Категории раздела |
|
Автомобильные гаджеты, ремонт...
[220]
|
Безопасность IT
[484]
|
Блоки питания, Power Banks, зарядки...
[490]
|
Видеорегистраторы
[220]
|
Гаджеты для спорта и здоровья...
[190]
|
Гаджеты, аксессуары...
[625]
|
Измерительная техника, инструменты
[449]
|
Накопители данных
[226]
|
Нетбуки, Ноутбуки, Ультрабуки
[680]
|
Мультиварки, блендеры и не только...
[158]
|
Планшеты
[758]
|
Радар-детекторы
[26]
|
Роботы-пылесосы
[37]
|
Своими руками
[357]
|
Сети, сетевые технологии, оборудование...
[269]
|
Смартфоны
[4966]
|
Фотокамеры, объективы, искусство фотографии..
[543]
|
Умный дом
[47]
|
Электронные книги
[96]
|
CB, LPD, PMR- связь...
[171]
|
DECT, IP-телефоны
[18]
|
Drones, boats, cars...
[108]
|
electric cars
[35]
|
GPS-навигаторы, трекеры...
[51]
|
Linux и не только
[4380]
|
mini computers и не только...
[409]
|
News IT, Это интересно, ликбез...
[1113]
|
Smart TV, UltraHD, приставки, проекторы...
[414]
|
Smart Watch
[263]
|
Sound: наушники, плееры, усилители...
[616]
|
Windows 10...
[298]
|
Windows 11
[28]
|
| |
|
|
| | |
| Главная » 2013 » Сентябрь » 11 » Как обнаружить хакерскую атаку
16:50 Как обнаружить хакерскую атаку |
Как обнаружить хакерскую атаку
Есть множество способов воспользоваться большинством уязвимостей.
Для хакерской атаки можно использовать один эксплойт, несколько
эксплойтов одновременно, неверные настройки программных компонентов или
даже программу-бэкдор, установленную в операционную систему в процессе
предыдущей атаки.
Из-за этого детектирование хакерской атаки становится не самой
простой задачей, особенно для неопытного пользователя. В этом разделе мы
постараемся сформулировать советы, способные помочь читателю
определить, подвергается ли его компьютер хакерской атаке или же защита
компьютера уже была взломана ранее. Помните, что, как и в случае
вирусов, никто не дает 100% гарантии, что вы сможете зафиксировать
хакерскую атаку подобными способами. Впрочем, если ваша система уже
взломана, то вы наверняка отметите некоторые из нижеприведенных
признаков.
Windows-компьютеры:
- Подозрительно высокий исходящий трафик. Если вы
пользуетесь дайлапом или ADSL-подключением и заметили необычно большое
количество исходящего сетевого трафика (в частности, проявляющегося,
когда ваш компьютер работает и подключен к интернету, но вы им не
пользуетесь), то ваш компьютер, возможно, был взломан. Такой компьютер
может использоваться для скрытой рассылки спама или для размножения
сетевых червей.
- Повышенная активность жестких дисков или
подозрительные файлы в корневых директориях. Многие хакеры после взлома
компьютера производят сканирование хранящейся на нем информации в
поисках интересных документов или файлов, содержащих логины и пароли к
банковским расчетным центрам или системам электронных платежей вроде
PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с
адресами email, которые впоследствии используются для рассылки
зараженных писем. Если вы заметили значительную активность жестких
дисков даже когда компьютер стоит без работы, а в общедоступных папках
стали появляться файлы с подозрительными названиями, это также может
быть признаком взлома компьютера или заражения его операционной системы
вредоносной программой.
- Большое количество пакетов с одного и того же
адреса, останавливаемые персональным межсетевым экраном. После
определения цели (например, диапазона IP-адресов какой-либо компании или
домашней сети) хакеры обычно запускают автоматические сканеры,
пытающиеся использовать набор различных эксплойтов для проникновения в
систему. Если вы запустите персональный межсетевой экран
(фундаментальный инструмент в защите от хакерских атак) и заметите
нехарактерно высокое количество остановленных пакетов с одного и того же
адреса, то это — признак того, что ваш компьютер атакуют. Впрочем, если
ваш межсетевой экран сообщает об остановке подобных пакетов, то
компьютер, скорее всего, в безопасности. Однако многое зависит от того,
какие запущенные сервисы открыты для доступа из интернета. Так,
например, персональный межсетевой экран может и не справиться с атакой,
направленной на работающий на вашем компьютере FTP-сервис. В данном
случае решением проблемы является временная полная блокировка опасных
пакетов до тех пор, пока не прекратятся попытки соединения. Большинство
персональных межсетевых экранов обладают подобной функцией.
- Постоянная антивирусная защита вашего компьютера
сообщает о присутствии на компьютере троянских программ или бэкдоров,
хотя в остальном все работает нормально. Хоть хакерские атаки могут быть
сложными и необычными, большинство взломщиков полагается на хорошо
известные троянские утилиты, позволяющие получить полный контроль над
зараженным компьютером. Если ваш антивирус сообщает о поимке подобных
вредоносных программ, то это может быть признаком того, что ваш
компьютер открыт для несанкционированного удаленного доступа.
UNIX-компьютеры:
- Файлы с подозрительными названиями в папке «/tmp».
Множество эксплойтов в мире UNIX полагается на создание временных файлов
в стандартной папке «/tmp», которые не всегда удаляются после взлома
системы. Это же справедливо для некоторых червей, заражающих
UNIX-системы; они рекомпилируют себя в папке «/tmp» и затем используют
ее в качестве «домашней».
- Модифицированные исполняемые файлы системных
сервисов вроде «login», «telnet», «ftp», «finger» или даже более сложных
типа «sshd», «ftpd» и других. После проникновения в систему хакер
обычно предпринимает попытку укорениться в ней, поместив бэкдор в один
из сервисов, доступных из интернета, или изменив стандартные системные
утилиты, используемые для подключения к другим компьютерам. Подобные
модифицированные исполняемые файлы обычно входят в состав rootkit и
скрыты от простого прямого изучения. В любом случае, полезно хранить
базу с контрольными суммами всех системных утилит и периодически,
отключившись от интернета, в режиме одного пользователя, проверять, не
изменились ли они.
- Модифицированные «/etc/passwd», «/etc/shadow» или
иные системные файлы в папке «/etc». Иногда результатом хакерской атаки
становится появление еще одного пользователя в файле «/etc/passwd»,
который может удаленно зайти в систему позже. Следите за всеми
изменениями файла с паролями, особенно за появлением пользователей с
подозрительными логинами.
- Появление подозрительных сервисов в
«/etc/services». Установка бэкдора в UNIX-системе зачастую
осуществляется путем добавления двух текстовых строк в файлы
«/etc/services» и «/etc/ined.conf». Следует постоянно следить за этими
файлами, чтобы не пропустить момент появления там новых строк,
устанавливающих бэкдор на ранее неиспользуемый или подозрительный порт.
http://www.securelist.com/ru/threats/vulnerabilities?chapter=146
|
Категория: Безопасность IT |
Просмотров: 896 |
Добавил: laptop
| Рейтинг: 0.0/0 |
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ]
| |
| | |
|
Волк слабее льва и тигра, но в цирке волк не выступает!
Волк - единственный из зверей, который может пойти в бой на более сильного противника.
Если же он проиграл бой, то до последнего вздоха смотрит в глаза противника. После этого умирает...
Внимание! |
|
Администратор сайта laptop.ucoz.ru не несет ответственности за содержание рекламных объявлений. Все используемые на сайте зарегистрированные товарные знаки принадлежат своим законным владельцам! Используемая со сторонних источников информация публикуется с обязательными ссылками на эти источники.
| |
|
|