ПРОБЛЕМА

Обнаружив, что компьютер атакован, довольно трудно оставаться спокойным и хладнокровным, но это необходимо для принятия здравых и правильных решений. Не все инциденты, связанные с нарушением безопасности, являются реальными. Может возникнуть ложная тревога, если средства наблюдения зафиксировали происшествие, которое на самом деле не является атакой или вредоносным действием.

В таких стрессовых ситуациях поможет четкое и последовательное выполнение действий. Клиентам не особо понравится, если вы отключите сайт, и обиднее всего, если в действительности на сайт не было произведено никакой атаки. Ниже приведен перечень процедур, который поможет выявить и определить источник подозрительных событий.

В ситуациях, связанных с возможным нарушением безопасности сайта, выполните следующие шаги.

Определите все системы, задействованные в происшествии.
Предотвратите перезагрузку компьютера, вход и выход из системы или случайный запуск вредоносного кода.
Проверьте журналы аудита на наличие признаков несанкционированных действий. Отсутствие журналов или пустые места в файлах журналов представляют собой явные признаки сокрытия следов атаки.
Проверьте ключевые учетные записи и группы. Попробуйте обнаружить попытки входа через учетные записи по умолчанию. Проверьте группы Administrators (Администраторы), Backup Operators (Операторы учетных записей) и Web Site Operators (Операторы веб-сайта) на наличие несанкционированных записей или членов группы. Проверьте учетные записи на повышенные привилегии. Отследите активность в нерабочие часы.
Осуществите в каталогах веб-сервера поиск файлов, которые вы там не располагали. Осуществите поиск в системе средств хакеров ("троянских коней", таких как Subseven, и т.п.).
Проверьте Task Manager (Диспетчер задач) Windows 2000 (открывается нажатием комбинации Ctrl+Alt+Del) на наличие неизвестных приложений или процессов. Проверьте конфигурацию служб на наличие автоматически запускаемых служб, которые не включались в процессе укрепления системы.

Содержание раздела