2006年7月,美國海軍10萬官兵的信息資料網上泄密事件,這些信息資料多數屬於機密信息。在我國也曾經發生過多起軍人由於個人電腦或者工作電腦上網發生泄密事件,只是媒體報道較少。雖然很多個人電腦雖然安裝了防火牆以及殺毒軟件,但仍然不能夠完全防止網絡入侵,很多資料的泄密都是通過個人計算機上網而發生的。因此上網計算機的安全問題不容樂觀,因此瞭解和掌握一定的網絡入侵安全檢查方法來減少由網絡入侵帶來的經濟損失十分有必要。
據FBI關於由於計算機犯罪所造成的經濟損失的統計,僅2003年就達2000億美元,由於網絡黑客培訓興起以及黑客錄像的大量傳播,加上成爲黑客的好奇心理以及利用黑客手段可以獲取資料來牟取非法利益,越來越的人喜歡上了入侵,促使我國的網絡入侵刑事案件呈現上升趨勢。網絡入侵輕者僅僅是個人資料丟失和一些輕微的破壞,嚴重的入侵不僅會讓個人和公司蒙受巨大的經濟損失,而且還極有可能發生資料泄密危害國家安全。
2006年7月,美國海軍10萬官兵的信息資料網上泄密事件,這些信息資料多數屬於機密信息。在我國也曾經發生過多起軍人由於個人電腦或者工作電腦上網發生泄密事件,只是媒體報道較少。雖然很多個人電腦雖然安裝了防火牆以及殺毒軟件,但仍然不能夠完全防止網絡入侵,很多資料的泄密都是通過個人計算機上網而發生的。因此上網計算機的安全問題不容樂觀,因此瞭解和掌握一定的網絡入侵安全檢查方法來減少由網絡入侵帶來的經濟損失十分有必要。
網絡入侵主要有四大途徑
計算機病毒入侵主要有源代碼嵌入攻擊型、代碼取代攻擊型、系統修改型和外殼附加型四種方式,而對網絡入侵來講我個人認爲主要分爲主動入侵和被動入侵。
主動入侵主要是指用戶主動去執行病毒以及木馬程序,例如瀏覽存網站中植入了惡意病毒及其木馬程序的網頁,這些木馬程序(病毒)大多是利用操作系統的漏洞,當用戶訪問網頁時,將會主動下載該類木馬程序並執行。還有就是目前比較流行的優盤病毒,通過優盤來進行傳播和執行,這種類型的攻擊非常隱蔽,不易察覺,當用戶連接互聯網時,木馬(病毒)的客戶端可以對感染木馬(病毒)的服務端進行控制。
被動入侵主要是指由入侵者主動發動的攻擊,例如掃描系統口令,利用系統存在的遠程溢出漏洞進行溢出攻擊,SQL注入攻擊等。如果用戶具有一定安全意識,被成功入侵的機率較低。
通過分析研究,對於網絡計算機通過採取以下措施,將會大大降低安全風險:
(1)及時更新操作系統補丁程序。系統安裝完成後,不要立即連接互聯網,而是安裝操作系統最新的一些安全補丁程序,特別是要安裝一些高危漏洞的補丁程序,很多網頁就是利用這些漏洞來執行木馬程序。
(2)安裝殺毒軟件和防火牆,並及時更新病毒庫。及時更新殺毒軟件的病毒庫可以有效的查殺病毒和木馬程序。
(3)謹慎下載軟件。目前計算機運行的很多程序大多爲盜版,無法進行來源驗證,很多提供下載的程序都捆綁有木馬程序,因此不要運行來歷不明的程序,儘量到大型正規網站下載軟件。
(4)做好系統和數據備份。系統安裝完成後,一定要進行數據和操作系統的備份,最好做一個Ghost文件,便於出現問題後可以立即恢復系統或者數據。
入侵後的保護措施不管是個人普通電腦還是公司用電腦,保護好入侵現場是十分必要的,入侵現場作爲經濟損失評估和追蹤入侵者的重要證據。發生網絡入侵後,如果有安全事件應急方案,應當按照應急方案或者措施執行。
(1)報告上司、網警、公安部門或國家安全局
在計算機被入侵後,一般採用三種方式:一種就是徹底格式化硬盤,重新安裝操作系統和軟件;另外一種方法是安裝一些木馬查找軟件,查殺木馬和病毒後繼續使用,最後一種就是利用原來系統中的Ghost備份進行恢復。正確的方法應該是評估計算機中資料的價值,根據其計算機的重要情況,一旦發現計算機被入侵後,應立刻將網絡斷開,並報告公司安全部門或網警或國家安全局等處理網絡安全事件的部門,然後再做相應的處理。
(2)保留證據
在發生網絡入侵後,一個很重要的步驟就是保留證據,面對入侵,最可能留下證據的就是硬盤,下面給出一些可供參考的保留證據步驟:
①使用軟驅啓動並克隆整個硬盤。在選擇克隆硬盤時通過軟盤啓動並克隆是爲了保證系統的時間不被更改。操作系統的一些文件會在啓動計算機時進行時間的更新,爲了保證時間的準確性,應該從軟驅啓動並通過軟盤來克隆硬盤中的系統盤以及其它物理盤。
②將被入侵硬盤存封,保留最直接證據。
③還原操作系統使被攻擊服務器或者個人電腦恢復正常。
④修改在本機上使用的相關軟件以及操作系統賬號的登錄密碼
⑤如果是服務器,則需要通知網絡用戶更改相應的密碼
具體的安全檢查方法
(1)檢查計算機用戶
在被入侵的計算機中,極有可能添加了新用戶或者對用戶進行了克隆。可以按以下方式進行檢查:
①查看目前用戶。使用“net localgroup administrators”查看當前的具有管理員權限用戶列表,也可以通過執行“lusrmgr.msc”命令來查看本地用戶和組。
②可以使用“mt –chkuser”查看用戶是否被克隆
mt.exe是一款非常強大的網絡工具,它主要在命令行方式執行,可以開啓系統服務,檢查用戶以及直接顯示用戶登陸密碼等。其中一個比較實用的命令就是“mt -chkuser”用來查看系統是否存在被克隆用戶。
(2)查看網絡連接情況。使用“netstat –an->netlog-1.txt”命令將目前端口開放情況以及網絡連接情況生成netlog-1文本文件,便於查看網絡開放的端口和連接的IP地址等,可以用來追蹤入侵者。
(3)查看遠程終端服務。Windows2000/XP/2003默認的遠程終端服務都是手動的。查看遠程終端開放情況可以採取以下一些方法:
①查看“Terminal Services”服務啓動情況。
打開管理工具中的“服務”控制面板,查找名稱爲“Terminal Services”的服務,然後直接雙擊該服務名稱就可以查看遠程終端開放情況(圖1)。“Terminal Services”啓動類型有自動、手動和禁用。如果發現其啓動類型爲自動,則說明極有可能被人入侵。
 |
| 圖1 查看遠程終端服務 |
②使用dos命令“query/quser”
使用“query user /quser”命令可以直接查看目前遠程終端服務連接情況,不過該命令只能在Windows 2000/2003 Server中使用,在Windows XP中需要到系統目錄下的dllcache目錄下執行。在WindowsXp中默認連接就是控制檯連接,即sessionname爲“console”。
說明:在進行檢查前,需要先行確定是否存在query.exe和quser.exe這兩個文件以及其相應的文件大小,入侵者在入侵成功後,既有可能將query.exe和quser.exe這兩個文件刪除或者進行替換,query.exe和quser.exe文件大小分別爲10,752和18,432字節。
③使用netstat -an | find "3389" 查看網絡連接及其端口開放情況。
使用netstat -an | find "3389"命令可以查看目前正在使用遠程終端的連接及其3389端口開放情況。
④通過註冊表查看3389端口開放情況
分別查看註冊表鍵[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp]和[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp]下的PortNumber值(圖2)。默認PortNumber的值爲3389,如果發現其值不是3389,則可以肯定一定有入侵發生。
 |
| 圖2查看3389端口開放情況 |
(4)Web服務器的安全檢查
①SQL Server 2000等數據庫安全檢查
目前對Web服務器進行SQL注入是一種主流攻擊方式,SQL注入攻擊最有可能留下痕跡的就是SQL Server 2000等數據庫中的臨時表,通過HDSI等軟件進行SQL注入攻擊,在數據庫中會留下臨時表。因此可以通過數據庫的企業管理器或者查詢處理器進行表的瀏覽,直接查看最新創建表的情況。
②Web日誌文件檢查
如果Web服務設置日誌記錄,則系統會在缺省的“%SystemRoot%/system32/Logfiles”目錄下對用戶訪問等信息進行記錄。日誌文件能夠記錄入侵者所進行的操作以及入侵者的IP地址等。
(5)使用事件查看器查看安全日誌等
事件查看器中有安全性、系統和應用程序三類日誌文件,可以通過在運行“eventvwr.msc”調用事件查看器。安全性日誌中包含了特權使用、用戶、時間和計算機等信息(圖3),這些信息可以作爲判斷入侵者入侵時間以及採用什麼方式進行登陸等信息。不過默認情況下,日誌文件記錄的選項較少,需要通過組策略進行設置。
 |
| 圖3 查看安全日誌 |
(6)查看硬盤以及系統所在目錄新近產生的文件。
如果及時發現入侵,則可以通過以下一些方法來查看入侵者所上傳或安裝的木馬程序文件。
①查看系統目錄文件,可以使用DOS命令“dir /od /a”或者資源管理器查看最新文件。DOS命令“dir /od /a”查看系統最新文件(包含隱藏文件)以日期進行排序。
②查看系統盤下用戶所在文件的臨時目錄temp,如“D:/Documents and Settings/simeon/Local Settings/Temp”,該目錄下會保留操作的一些臨時文件。
③查看歷史文件夾,歷史文件夾中會保留一些入侵者訪問網絡的一些信息,可以通過訪問用戶所在的目錄如“D:/Documents and Settings/simeon/Local Settings/History”進行查看。
④查看回收站,回收站可能會存在入侵者刪除的一些文件記錄。通過查看文件創建日期和跟蹤文件所在位置來進行入侵時間等判斷。
⑤查看recent文件夾,recent文件夾中會保留一些最近操作時的一些快捷方式。通過這些快捷方式可以瞭解入侵者進行的一些操作。
(7)使用port/mport/fport等工具檢查端口開放情況
port/mport/fport等都是用來檢查端口開放情況以及端口由哪些程序打開。
(8)使用Sysinternals公司的autoruns軟件來查看進程
autoruns軟件可以到http://www.sysinternals.com下載,它可以很方便的檢查服務加載、自動啓動等(圖4),而且對於可疑的軟件可以直接通過google進行搜索。
 |
| 圖4 使用autoruns軟件查看進程 |
(9)檢查Rootkit
Rootkit是攻擊者用來隱藏自己的蹤跡和保留root訪問權限的工具,利用Rootkit技術而編寫的木馬程序,功能強大,且具有較高的隱蔽性,危害非常大,目前可以通過RootkitRevealer、Blacklight以及Klister等Rootkit檢測工具檢測系統是否存在Rootkit類型的木馬。