3種類の侵入サーバーのトリックと緊急の対処法を説明しよう

攻撃者がシステムに侵入し、その主な目的が常に狙われている。たとえば、テクノロジの披露、企業の機密データの取得、企業の通常のビジネスプロセスの侵害など、攻撃後に攻撃者の攻撃行動が特定の目的から別の目的に変化することがあります。しかし、システムに侵入した後、いくつかの重要な機密データが発見され、そのため、攻撃者は最終的にその機密データを盗み出しました。

そして攻撃者のシステムへの侵入目的が異なり、使用する攻撃方法も異なり、その範囲と損失は同じではありません。したがって、異なるシステム侵入イベントを処理するときには、正しい薬を処方する必要があり、異なる種類のシステム侵入を異なる処理方法で解決する必要があるため、目標とする治療を達成し、最高の治療効果を得ることができます。

I.技術を披露することを目的としたシステム侵入回復

巧妙なネットワーク技術を仲間や他の人に披露することを目的として、または実験を目的としてシステムに侵入する攻撃者がいます。システムの脆弱性によって引き起こされるシステム侵入活動。そのようなシステム侵入イベントの場合、攻撃者は通常、侵入先のシステムに何らかの証拠を残してシステムへの侵入に成功したことを証明し、攻撃のような侵入結果をインターネット上のフォーラムに公開することもあります。侵入者はWEBサーバです。彼らはシステムに侵入したことを示すためにこのWebサイトのホームページ情報を変更するか、侵入されたシステムを自分のブロイラーにするためにバックドアを設置してそれを公に販売します。あるいは、いくつかのフォーラムで公開され、彼らがシステムに侵入したことを発表しました。つまり、システムへの侵入を制御したりサービス内容を変更したりするために、このタイプのシステムへの侵入をシステムへの侵入に細分化することができます。

サービスの内容を変更することを目的としたシステムへの侵入行為の場合、システムの復旧はダウンタイムなしで完了できます。

1.使用すべき処理方法

（1）侵害されたシステムの現在の完全なシステムのスナップショットを作成するか、後の分析と証拠のために変更部分のスナップショットのみを保存します。

（2）、変更したWebページを直ちにバックアップして復元します。

（3）Windowsの場合、ネットワーク監視ソフトウェアまたは「netstat -an」コマンドを使用して、システムの現在のネットワーク接続を確認し、異常なネットワーク接続が見つかった場合は、ただちに切断してください。接続しました。次に、システムプロセス、サービスと分析システム、およびサービスログファイルを調べて、対応する回復を実行するためにシステム攻撃者がシステム内で何をしたかを確認します。

（4）、システムログファイルの分析を通じて、またはシステムに侵入するために攻撃者によって悪用された脆弱性を理解するための脆弱性検出ツールを通じて。攻撃者がシステムまたはネットワークアプリケーションの脆弱性を悪用してシステムを侵害した場合、それを修正するために対応するシステムまたはアプリケーションの脆弱性パッチを探す必要があります。これらの脆弱性を再び悪用する侵入を一時的に防止するための手段。攻撃者がシステムに侵入するためにソーシャルエンジニアリングなどの他の方法を使用し、検査システムに新しい脆弱性がない場合、このステップを実行する必要はありませんが、ソーシャルエンジニアリング攻撃の実装の目的を理解し、訓練する必要があります。

（5）：システムやアプリケーションの脆弱性を修復した後、そのようなイベントが二度と起こらないように対応するファイアウォールルールを追加する必要がありますIDS /IPSとアンチウイルスソフトウェアがインストールされている場合、それらもアップグレードする必要があります。図書館

（6）最後に、システムまたは対応するアプリケーション検出ソフトウェアを使用して、システムまたはサービスに対して完全な脆弱性検出を実行し、テストの前に検出シグネチャデータベースが最新のものであることを確認します。すべての作業が完了したら、システムがリアルタイムでシステムを監視して、そのような侵入によってシステムが再び攻撃されないようにする必要があります。

攻撃者がシステムを攻撃してブロイラーとしてシステムを制御する場合、システムを長時間制御できるようにするために、システムに対応するバックドアプログラムをインストールします。同時に、システムのユーザーまたは管理者によって発見されるのを防ぐために、攻撃者はシステム内の自分の操作の痕跡を隠し、インストールしたバックドアを隠そうとします。

したがって、システムが攻撃者によって制御されているかどうかは、システムのプロセス、ネットワーク接続の状態、およびポートの使用状況を確認することによってのみ知ることができます。侵入回復を実行するには、次の手順を実行します。
<1>（1）、侵害されているシステムの特定の時間、現在の影響の範囲と重大度を直ちに分析し、侵害されたシステムのスナップショットを作成します。死後分析と証拠の保持

（2）ネットワーク接続監視ソフトウェアまたはポート監視ソフトウェアを使用して、システムで現在確立されているネットワーク接続とポートの使用状況を検出します。このIPまたはポートに対する無効化ルールをファイアウォールに追加します。

（3）、Windowsタスクマネージャを介して、不正なプロセスまたはサービスが実行されているかどうかを確認し、見つかったすべての不正なプロセスを直ちに終了します。ただし、Windowsのタスクマネージャには表示されないような特殊なバックドアプロセスがいくつかありますこの時点で、Iceswordなどのツールソフトウェアを使用してこれらの隠されたプロセス、サービス、および読み込まれたカーネルモジュールを見つけます。すべてのタスクを終了してください。

しかし、こういった方法でバックドアのプロセスを終了できない場合があります。その場合は、ビジネスを中断してセーフモードに移行することしかできません。セーフモードでこれらのバックドアプロセスの実行を終了できない場合は、サービスデータを復元した後でサービスデータを一定期間に復元してからサービスデータを復元することしかできません。

業務が中断されることがありますので、業務の中断による影響や損失を少なくするため、処理速度はできるだけ速くする必要があります。システムサービスに不正に登録されたバックドアサービスがあるかどうかを確認する必要がありますこれは、[コントロールパネル] - [管理ツール]の[サービス]を開いて、見つかったすべての不正サービスを無効にすることで確認できます。

（4）、バックドアのプロセスとサービスを探すときは、見つかったすべてのプロセスとサービス名を記録してから、システムレジストリとシステムパーティションでこれらのファイルを検索すると、関連するバックドアが見つかります。すべてのデータが削除されます。また、スタートメニュー - すべてのプログラム - スタートアップメニュー項目のすべての内容を削除する必要があります。

（5）システムログを分析して、攻撃者がどのようにシステムに侵入し、どのような操作を行ったのかを把握しています。その後、システム内の攻撃者によるすべての変更が修正されますシステムまたはアプリケーションの脆弱性を悪用してシステムに侵入した場合は、対応する脆弱性パッチを見つけて脆弱性を修正してください。

この脆弱性に関連するパッチがない場合は、ファイアウォールなどの他のセキュリティ方法を使用して特定のIPアドレスのネットワーク接続をブロックし、これらの脆弱性による侵入攻撃を一時的に防止してください。この脆弱性の最新の状態に注意してください。関連するパッチがリリースされた直後に修正する必要があります。システムとアプリケーションにパッチを適用すると、適切なソフトウェアを使用してそれらを自動化できます。

（6）システム修復作業が完了したら、脆弱性検出ツールを使用してシステムとアプリケーションに対して総合的な脆弱性検出を実行し、既存のシステムやアプリケーションに脆弱性が生じないようにする必要があります。また、手動による方法で、新しいユーザーアカウントがシステムに追加され、対応するインストール設定がファイアウォールのフィルタリング規則、IDS /IPS検出感度の変更、攻撃者による無効化など、攻撃によって変更されたかどうかを確認します。サービスおよびセキュリティソフトウェア

2.侵入回復の結果をさらに保証する

（1）、システム管理者または他のユーザーアカウント名とログインパスワードを変更する;

（2）、データベースを変更するまたは他のアプリケーション管理者およびユーザーアカウント名とログインパスワード;

（3）、ファイアウォールの規則を確認します;
ウイルス対策ソフトウェアとIDS /IPSがシステムにインストールされている場合は

（4） 、ウイルスデータベースと攻撃シグネチャデータベースをそれぞれ更新する、

（5）、ユーザー権限をリセットする、

（6）、ファイルアクセス制御ルールをリセットする、

（7）、データベースのアクセス制御規則をリセットする;

（8）、システム内のネットワーク操作に関連するすべてのアカウントの名前とログインパスワードを変更する。

上記のシステム回復とパッチ適用のタスクがすべて完了したら、システムとサービスのフルバックアップを実行し、新しいフルバックアップを古いフルバックアップとは別に保存できます。

ここで、システムの制御を目的とした侵入行為のために、攻撃者は自分自身をユーザーによって発見されないように隠す方法を見つけることに注意してください。システムやファイアウォールによって生成された彼の操作に関連するログファイルを修正または削除することに加えて、洗練されたハッカーはまた彼らが作成し修正するファイルの基本的な属性情報を修正するためにソフトウェアを使います。ファイル属性を表示することによってシステムが侵害されたことをユーザーが認識できないようにするための時間、変更時間など。したがって、変更されているシステムファイルを検出するときは、ファイルの整合性検出にRootKit Revealerなどのソフトウェアを使用する必要があります。