". O mulțime de exploatări în lumea UNIX se bazează pe crearea fișierelor temporare în folderul standard "/ tmp", care nu sunt întotdeauna șterse după compromiterea sistemului. Același lucru este valabil și pentru unii viermi care infectează sistemele UNIX; se recompila în folderul "/ tmp" și apoi îl folosesc ca "acasă".
Modificate fișiere executabile de servicii de sistem, cum ar fi «autentificare», «telnet», «ftp», «degetul», sau chiar mai complexe de tip «sshd», «ftpd» și altele. După pătrunderea în sistemul de hacker încearcă de obicei să prindă rădăcini în ea, pune un backdoor într-unul dintre serviciile disponibile de pe Internet, sau prin modificarea sistemului de utilități standard folosite pentru conectarea la alte calculatoare. Astfel de fișiere executabile modificate sunt de obicei parte din rootkit și sunt ascunse de învățarea directă simplă. În orice caz, este util la baza de date magazin cu checksum de toate instrumentele de sistem și deconectat periodic de pe Internet, în modul single-utilizator, verificați pentru a vedea dacă acestea s-au schimbat.
Modificate "/ etc / passwd", "/ etc / shadow" sau alte fișiere de sistem din dosarul "/ etc". Uneori, rezultatul unui atac hacker este apariția unui alt utilizator din fișierul "/ etc / passwd", care se poate conecta la distanță mai târziu. Urmăriți toate modificările aduse fișierului de parolă, mai ales când apar utilizatori cu logare suspecte.
Apariția serviciilor suspecte în "/ etc / services". Configurarea unui backdoor pe un sistem UNIX este adesea realizată prin adăugarea a două șiruri de text la fișierele "/ etc / services" și "/etc/ined.conf". Ar trebui să păstrați un ochi pentru aceste fișiere, astfel încât să nu pierdeți la apariția de noi linii care a setat backdoor pe un port anterior neutilizate sau suspecte.