Jak Wykryć Atak Hakera

[L4Y Â? 15560]

Jak wykryÄ? atak hakera

WiÄ?kszo??Ä? luk w komputerach mo??e zostaÄ? wykorzystana na wiele r????nych sposob??w. Ataki haker??w mogÄ? wykorzystywaÄ? jeden konkretny exploit, kilka exploit??w r??wnocze??nie, z??Ä? konfiguracjÄ?, jeden z element??w systemu lub nawet backdoora z wcze??niejszego ataku.

 

Z tego wzglÄ?du wykrycie atak??w hakera jest nie??atwym zadaniem dla niedo??wiadczonego u??ytkownika. Artyku?? ten zawiera kilka podstawowych wskaz??wek majÄ?cych pom??c u??ytkownikom w rozpoznaniu, czy ich komputery sÄ? atakowane, lub czy nastÄ?pi??o w??amanie do systemu. Nale??y jednak pamiÄ?taÄ?, podobnie jak w przypadku wirus??w, ??e przedstawione sposoby nie dajÄ? 100% gwarancji wykrycia atak??w haker??w. Istnieje jednak du??e prawdopodobie??stwo, ??e system, do kt??rego w??amano siÄ?, bÄ?dzie zachowywa?? siÄ? na jeden lub wiÄ?cej nastÄ?pujÄ?cych sposob??w:

 

Komputery dzia??ajÄ?ce pod kontrolÄ? systemu Windows:

 

* Podejrzanie du??y ruch sieciowy wychodzÄ?cy. Je??eli u??ytkownik korzysta z po??Ä?czenis Dial-Up lub ADSL i zauwa??y wy??sze ni?? zazwyczaj natÄ???enie ruchu sieciowego wychodzÄ?cego (szczeg??lnie gdy komputer jest bezczynny lub niekoniecznie wysy??a dane), mo??e to oznaczaÄ?, ??e kto?? naruszy?? ochronÄ? danych komputera. Komputer mo??e zostaÄ? u??yty do rozsy??ania spamu lub wykorzystany przez robaka sieciowego, kt??ry tworzy i wysy??a swoje w??asne kopie. Mniejsze znaczenie ma to w przypadku po??Ä?cze?? kablowych - ruch wychodzÄ?cy jest w??wczas zazwyczaj taki sam jak przychodzÄ?cy, nawet je??li nie robimy nic wiÄ?cej poza przeglÄ?daniem stron lub ??ciÄ?ganiem danych z Internetu.

* ZwiÄ?kszona aktywno??Ä? dysku lub podejrzanie wyglÄ?dajÄ?ce pliki w katalogach g????wnych dowolnego napÄ?du. Po w??amaniu do systemu wielu haker??w przeprowadza masowe skanowanie w poszukiwaniu interesujÄ?cych dokument??w lub plik??w zawierajÄ?cych has??a lub nazwy u??ytkownika dla kont bankowych lub system??w p??atniczych, takich jak PayPal. Analogicznie, niekt??re robaki przeszukujÄ? dysk w celu znalezienia adres??w e-mail i wykorzystaniu ich do rozprzestrzeniania siÄ?. Je??li dysk g????wny jest aktywny, nawet gdy system jest bezczynny, a popularne foldery zawierajÄ? pliki o podejrzanych nazwach, mo??e to oznaczaÄ? w??amanie do systemu lub infekcjÄ? z??o??liwym programem.

* Du??a liczba pakiet??w pochodzÄ?ca z jednego adresu zatrzymana przez osobistÄ? zaporÄ? ogniowÄ?. Po zlokalizowaniu celu (np. zakres adres??w IP firmy lub pula domowych u??ytkownik??w kablowych) hakerzy uruchamiajÄ? zazwyczaj automatyczne narzÄ?dzia sondujÄ?ce pr??bujÄ?ce wykorzystaÄ? r????ne exploity w celu dokonania w??amania do systemu. Je??li po uruchomieniu osobistej zapory ogniowej (podstawowy element ochrony przed atakami haker??w) u??ytkownik zauwa??y wy??szÄ? ni?? zazwyczaj liczbÄ? zatrzymanych pakiet??w przychodzÄ?cych z jednego adresu, oznacza to atak na komputer. Dobra wiadomo??Ä? jest taka, ??e je??li zapora ogniowa zarejestrowa??a te ataki, prawdopodobnie komputer jest bezpieczny. Jednak w zale??no??ci od liczby us??ug udostÄ?pnionych w Internecie, osobista zapora ogniowa mo??e nie uchroniÄ? u??ytkownika przed atakiem skierowanym na konkretnÄ? us??ugÄ? FTP uruchomionÄ? i udostÄ?pnionÄ? w systemie. W tym przypadku rozwiÄ?zaniem mo??e byÄ? tymczasowe zablokowanie atakujÄ?cego adresu IP do czasu ustania pr??b po??Ä?cze??. Wiele osobistych zap??r ogniowych i system??w wykrywania w??ama?? (IDS) ma wbudowanÄ? takÄ? funkcjÄ?.

* Chocia?? nie wykonano ??adnej nietypowej czynno??ci, rezydentny program antywirusowy zg??asza nagle wykrycie backdoora lub trojana. Ataki haker??w mogÄ? byÄ? z??o??one i innowacyjne, jednak wielu w??amywaczy w celu zdobycia pe??nego dostÄ?pu do zaatakowanego systemu wykorzystuje znane trojany lub backdoory. Je??eli rezydentny sk??adnik programu antywirusowego wykrywa i zg??asza taki z??o??liwy program, oznacza to, ??e mo??liwe jest uzyskanie dostÄ?pu do systemu z zewnÄ?trz.

 

Komputery dzia??ajÄ?ce pod kontrolÄ? systemu Unix:

 

* Pliki o podejrzanych nazwach w folderze /tmp. Wiele exploit??w w ??wiecie Uniksa tworzy tymczasowe pliki w standardowym folderze /tmp, kt??re po w??amaniu do systemu nie zawsze sÄ? usuwane. Dotyczy to niekt??rych robak??w infekujÄ?cych systemy Unix; kompilujÄ? siÄ? ponownie w folderze /tmp i u??ywajÄ? go jako swojego katalogu domowego.

* Zmodyfikowane binaria systemu, takie jak 'login', 'telnet', 'ftp', 'finger', lub bardziej z??o??one demony, takie jak 'sshd', 'ftpd'. Po w??amaniu do systemu haker pr??buje zazwyczaj zabezpieczyÄ? dostÄ?p przez umieszczenie backdoora w jednym z demon??w z dostÄ?pem uzyskiwanym bezpo??rednio z Internetu lub poprzez modyfikacjÄ? standardowych urzÄ?dze?? systemu u??ywanych do po??Ä?cze?? z innymi systemami. Te zmodyfikowane binaria czÄ?sto sÄ? czÄ???ciÄ? g????wnego zestawu i sÄ? "utajnione" podczas przeprowadzania bezpo??redniej, prostej kontroli. W ka??dym przypadku zalecane jest prowadzenie bazy danych sum kontrolnych dla ka??dego urzÄ?dzenia systemowego i ich okresowa weryfikacja w trybie off-line.

* Zmodyfikowane pliki /etc/passwd, /etc/shadow lub inne pliki systemowe w folderze /etc. Niekiedy w wyniku atak??w haker??w w pliku /etc/passed dodany jest nowy u??ytkownik, kt??ry mo??e zostaÄ? zdalnie zalogowany w p????niejszym czasie. Nale??y zwracaÄ? uwagÄ? na podejrzane nazwy u??ytkownik??w w pliku password i monitorowaÄ? wszelkie zmiany, szczeg??lnie w systemie dla wielu u??ytkownik??w.

* Podejrzane us??ugi dodane do /etc/. Uruchomienie backdoora w systemie Unix jest czasami kwestiÄ? dodania dw??ch wierszy tekstu. Mo??na to osiÄ?gnÄ?Ä? modyfikujÄ?c us??ugi /etc, jak r??wnie?? /etc/ined.conf. Nale??y zatem dok??adnie monitorowaÄ? te dwa pliki, zwracajÄ?c uwagÄ? na wszelkie zmiany mogÄ?ce wskazywaÄ? na przy??Ä?czenie backdoora do nieu??ywanego lub podejrzanego portu.