攻撃者がシステムに侵入し、その主な目的が常に狙われている。たとえば、テクノロジの披露、企業の機密データの取得、企業の通常のビジネスプロセスの侵害など、攻撃後に攻撃者の攻撃行動が特定の目的から別の目的に変化することがあります。しかし、システムに侵入した後、いくつかの重要な機密データが発見され、そのため、攻撃者は最終的にその機密データを盗み出しました。攻撃者は、常に主な目的に駆り立てられてシステムに侵入します。たとえば、テクノロジの披露、企業の機密データの取得、企業の通常のビジネスプロセスの侵害など、攻撃後に攻撃者の攻撃行動が特定の目的から別の目的に変化することがあります。しかし、システムに侵入した後、いくつかの重要な機密データが発見され、そのため、攻撃者は最終的にその機密データを盗み出しました。
そして攻撃者のシステムへの侵入目的が異なり、使用する攻撃方法も異なり、その範囲と損失は同じではありません。したがって、異なるシステム侵入イベントを処理するときには、正しい薬を処方する必要があり、異なる種類のシステム侵入を異なる処理方法で解決する必要があるため、目標とする治療を達成し、最高の治療効果を得ることができます。
技術を表示することを目的としたシステム侵入回復
攻撃者の中には、優れたネットワーク技術を同僚や他の人に見せびらかすために、またはその1つを試して見るためにシステムに侵入したものがあります。システムの脆弱性によって引き起こされるシステム侵入活動。そのようなシステム侵入イベントの場合、攻撃者は通常、侵入先のシステムに何らかの証拠を残してシステムへの侵入に成功したことを証明し、攻撃のような侵入結果をインターネット上のフォーラムに公開することもあります。侵入者はWEBサーバです。彼らはシステムに侵入したことを示すためにこのWebサイトのホームページ情報を変更するか、侵入されたシステムを自分のブロイラーにするためにバックドアを設置してそれを公に販売します。あるいは、いくつかのフォーラムで公開され、彼らがシステムに侵入したことを発表しました。つまり、システムへの侵入を制御したりサービス内容を変更したりするために、このタイプのシステムへの侵入をシステムへの侵入に細分化することができます。
サービスの内容を変更することを目的としたシステムへの侵入行為の場合、システムの復旧はダウンタイムなしで完了できます。
1.使用すべき処理方法
(1)侵害されたシステムの現在の完全なシステムのスナップショットを作成するか、後の分析と証拠のために変更部分のスナップショットのみを保存します。
(2)、変更したWebページを直ちにバックアップして復元します。
(3)Windowsの場合、ネットワーク監視ソフトウェアまたは「netstat -an」コマンドを使用して、システムの現在のネットワーク接続を確認し、異常なネットワーク接続が見つかった場合は、ただちに切断してください。接続しました。次に、システムプロセス、サービスと分析システム、およびサービスログファイルを調べて、対応する回復を実行するためにシステム攻撃者がシステム内で何をしたかを確認します。
(4)、システムログファイルの分析を通じて、またはシステムに侵入するために攻撃者によって悪用された脆弱性を理解するための脆弱性検出ツールを通じて。攻撃者がシステムまたはネットワークアプリケーションの脆弱性を悪用してシステムを侵害した場合、それを修正するために対応するシステムまたはアプリケーションの脆弱性パッチを探す必要があります。これらの脆弱性を再び悪用する侵入を一時的に防ぐ手段です。攻撃者がシステムに侵入するためにソーシャルエンジニアリングなどの他の方法を使用し、検査システムに新しい脆弱性がない場合、このステップを実行する必要はありませんが、ソーシャルエンジニアリング攻撃の実装の目的を理解し、訓練する必要があります。
(5):システムやアプリケーションの脆弱性を修復した後、そのようなイベントが二度と起こらないように対応するファイアウォールルールを追加する必要がありますIDS /IPSとアンチウイルスソフトウェアがインストールされている場合、それらもアップグレードする必要があります。図書館
(6)最後に、システムまたは対応するアプリケーション検出ソフトウェアを使用して、システムまたはサービスに対して完全な脆弱性検出を実行し、テストの前に検出シグネチャデータベースが最新のものであることを確認します。すべての作業が完了したら、システムがリアルタイムでシステムを監視して、そのような侵入によってシステムが再び攻撃されないようにする必要があります。
攻撃者がシステムを攻撃してブロイラーとしてシステムを制御する場合、システムを長時間制御できるようにするために、システムに対応するバックドアプログラムをインストールします。同時に、システムのユーザーまたは管理者によって発見されるのを防ぐために、攻撃者はシステム内の自分の操作の痕跡を隠し、インストールしたバックドアを隠そうとします。
したがって、システムが攻撃者によって制御されているかどうかは、システムのプロセス、ネットワーク接続の状態、およびポートの使用状況を確認することによってのみ知ることができます。侵入回復を実行するには、次の手順を実行します。
<1>(1)、侵害されているシステムの特定の時間、現在の影響の範囲と重大度を直ちに分析し、侵害されたシステムのスナップショットを作成します。死後分析と証拠の保持
(2)ネットワーク接続監視ソフトウェアまたはポート監視ソフトウェアを使用して、システムで現在確立されているネットワーク接続とポートの使用状況を検出します。このIPまたはポートに対する無効化ルールをファイアウォールに追加します。
(3)、Windowsタスクマネージャを介して、不正なプロセスまたはサービスが実行されているかどうかを確認し、見つかったすべての不正なプロセスを直ちに終了します。ただし、Windowsのタスクマネージャには表示されないような特殊なバックドアプロセスがいくつかありますこの時点で、Iceswordなどのツールソフトウェアを使用してこれらの隠されたプロセス、サービス、およびロードされたカーネルモジュールを見つけます。すべてのタスクを終了してください。
しかし、こういった方法でバックドアのプロセスを終了できない場合があります。その場合は、ビジネスを中断してセーフモードに移行することしかできません。セーフモードでこれらのバックドアプロセスの実行を終了できない場合は、サービスデータを復元した後でサービスデータを一定期間に復元してからサービスデータを復元することしかできません。
業務が中断されることがありますので、業務の中断による影響や損失を少なくするため、処理速度はできるだけ速くする必要があります。 「コントロールパネル」 - 「管理ツール」の「サービス」を開き、見つかったすべての不正なサービスを無効にすることで、システムサービスに不正に登録されたバックドアサービスを確認することもできます。
(4)、バックドアのプロセスとサービスを探すときは、見つかったすべてのプロセスとサービス名を記録してから、システムレジストリとシステムパーティションでこれらのファイルを検索すると、関連するバックドアが見つかります。すべてのデータが削除されます。また、スタートメニュー - すべてのプログラム - スタートアップメニュー項目のすべての内容を削除する必要があります。
(5)システムログを分析して、攻撃者がどのようにシステムに侵入し、どのような操作を行ったのかを把握しています。その後、システム内の攻撃者によるすべての変更が修正されますシステムまたはアプリケーションの脆弱性を悪用してシステムに侵入した場合は、対応する脆弱性パッチを見つけて脆弱性を修正してください。
この脆弱性に関連するパッチがない場合は、ファイアウォールなどの他のセキュリティ方法を使用して特定のIPアドレスのネットワーク接続をブロックし、これらの脆弱性による侵入攻撃を一時的に防止してください。この脆弱性の最新の状態に注意してください。関連するパッチがリリースされた直後に修正する必要があります。システムとアプリケーションにパッチを適用すると、適切なソフトウェアを使用してそれらを自動化できます。 (6)システム修復作業が完了した後、脆弱性検出ツールを使用してシステムおよびアプリケーションに対して包括的な脆弱性検出を実行し、既存のシステムまたはアプリケーションの脆弱性が発生しないことを確実にする。また、手動による方法で、新しいユーザーアカウントがシステムに追加され、対応するインストール設定がファイアウォールのフィルタリングルール、IDS /IPS検出感度の変更、攻撃者による無効化など、攻撃によって変更されたかどうかを確認します。サービスおよびセキュリティソフトウェア
2.侵入回復の結果をさらに保証するKz6チャイナレッドゲストアライアンス - 世界最大のレッドゲスト組織
(1)、システム管理者または他のユーザーアカウント名とログインパスワードを変更してください。
(2)、データベースおよびその他のアプリケーション管理者とユーザーアカウント名およびログインパスワードを変更します。
(3)、ファイアウォールの規則を確認します; Kz6中国レッドゲストアライアンス - 世界最大Red Guest Organization
(4)アンチウイルスソフトウェアとIDS /IPSがシステムにインストールされている場合は、それらのウイルスデータベースと攻撃シグネチャデータベースをそれぞれ更新します。
(5)、ユーザー権限のリセット;
(6)、ファイルのアクセス制御規則をリセットする、
(7)、データベースのアクセス制御規則をリセットする、
(8)、システムを変更するネットワーク操作に関連するすべてのアカウントの名前とログインパスワード。
上記のシステム回復とパッチ適用のタスクがすべて完了したら、システムとサービスのフルバックアップを実行し、新しいフルバックアップを古いフルバックアップとは別に保存できます。
CPUを解決するために、障害が記述をサポートしていないことを示唆し、仮想化をインストールし 分析: 誤動作の原因はVTのCPUの機能をBIOSでオンされていないがで解決につながる: はその後、コンピ
IIS Webサイトのアクセスログを表示すると、IISのログに記録されている時間が正しくありません午後4時、午後8時が表示されています。解決策:これは非常に単純です。IISロギングの時間を、Webサイ
セキュリティドッグサービスクラウドはサーバーセキュリティ管理クラウドプラットフォームで、非常に便利な機能を備えています。サービスクラウド警報センターは、ユーザが「警報設定」によって警報タイプレベルをリ
の始めにドメイン名にリダイレクトしますブラウザにsina.com.cn(Sina homepage)を入力したときに、一般的に理解されているように、リソースの恒久的なリダイレクトについて説明します。
win10にCAJviewerドキュメントリーダーをインストールするにはどうすればいいですか?CAJviewerのゴーストとは何ですか?
その名の通りの資格情報の保護
資格情報の保護で、Windows 10
Windows10資格情報の保護機能の導入と
Windows 7システムのデスクトップファイルパスを変更する方法
Windows 8が3Gネットワークカードを使用できないという問題を解決する方法
Win7のスタートメニューがタスクバーによってブロックされている場合はどうすればよいですか?
Win8.1はWebページ閲覧時にWubi入力メソッドを使用できません
あなたは単にWin7システムのIPアドレスを表示するように教える