Регистрируйте все ваши действия
Записи могут понадобиться в дальнейшем, когда вы будете составлять отчет о происходящем либо анализировать причины взлома со специалистами провайдера. Кроме того, это поможет вам вспомнить, какие меры уже были приняты и что еще осталось сделать.
Перечисленные ниже действия предпринимаются как при выявлении попытки взлома, так и при анализе изменений, внесенных злоумышленником в систему.
1. Проверьте файлы протоколов и выясните, какие процессы были запущены в системе и какие порты использовались ими. Обратите внимание на содержимое конфигурационных файлов. Проверьте содержимое и права доступа файлов и каталогов, используя для проверки цифровые сигнатуры. Выясните, не появились ли в системе новые setuid-программы. Сравните пользовательские файлы с их резервными копиями.
2. Выполняя тестирование, не забывайте, что именно те программы, которые вы используете для проверки, хакер мог заменить «троянскими конями».
3. Организуйте хранение оперативной информации, например сведений о процессах, запущенных в системе, и используемых ими портах.
4. Перезагрузите систему с дискеты или с резервной копии. Используйте для проверки системы программные средства, подлинность которых не вызывает сомнений.
5. Выясните, каким именно способом злоумышленник получил доступ в вашу систему и какие изменения он успел внести в конфигурацию системных средств.
6. Полностью переустановите систему, используя для этого дистрибутивный пакет.
7. Устраните причины уязвимости системы. Для этого вам, возможно, придется пересмотреть набор серверов, работающих в сети, изменить конфигурацию системы, скорректировать содержимое списков доступа, используемых как ТСР-анализатором, так и отдельными серверами, установить брандмауэр с фильтрацией пакетов или прикладные proxy-серверы.
P.S. Раскрутка сайта и его оптимизация – это один из самых эффективных методов увеличить продажи в интернете. Если Ваш сайт малопосещаемый, оптимизация Вашего ресурса и его дальнейшая раскрутка – это выход из ситуации.
8. Установите опции, разрешающие наиболее полное протоколирование работы системы.
9. Восстановите конфигурационные файлы и файлы, принадлежащие пользователям.
10. Установите дополнительные модули, поставляемые производителем системы. Инсталлируйте и сконфигурируйте пакеты, предназначенные для проверки целостности системы. Вычислите контрольные суммы вновь установленных программ и запишите базу данных контрольных сумм на сменный носитель.
11. Постоянно следите за состоянием системы, чтобы выявить повторные попытки незаконного доступа.
Многие администраторы, чья система подверглась взлому, чувствуют себя, мягко говоря, «не в своей тарелке». Некоторые считают произошедшее прямым свидетельством своей некомпетентности. Не забывайте, что безопасность системы — это непрекращающееся соревнование между администратором и взломщиком, поэтому, как в любом соревновании, здесь есть проигравшие. Никто не приглашал хакера в вашу систему, но если он смог добиться успеха, постарайтесь извлечь урок из сложившейся ситуации.