- •13 Возможных вариантов вторжения в систему
- •1. Уведомления про опасность
- •2. Изменение содержимого Web-страницы
- •3. Подозрительное уменьшение объема свободного места на жестком диске
- •4. Высокая интенсивность работы в сети
- •5. Предупреждения других администраторов
- •6. “Неразборчивый” режим сетевых интерфейсов
- •7. Уничтожение или изменение файлов системных журналов
- •8. Редактирование файлов utmp и wtmp
- •9. Присутствие новых пользователей в системе
- •10. Запуск необычных процессов
- •11. Необъяснимое использование центрального процессора
- •12. Взлом учетных записей локальных пользователей для доступа к удаленным компьютерам
- •13. Необычная работа компьютера
- •Вопрос 5. Методы оценки опасности угроз Оценка угроз безопасности автоматизированным информационным системам
13 Возможных вариантов вторжения в систему
Как узнать о вторжении?
Одним из главных элементов сохранения безопасности компьютеров является своевременное выявление взлома. Чем меньше времени хакеру будет предоставлено, тем меньше он успеет причинить вреда, и тем больше шансов у системного администратора успешно заблокировать хакеру доступ и устранить последствия вторжения.
Чем более искушенным будет хакер, тем меньше вероятность того, что системный администратор сможет выявить компрометацию компьютера. Искусные хакеры умело заметают следы своих действий, и определить их присутствие довольно сложно. Хакеры могут скрывать запущенные ими процессы, открытые соединения, несанкционированный доступ к файлам и использование ресурсов системы, т.е. оставлять свои действия практически полностью “невидимыми”. Если взломщик получит права суперпользователя, то, чтобы скрыть свое присутствие, он может выполнить целый ряд действий на уровне ядра. Но, к счастью, существуют различные способы выявления вторжений.
1. Уведомления про опасность
В идеальном случае от установленной системы защиты администратор должен получить предупреждение о попытке взлома и успешном проведении атаки. При наличии установленного программного обеспечения, тщательно контролирующего записи в системных журналах, системный администратор должен немедленно получить уведомление при появлении чего-то нового или необычного. К необычным событиям можно отнести запуск нового демона или вход в систему нового пользователя. Если запущена система обнаружения вторжений (IDS), она обязана предупредить о попытке проведения атаки, а также с ее помощью должен быть зарегистрирован весь входящий и исходящий трафик после компрометации системы.
2. Изменение содержимого Web-страницы
Среди хакеров-новичков или людей, которым просто нечем заняться, пользуется популярностью замещение содержимого Web-сайта, чтобы продемонстрировать всем успешное проведение своей атаки. Как правило, они заменяют содержимое заглавной страницы, изменение которой будет более заметным. Если хакеры хотят получить доступ к компьютеру, то они вряд ли пойдут на подобное явное уведомление о проведении атаки.
3. Подозрительное уменьшение объема свободного места на жестком диске
Хакеры часто используют чужие компьютеры для хранения на их жестких дисках пиратского программного обеспечения (взломанных версий коммерческих программ), средств для выполнения хакинга, порнографии или других файлов, которыми они хотят пользоваться самостоятельно или предоставить в совместное использование. При размещении такой информации объем свободного пространства жесткого диска взломанного компьютера уменьшается очень быстро. Отчет об объеме свободного пространства на устройствах системы можно получить с помощью команды df.
4. Высокая интенсивность работы в сети
Когда отсутствуют видимые причины для высокой активности сетевых соединений, это может означать, что кто-то использует данный компьютер для обмена собственными файлами или, возможно, происходит атака по сети на другой компьютер, или это является результатом атаки отказа в обслуживании (DoS). Проверить установленные соединения можно с помощью команд netstat –na или lsof -i.