對癥下藥：搶救被入侵的系統

名　創

攻擊者入侵某個系統，總是由某個主要目的所驅使的。例如炫耀技術、得到企業機密數據、破壞企業正常的業務流程等等。有時也有可能在入侵后，攻擊者的攻擊行為由某種目的變成了另一種目的，例如：本來是炫耀技術，但在進入系統后，發現了一些重要的機密數據，由于利益的驅使，攻擊者最終竊取了這些機密數據。

而攻擊者入侵系統的目的不同，使用的攻擊方法也會不同，所造成的影響范圍和損失也就不會相同。因此，在處理不同的系統入侵事件時，就應當對癥下藥。不同的系統入侵類型，應當以不同的處理方法來解決，這樣，才有可能做到有的放矢，達到最佳的處理效果。

一、以炫耀技術為目的的系統入侵恢復

對于以修改服務內容為目的的系統入侵活動，不需要停機就可以完成系統恢復工作。

1、應當采用的處理方式

(1)建立被入侵系統當前完整的系統快照，或只保存被修改部分的快照，以便事后分析和留作證據。

(2)立即通過備份恢復被修改的網頁。

(3)在Windows系統下，通過網絡監控軟件或“netsiat-an”命令來查看系統目前的網絡連接情況，如果發現不正常的網絡連接，應當立即斷開與它的連接。然后通過查看系統進程、服務和分析系統和服務的日志文件，來檢查系統攻擊者在系統中還做了什么樣的操作，以便做相應的恢復。

(4)通過分析系統日志文件，或者通過弱點檢測工具來了解攻擊者入侵系統所利用的漏洞。如果攻擊者是利用系統或網絡應用程序的漏洞來入侵系統的，那么，就應當尋找相應的系統或應用程序漏洞補丁來修補它，如果目前還沒有這些漏洞的相關補丁。我們就應當使用其他的手段來暫時防范再次利用這些漏洞的入侵活動。如果攻擊者是利用其他方式，例如社會工程方式入侵系統的，而檢查系統中不存在新的漏洞，那么就可以不必進行這一個步驟，而必須對社會工程攻擊實施的對象進行了解和培訓。

(5)修復系統或應用程序漏洞后，還應當添加相應的防火墻規則來防止此類事件的再次發生，如果安裝有IDS/IPS和殺毒軟件，還應當升級它們的特征庫。

(6)最后，使用系統或相應的應用程序檢測軟件對系統或服務進行一次徹底的弱點檢測，在檢測之前要確保其檢測特征庫是最新的。所有工作完成后，還應當在后續的一段時間內，安排專人對此系統進行實時監控，以確信系統已經不會再次被此類入侵事件攻擊。

2、進一步保證入侵恢復的成果

(1)修改系統管理員或其他用戶賬戶的名稱和登錄密碼；

(2)修改數據庫或其他應用程序的管理員和用戶賬戶名稱和登錄密碼；

(3)檢查防火墻規則；

(4)如果系統中安裝有殺毒軟件和IDS／IPS。分別更新它們的病毒庫和攻擊特征庫：

(5)重新設置用戶權限；

(6)重新設置文件的訪問控制規則；

(7)重新設置數據庫的訪問控制規則；

(8)修改系統中與網絡操作相關的所有賬戶的名稱和登錄密碼等。

當我們完成上述的所有系統恢復和修補任務后，我們就可以對系統和服務進行一次完全備份，并且將新的完全備份與舊的完全備份分開保存。

在這里要注意的是：對于以控制系統為目的的入侵活動，攻擊者會想方設法來隱藏自己不被用戶發現。他們除了通過修改或刪除系統和防火墻等產生的與他的操作相關的日志文件外，高明的黑客還會通過一些軟件來修改其所創建、修改文件的基本屬性信息，這些基本屬性包括文件的最后訪問時間、修改時間等，以防止用戶通過查看文件屬性來了解系統已經被入侵。因此，在檢測系統文件是否被修改時，應當使用RootKit Revealer等軟件來進行文件完整性檢測。

二、以得到或損壞系統中機密數據為目的的系統入侵恢復

機密數據對于一些中小企業來說，可以說是一種生命，例如客戶檔案、生產計劃、新產品研究檔案、新產品圖庫，這些數據要是泄漏給了競爭對象，那么，就有可能造成被入侵企業的破產。對于搶救以得到、破壞系統中機密數據為目的的系統入侵活動，要想最大限度地降低入侵帶來的數據損失，最好的方法就是在數據庫還沒有被攻破之前就阻止入侵事件的進一步發展。

1、恢復還沒有得到或破壞機密數據的被入侵系統

假設我們發現系統已經被入侵，并且通過分析系統日志，或者通過直接觀察攻擊者對數據庫進行的后續入侵活動，已經了解到機密數據還沒有被攻擊者竊取，只是進入了系統而已。那么，我們就可以按下列方式來應對這樣的入侵活動：如果企業規定在處理這樣的系統入侵事件時，不允許系統停機，那么就應當按這種方式來處理。

(1)立即找到與攻擊源的網絡連接并斷開。然后通過添加防火墻規則來阻止。通常，當我們一開始就立即斷開與攻擊源的網絡連接。攻擊者就會立即察覺到。并由此迅速消失，以防止自己被反向追蹤。因而，如果我們想抓到攻擊者，讓他受到法律的懲罰。在知道目前攻擊者進行的入侵攻擊不會對數據庫中的機密數據造成影響的前提下，我們就可以先對系統當前狀態做一個快照，用來做事后分析和證據，然后使用IP追捕軟件來反向追蹤攻擊者，找到后再斷開與他的網絡連接。

不過。我們要注意的是，進行反向追蹤會對正常的系統業務造成一定的影響，同時，如果被黑客發現，他們有時會做最后一搏，會破壞系統后逃避，因而在追捕的同時要注意安全防范。只是，大部分的企業都是以盡快恢復系統正常運行，減少入侵損失為主要目的，因此，立即斷開與攻擊源的網絡連接是最好的處理方式。

(2)對被入侵系統的當前狀態建立快照，以便事后分析和留作證據。

(3)通過分析日志文件和弱點檢測工具找到攻擊者入侵系統的漏洞，然后了解這些系統漏洞是如何得到的。如果漏洞是攻擊者自己分析得到的，那么就可能還沒有相應的漏洞修復補丁，因而必須通過其他手段來暫時防范再次利用此漏洞入侵系統事件的發生；如果漏洞是攻擊者通過互聯網得到的，而且漏洞已經出現了相當一段時間，那么就可能存在相應的漏洞修復補丁。此時，就可以到系統供應商建立的服務網站下載這些漏洞補丁修復系統；如果攻擊者是通過社會工程方式得到的漏洞。我們就應當對當事人和所有員工進行培訓。以減少被再次利用的機率。

(4)修改數據庫管理員賬號名稱和登錄密碼，重新為操作數據的用戶建立新的賬戶和密碼，并且修改數據庫的訪問規則。至于剩下的系統恢復工作，可以按恢復以控制系統為目的的系統入侵恢復方式來進行。

2、恢復已經得到或刪除了機密數據的被入侵系統

如果當我們發現系統已經被入侵時，攻擊者已經得到或刪除了系統中全部或部分的機密數據，那么，現在要做的不是試圖搶救已經損失了的數據，而是保護沒有影響到的數據。由于此類系統入侵事件已經

屬于特別嚴重的入侵事件，我們的第一個動作，就是盡快斷開與攻擊源的網絡連接。

如果允許系統停機處理這類嚴重系統入侵事件，那么就可以直接拔掉網線斷開被入侵系統與網絡的直接連接。當系統仍然不允許停機處理時，就應當通過網絡連接監控軟件來找到系統與攻擊源的網絡連接，然后斷開，并在防火墻中添加相應的規則來攔截與攻擊源的網絡連接。這樣做的目的。就是防止此次系統入侵事件進一步的惡化，保護其他沒有影響到的數據。

斷開與攻擊源的連接后，我們就應當立即分析數據損失的范圍和嚴重程度，了解哪些數據還沒有被影響到，然后立即將這些沒有影響到的數據進行備份或隔離保護。對于丟失了數據的系統入侵事件，我們還可以將它歸納成以下的三個類別：

(1)數據被竊取

當我們檢測數據庫時發現數據并沒有被刪除或修改，但是通過分析系統日志和防火墻日志，了解攻擊者已經進入了數據庫，打開了某些數據庫表，或者已經復制了這些數據庫表，那么就可以確定攻擊者只是竊取了數據而沒有進行其他活動。此時，應當按前面介紹過的方法先恢復系統到正常狀態，然后修補系統和數據庫應用程序的漏洞，并對它們進行弱點檢測，發現沒有問題后分別做一次完全備份。還應當修改系統管理員和數據庫管理員賬戶的名稱和登錄密碼，所有的操作與前面提到過的方式相同，只是多出了數據庫的恢復工作。

(2)數據被修改

如果我們在分析數據庫受損情況時，發現攻擊者并沒有打開數據庫表，而是通過數據庫命令增加、修改了數據庫某個表中的相關內容。那么，我們不得不一一找出這些非授權的數據表相關行，然后將它們全部修正或刪除。如果修改的內容有關某個行業，例如辦理駕駛證的政府機關，辦理畢業證的教育機構，或者辦理其他各種執照的相關單位等，那么，還要將攻擊者修改的內容向外界公布，說明這些被攻擊者修改或添加的內容是無效的，以免造成不必要的社會影響。其他的系統和數據庫恢復處理方式與數據被竊取方式相同。

(3)數據被刪除

如果我們在分析數據庫受損情況時，發現攻擊者不僅得到了機密數據，而且將系統中的相應數據庫表完全刪除了，那么，我們在斷開與其網絡連接時，要立即著手恢復這些被刪除了的數據。

當我們通過備份的方式來恢復被刪除的數據時，在恢復之前，一定要確定系統被入侵的具體時間，這樣才知道什么時候的備份是可以使用的。這是因為，如果我們對數據庫設置了每日的增量備份，當攻擊者刪除其中的內容時，非法修改后的數據庫同樣被備份了，因此，在入侵后的增量備份都不可用。同樣，如果在系統被入侵期間。還對數據庫進行了完全備份，那么。這些完全備份也不可用。

如果允許我們停機進行處理，我們可以拆下系統上的硬盤，接入其他系統，然后通過文件恢復軟件來恢復這些被刪除的文件。但是，對于數據庫表中內容的刪除，我們只能通過留下的紙質文檔，來自己慢慢修正。

在這里我們就可以知道，備份并不能解決所有的系統入侵問題，但仍然是最快、最有效恢復系統正常的方式之一。我們還可以知道，及時發現系統已經被入侵對于搶救系統中的機密數據是多么的重要。

三、以破壞系統或業務正常運行為目的的系統入侵恢復

當攻擊者入侵系統的目的，就是為了讓系統或系統中的正常業務不能正常運行，如果我們發現不及時，當這類系統入侵事件攻擊成功后，就會造成系統意外停機事件和業務意外中斷事件。

處理這類系統入侵事件時，已經沒有必要再考慮系統需不需要停機處理的問題了，既然系統都已經不能正常運行了，考慮這些都是多余的，最緊要的就是盡快恢復系統正常運行。對于這類事件，也有下列這幾種類別，每種類別的處理方式也是有一點區別的：

1、系統運行正常，但業務已經中斷

對于此類系統入侵事件，我們可以不停機進行處理，直接以系統在線方式通過備份來恢復業務的正常運行，但在恢復前要確定系統被入侵的具體時間，以及什么時候的備份可以使用，然后按本文前面介紹的相關系統入侵恢復方式來恢復系統和業務到正常狀態。

對于沒有冗余系統的企業，如果當時非常迫切需要系統業務能夠正常運行，那么，也只有在通過備份恢復業務正常運行后直接使用它。但在沒有修復系統或應用程序漏洞之前，必須安排專人實時監控系統的運行狀況，包括網絡連接狀況、系統進程狀況。通過提高IDS／IPS的檢測力度。添加相應的防火墻檢測規則來暫時保護系統安全。

2、系統不能正常運行。但系統中與業務相關的內容沒有受到破壞

此時，我們首要的任務就是盡快讓系統恢復正常運行，但是要保證系統中與業務相關的數據不能受到損害。如果與業務相關的重要數據不在系統分區，那么，將系統從網絡中斷開后，我們就可以通過另外保存的系統完全備份來迅速恢復系統到正常狀態，這是最快速的解決方法。

但是，如果與業務相關的數據全部或部分存放在系統分區，那么，為了保證當前業務數據的完整性，我們應當先通過像winPE光盤系統的方式啟動WinPE系統，然后將與業務相關的重要數據全部備份到其他獨立的存儲設備中，再對系統分區進行備份恢復操作。

如果我們發現系統的完全備份不可用。我們就只能在保證與業務相關的重要數據不損失的情況下，通過全新的操作系統安裝方式來恢復系統正常運行，然后再安裝業務應用程序，來恢復整個系統業務的正常運行。但是，由于這種方式是重新全新安裝操作系統，因此。如沒有特殊的要求，應當對系統和應用程序做好相應的安全防范措施并完全備份后，才將系統連入網絡當中。

至于剩下的系統恢復工作，可以按恢復以控制系統為目的的系統入侵恢復方式來進行。