您已经遵循了这里(或其他地方)的一些建议,并且检测到了入侵? 首先要做的是保持冷静。 仓促的行动可能会比攻击者造成的危害更大。
发现正在发生的安全漏洞可能是一项紧张的任务。 您的反应可能会产生重大后果。
如果您看到的漏洞是物理性的,那么很可能您已经发现有人闯入了您的家、办公室或实验室。 您应该通知当地 authorities。 在实验室中,您可能已经发现有人试图打开机箱或重启机器。 根据您的权限和程序,您可以要求他们停止,或联系您当地的安保人员。
如果您检测到本地用户试图危害您的安全,首先要做的是确认他们确实是您认为的那个人。 检查他们登录的站点。 是他们通常登录的站点吗? 不是吗? 那么使用非电子方式联系他们。 例如,给他们打电话或走到他们的办公室/房子与他们交谈。 如果他们承认是他们,您可以要求他们解释他们在做什么或告诉他们停止这样做。 如果不是他们,并且不知道您在说什么,那么很可能此事件需要进一步调查。 调查此类事件,并在提出任何指控之前掌握大量信息。
如果您检测到网络入侵,首先要做的是(如果您能够)断开您的网络连接。 如果他们通过调制解调器连接,请拔下调制解调器电缆; 如果他们通过以太网连接,请拔下以太网电缆。 这将阻止他们造成任何进一步的损害,他们可能会将其视为网络问题而不是检测。
如果您无法断开网络连接(如果您有一个繁忙的站点,或者您无法物理控制您的机器),那么下一步最好的措施是使用类似tcp_wrappers或ipfwadm来拒绝来自入侵者站点的访问。
如果您无法拒绝来自与入侵者同一站点的所有人,则必须锁定用户的帐户。 请注意,锁定帐户并非易事。 您必须记住.rhosts文件、FTP 访问以及大量可能的后门。
在您完成上述操作之一(断开网络连接、拒绝来自其站点的访问和/或禁用其帐户)之后,您需要杀死他们所有的用户进程并注销他们。
在接下来的几分钟内,您应该密切监控您的站点,因为攻击者会尝试重新进入。 也许使用不同的帐户和/或来自不同的网络地址。
因此,您要么检测到已经发生的漏洞,要么检测到它并(希望)将冒犯的攻击者锁定在您的系统之外。 现在怎么办?
如果您能够确定攻击者用来进入您系统的方式,您应该尝试堵塞该漏洞。 例如,您可能在用户登录之前看到几个 FTP 条目。 禁用 FTP 服务,并检查是否有更新的版本,或者任何列表是否知道修复程序。
检查所有日志文件,并访问您的安全列表和页面,查看是否有任何新的常见漏洞可以修复。 您可以在 http://www.caldera.com/tech-ref/security/ 找到 Caldera 安全修复程序。 Red Hat 尚未将其安全修复程序与错误修复程序分开,但他们的发行版勘误表可在 https://#/errata 获得
Debian 现在有一个安全邮件列表和网页。 请参阅:http://www.debian.org/security/ 以获取更多信息。
如果一家供应商发布了安全更新,那么大多数其他 Linux 供应商也很可能会发布。
现在有一个 Linux 安全审计项目。 他们正在系统地检查所有用户空间实用程序,并寻找可能的安全漏洞和溢出。 来自他们的公告
““我们正在尝试对 Linux 源代码进行系统审计,目的是像 OpenBSD 一样安全。 我们已经发现(并修复)了一些问题,但欢迎更多帮助。 该列表是未审核的,也是一般安全讨论的有用资源。 列表地址是:security-audit@ferret.lmh.ox.ac.uk 要订阅,请发送邮件至:security-audit-subscribe@ferret.lmh.ox.ac.uk””
如果您不将攻击者拒之门外,他们很可能会回来。 不仅回到您的机器上,还会回到您网络中的某个地方。 如果他们正在运行数据包嗅探器,很可能他们可以访问其他本地机器。
首先是评估损失。 哪些东西被破坏了? 如果您正在运行像Tripwire这样的完整性检查器,您可以使用它来执行完整性检查; 它应该有助于告诉您哪些东西被破坏了。 如果没有,您将不得不查看所有重要数据。
由于 Linux 系统越来越容易安装,您可以考虑保存您的配置文件,擦除您的磁盘,重新安装,然后从备份中恢复您的用户文件和配置文件。 这将确保您拥有一个全新的、干净的系统。 如果您必须从受损系统中恢复文件,请特别小心您恢复的任何二进制文件,因为它们可能是入侵者放置在那里的特洛伊木马。
一旦入侵者获得 root 访问权限,就应考虑强制重新安装。 此外,您还想保留任何存在的证据,因此在保险箱中放一块备用磁盘可能是有意义的。
然后您必须担心漏洞发生的时间有多久,以及备份是否包含任何损坏的工作。 稍后会详细介绍备份。
定期备份对于安全问题来说是天赐之物。 如果您的系统被破坏,您可以从备份中恢复您需要的数据。 当然,有些数据对攻击者也很重要,他们不仅会破坏它,还会窃取它并拥有自己的副本; 但至少您仍然拥有数据。
在恢复已被篡改的文件之前,您应该检查几个过去的备份。 入侵者可能很久以前就破坏了您的文件,并且您可能已经成功备份了许多次受损文件!
当然,备份也存在一系列安全问题。 确保您将它们存储在安全的地方。 了解谁有权访问它们。 (如果攻击者可以获取您的备份,他们就可以访问您的所有数据而您永远不会知道。)
好的,您已经将入侵者拒之门外,并恢复了您的系统,但您还没有完全完成。 虽然大多数入侵者不太可能被抓住,但您应该报告这次攻击。
您应该向攻击者攻击您的系统所在的站点的管理员联系人报告这次攻击。 您可以使用whois或 Internic 数据库查找此联系人。 您可以向他们发送一封电子邮件,其中包含所有适用的日志条目以及日期和时间。 如果您发现了关于入侵者的任何其他独特之处,您也可以提及。 发送电子邮件后,您应该(如果您愿意)跟进一个电话。 如果该管理员反过来发现了您的攻击者,他们或许能够与他们来源站点的管理员交谈,依此类推。
优秀的黑客通常使用许多中间系统,其中一些(或许多)甚至可能不知道自己已被入侵。 尝试将黑客追踪到他们的家庭系统可能很困难。 对您交谈的管理员保持礼貌,对于获得他们的帮助大有帮助。
您还应该通知您所属的任何安全组织(CERT 或类似组织),以及您的 Linux 系统供应商。