Блог > Разное

oH96s5Y5Kf.jpg

Действия администратора при обнаружении попытки взлома

В документах Steps for Recovering from a UNIX Root Compromise, расположенном no адресу http//www.cert.org/tech_tips/root_compromise.html, и RFC 2196 обсуждаются действия администратора при обнаружении нарушений системы защиты. В этих документах описаны правила, которым должны следовать коммерческие, государственные организации и учебные заведения в случае взлома их системы. Рекомендуемые действия предусматривают сохранение образа системы на диске и привлечение специалистов к анализу проблемы. Там же рассматриваются вопросы взаимодействия с судебными органами.

В небольших сетях, подключенных к Internet через провайдера, все происходит иначе. Как правило, факт взлома долго остается незамеченным. Злоумышленнику удается скрыть следы своего пребывания в системе и в дальнейшем использовать ее для атаки на другие узлы. В конце концов, кто-то сообщает о происходящем провайдеру, а тот отключает локальную сеть от Internet. Затем администратор сети обращается к представителю провайдера, узнает о имевшем место взломе его системы и начинает поиск и устранение проблем. По окончании работы администратор снова обращается к провайдеру с просьбой возобновить обслуживание. Вся процедура обычно длится несколько недель.


P.S. Для любителей социальной сети vkontakte, создана полезная программа граффити в контакте . С помощью этой программы Вы сможете легко отправлять граффити в контакте, картинки вконтакте на стены друзей!

Однако не исключена ситуация, что вам удастся самостоятельно выявить попытку взлома системы. Что же делать в этом случае?

Прежде всего надо отключить локальную сеть от Internet. Не следует сразу же перезагружать систему. Если хакер устанавливал и запускал свои программы вручную, перезагрузка может уничтожить следы его деятельности.

Если вы обладаете достаточным объемом дискового пространства, сохраните на диске текущее состояние системы для дальнейшего анализа. Если же места на диске недостаточно, скопируйте по крайней мере файлы протоколов из каталога /var/log и конфигурационные файлы из каталога /etc.

  1. Регистрируйте все ваши действия
  2. Признаки, свидетельствующие о взломе системы
  3. Конфигурация DNS-клиентов в локальной сети
  4. Недостатки в программе mountd
  5. Аутентификация host.equiv и .rhosts
  6. Конфигурационные файлы

Опубликовано в Разное
/
8 Дек 2013
Комментариев 0
колпачки lukas Если вам кажется, что заказ не соответствует параметрам или коробка повреждена, попросите сотрудника почты составить акт о вскрытии. Вскрывать коробку самостоятельно вы можете только после того, как оплатили заказ.