在这个网络时代,不安全的因素无处不在。一旦网络或一台计算机被严重地击毁了,系统管理员需要采取行动来对付攻击。在下面的文章中,让我们来看一些常见的选择和假设,并且考虑在处理一个受到攻击的系统时,为什么这些未必是最好的行动。
1. 你不能通过为一个受到损害的系统打补丁来保持其健康;补丁只能清除漏洞。而一旦一个黑客进入了你的系统,你应当假定他或她已经保证有其它的方法可以使其重新进入。例如,建立一个账户等。
2. 你不能通过移除后门来净化你受到损害的系统。你千万不要保证已经找到了攻击者可以进入的所有后门。事实是,你不能找到更多的后门只是表明:你并不知道到哪里去查看,或者系统已经被糟蹋的千疮百孔以至于你所看到的并不是其本来面目。
3. 你不能通过使用一些漏洞清除程序来为系统“净身”。让我们假设你的系统受到了冲击波的攻击。许多厂商(国内的、国际的都有)都发布了其漏洞清除程序。在清除工具运行之后 ,你能相信一个曾受冲击波攻击的系统吗?笔者不能。因为如果系统易受到冲击波的攻击,那么它也容遭受其它形式的攻击。你能保证其它的某种攻击不会针对你的系统吗?
4. 你不能通过使用一个病毒扫描程序来保障曾受到攻击的系统是安全的。一个完全受到损害的系统是不可信任的,它不会告诉你真相。甚至病毒扫描程序在某种水平上还要依赖于系统对其“真诚相见”,也就是说系统会向病毒扫描程序撒谎。如果要问一个特定的文件是否存在,攻击者可能只需要一个工具就可以告诉你一些虚假信息。.如果你能保证损害系统的唯一因素是一个特定的病毒或蠕虫,并且你知道这个病毒或蠕虫没有与之相关的后门,而且由这个恶意代码利用的漏洞不能从远程利用,那么可以使用一个病毒扫描程序来清洁你的系统。例如,多数电子邮件蠕虫依赖于一个用户打开一个附件。在这种特定的情况下,系统上的唯一感染源就是包含蠕虫的邮件附件。不过,如果这个被蠕虫所利用的漏洞能够在用户不操作的情况下被远程控制,而且你不能保证蠕虫是利用此漏洞的唯一因素,那么其它的某种恶意代码利用同一个漏洞的可能性是完全可能的。在这情况下,你就不能只是为系统打上补丁就万事大吉了。
5. 在现有的系统上重新安装操作系统也不能保证系统的安全性。攻击者仍会使用安排好的一些工具来欺骗安装程序。如果是这种情况,安装程序可能并没有真正清除受到感染或损害的文件。此外,攻击者还有可能在非操作系统部件中安置后门。
6. 你不能相信通过复制、粘贴等手段来自受损系统的任何数据。一旦一个攻击者进入了一个系统,其上的所有数据都可能被篡改。将一个受损系统的数据复制到一个干净的系统上,其结果是什么呢?最好的情况是,你将得到潜在地不可信任的数据。最糟的情况是,你可能复制了一个隐藏在数据中的后门。你说可怕不可怕?
7. 你不能相信受损系统上的事件记录。一旦一个攻击者完全进入了一个系统,他修改事件记录来掩盖其攻击的足迹是相当简单的事情。如果你依赖于事件记录来告诉你攻击者对你的系统做了什么操作,那么你有可能正中其下怀,因为你读的可能是黑客们需要你读的东西。
8. 你还可能无法相信最新的备份。你能指出最初的攻击是什么时候发生的吗?前面说过,事件记录是不可相信的。如果没有这些知识,你最新的备份就毫无用处。也许可以这样说,你做的只是一个包括目前系统上所有漏洞的备份,你能相信任何备份吗?在你上网炒股时尤其要注意这一点,因为你无法完全确定用以恢复的系统没有包含“网银大盗”这种间谍程序。
9. 也许我们可以这样说,保持系统健康的唯一正确方法是自己破坏原有的系统,并重新构建它。也许可以这样说,要想创造一个新世界,首先要打破一个旧世界。如果你拥有一个受到彻底损坏的系统,你可以实施的唯一安全措施是重新构建、安装系统。
还有其它什么选择吗?我们的回答是有的,那就是一开始就要防止系统受到攻击。关于这方面有许多文章,你可以上网上找到许多资料,例如,通过一般用户上网查找资料,正确设置浏览器防止自动下载,及时安装下载补丁(不过,你怎么知道什么时候算是“及时”?你能为所使用的所有应用程序和工具及时安装补丁吗?),修改超级用户密码,安装防火墙,等等,在此笔者就不一一列举了。但我们要说的是,没有绝对安全的网络和系统!
