(摘自中国cert)
对于提供信息服务的主机系统,根本的原则是:如果攻击事件使得系统无法继续提供服务,那么你的应对策略首先就是要迅速恢复服务。
1.攻击应对的第一步是要分析遭受攻击的程度,你必须迅速的确定:
1.1攻击者的攻击行为是否尚处在试探过程中?
如果你发现有人正在试图登录你的系统,或是利用服务器软件(WWW,FTP,MAIL等)的漏洞获取敏感的系统文件,但尚未成功,你的应对策略应该是:确保系统内不存在薄弱口令,修补系统和服务器软件的漏洞,对攻击者保持关注。
1.2是否有攻击者已经成功的侵入到你的系统?
下面的几个命令可用于发现入侵者:
who(w)命令显示异常的用户登录,或者该命令结果不可辨识;
ps命令显示异常的进程或常见进程的行为异常;
netstat命令显示异常的TCP连接或开放的UDP端口;
如果确定攻击者成功的侵入系统,你应该采取如下步骤。
2.立即采取措施阻止攻击造成进一步的破坏。
如果你仍然能够获得系统的超级用户权限,那么你可以杀掉与攻击者相关的进程,从而暂时阻止进一步的破坏;
如果你已经无法获得超级用户的权限,那么你就必须立即断开系统与网络的连接;
如果断开网络连接之后,仍然无法阻止恶意进程的破坏,那么你必须及时的shutdown。
3.通知内部安全管理人员。
攻击事件发生后,你还应该即时的通知其他安全管理人员,对网络上的所有主机进行检查,防止入侵破坏蔓延到其它系统上。
4.把在攻击事件中受到影响的文件加以备份,尽可能的记录下系统的瞬时状态,保护系统日志。
在攻击事件中受到影响的文件、系统运行状态还有系统日志是追踪攻击者和搜集攻击证据的重要资料,在进行恢复之前应该做出尽量完整的备份。
5.从以前的备份中恢复受到破坏的系统文件,重新启动服务。
恢复遭受攻击而瘫痪的信息服务
6.将整个攻击事件的发现和处理过程详细记录在案,与备份出来的受到破坏的文件一起存档。