Sposoby rozpoznania ataku "włamywacza"

strefaPC.pl - poradniki, overclocking, prasa komputerowa, sterowniki, testy, bezpieczeństwo
Sposoby rozpoznania ataku "włamywacza"
Autor: kashana
27.05.2006.
Zapewne każdy z was jest ciekaw jak można wykryć aktywność "włamywacza na naszej "maszynie"
Jest kilka sprawdzonych metod takich jak sprawdzanie pamięci itp. Lecz w tym arcie znajdziecie coś
extra :)
Artykuł został podzielony na dwie wersje dla userów Windowsa a później dla Unixa (poniżej)
Autor: red [ s-portal.pl ]
***Wstęp***
Ataki można podzielić na trzy rodzaje, pierwszy to zmasowany i jednorazowy atak po którym ciężko
bedzię nam się "podnieść",często wykorzystywany do ataków na firmy lub korporacje.
Drugi jest postępowy w dość którkim czasie,następuje kilka prób włamania.Przy tego typu ataku
wykorzystuje się programy-trojany np.Prosiak
Ostatni ma na celu dokładne przeszperanie osoby,poszukiwanie ważnego dokumentu czy też pliku.Z
powodu tego, wykrywając ataki hakera nie jest łatwym zadaniem, specjalnie dla niedoświadczonego
użytkownika.
***Zachowanie Windowsa w czasie ataku***
- Podejrzanie duży otwarty ruch w sieci,nawet gdy nie przeglądamy lub pobieramy programu z
internetu.Twój komputer może być użyty też do wysyłania spamu albo robaka z sieci, który naśladuje i
wysyła kopie.
-Zwiększona działalność dysku albo pliku w katalogach głównych jakichkolwiek stacji dysków.Po
włamywaniu się do systemu, wielu hakerów uruchamia potężne przeszukiwanie dla jakichkolwiek
interesujących dokumentów albo pliki zawierające hasła albo loginy dla banku albo konta takie jak
PayPal. Podobnie, jakieś dyski jednokrotnego zapisu przeszukują dysk dla plików zawierających adresy emailowe. Jeśli zauważasz główną działalność dysku nawet gdy system jest leniwy razem z plikami
podejrzliwie nazwanymi wspólnie katalogi, to może być oznaką zakażenia.
-Twój program antywirusowy nagle zaczyna informować, że backdoor albo trojan został wykryty, nawet
jeżeli nie zrobiłeś niczego niezwykłego. Pomimo że ataki hakera mogą być skomplikowane i nowatorskie,
wielu opiera się na znanych trojanach albo backdoorach, mogą zyskać pełny dostęp do
sprzeniewierzonego systemu. Jeśli stały składnik antywirusowy wykrywa i informuje, to może oznaczać,
że masz gościa od zewnątrz.
***Zachowanie Unixa w czasie ataku***
-Akta podejrzliwie nazwane w / folder tmp. Wiele wyczynów w unixie opiera się na tworzeniu
tymczasowych akt w / tmp standardowy folder który są nie zawsze jest wykreślony w systemie.
Programy mogą kompilować ponownie siebie w / folder tmp i wykorzystanie to jak np.'dom'.
-Zmodyfikowany / etc/passwd, / etc/shadow, albo inne pliki systemowe w / etc folder. Czasami ataki
hakera mogą dodawać nowego użytkownika / etc/passwd, do którego mogą logować się później .
-Podejrzane zwiększone usługi / etc/services. Otwierając backdoor w unixie system jest czasami sprawą
dodawania dwóch linii tekstu. To jest osiągnięte przez modyfikowanie / etc/services tak bardzo jak /
etc/ined.conf. Drobiazgowo mozna monitorować te dwa akta za jakiekolwiek dodatki, które mogą
wskazywać backdoor albo podejrzliwe zbadanie portu.
http://www.strefapc.pl
Kreator PDF
Utworzono 9 March, 2017, 01:50
strefaPC.pl - poradniki, overclocking, prasa komputerowa, sterowniki, testy, bezpieczeństwo
-Zmodyfikowany system taki jak 'logowanie', 'telnet', 'ftp', 'palec' albo bardziej złożone demony, 'sshd',
'ftpd' . Po włamywaniu się do systemu, hacker zazwyczaj próbuje umocować dostęp przez sadzenie
backdoora w jednym z demonów z dostępem bezpośrednim z Internetu, albo przez modyfikowanie
typowego systemu usługi komunalne, które są użyły by łączyć z innymi systemami. Zmodyfikowany jest
zazwyczaj częścią z rootkit i zasadniczo, są 'stealthed' przeciwko bezpośredniej prostej kontroli. We
wszystkich przypadkach, to jest dobry pomysł by utrzymać bazę danych z checksums ze względu na
każdy system program narzędziowy i okresowo sprawdzać ich z systemem off-line, w jednym trybie
użytkownika.
Autor: red [ s-portal.pl ]
http://www.strefapc.pl
Kreator PDF
Utworzono 9 March, 2017, 01:50