есть множество способов воспользоваться большинством уязвимостей. для хакерской атаки можно использовать один эксплойт, несколько эксплойтов одновременно, неверные настройки программных компонентов или даже программу-бэкдор, установленную в операционную систему в процессе предыдущей атаки.
из-за этого детектирование хакерской атаки становится не самой простой задачей, особенно для неопытного пользователя. в этом разделе мы постараемся сформулировать советы, способные помочь читателю определить, подвергается ли его компьютеры хакерской атаке или же защита компьютерыа уже была взломана ранее. помните, что, как и в случае вирусов, никто не дает 100% гарантии, что вы сможете зафиксировать хакерскую атаку подобными способами. впрочем, если ваша система уже взломана, то вы наверняка отметите некоторые из нижеприведенных признаков.
Windows-компьютерыы:
- подозрительно высокий исходящий трафик. если вы пользуетесь дайлапом или ADSL-подключением и заметили необычно большое количество исходящего сетевого трафика (в частности, проявляющегося, когда ваш компьютеры работает и подключен к интернету, но вы им не пользуетесь), то ваш компьютеры, возможно, был взломан. такой компьютеры может использоваться для скрытой рассылки спама или для размножения сетевых червей.
- повышенная активность жестких дисков или подозрительные файлы в корневых директориях. многие хакеры после взлома компьютерыа производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. если вы заметили значительную активность жестких дисков даже когда компьютеры стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютерыа или заражения его операционной системы вредоносной программой.
- большое количество пакетов с одного и того же адреса, останавливаемые персональным межсетевым экраном. после определения цели (например, диапазона IP-адресов какой-либо компании или домашней сети) хакеры обычно запускают автоматические сканеры, пытающиеся использовать набор различных эксплойтов для проникновения в систему. если вы запустите персональный межсетевой экран (фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно высокое количество остановленных пакетов с одного и того же адреса, то это — признак того, что ваш компьютеры атакуют. впрочем, если ваш межсетевой экран сообщает об остановке подобных пакетов, то компьютеры, скорее всего, в безопасности. однако многое зависит от того, какие запущенные сервисы открыты для доступа из интернета. так, например, персональный межсетевой экран может и не справиться с атакой, направленной на работающий на вашем компьютерые FTP-сервис. в данном случае решением проблемы является временная полная блокировка опасных пакетов до тех пор, пока не прекратятся попытки соединения. большинство персональных межсетевых экранов обладают подобной функцией.
- постоянная антивирусная защита вашего компьютерыа сообщает о присутствии на компьютерые троянских программ или бэкдоров, хотя в остальном все работает нормально. хоть хакерские атаки могут быть сложными и необычными, большинство взломщиков полагается на хорошо известные троянские утилиты, позволяющие получить полный контроль над зараженным компьютерыом. если ваш антивирус сообщает о поимке подобных вредоносных программ, то это может быть признаком того, что ваш компьютеры открыт для несанкционированного удаленного доступа.
UNIX-компьютерыы:
- файлы с подозрительными названиями в папке /tmp. множество эксплойтов в мире UNIX полагается на создание временных файлов в стандартной папке /tmp, которые не всегда удаляются после взлома системы. это же справедливо для некоторых червей, заражающих UNIX-системы; они рекомпилируют себя в папке /tmp и затем используют ее в качестве домашней.
- модифицированные исполняемые файлы системных сервисов вроде login, telnet, ftp, finger или даже более сложных типа sshd, ftpd и других. после проникновения в систему хакер обычно предпринимает попытку укорениться в ней, поместив бэкдор в один из сервисов, доступных из интернета, или изменив стандартные системные утилиты, используемые для подключения к другим компьютерыам. подобные модифицированные исполняемые файлы обычно входят в состав rootkit и скрыты от простого прямого изучения. в любом случае, полезно хранить базу с контрольными суммами всех системных утилит и периодически, отключившись от интернета, в режиме одного пользователя, проверять, не изменились ли они.
- модифицированные /etc/passwd, /etc/shadow или иные системные файлы в папке /etc. иногда результатом хакерской атаки становится появление еще одного пользователя в файле /etc/passwd, который может удаленно зайти в систему позже. следите за всеми изменениями файла с паролями, особенно за появлением пользователей с подозрительными логинами.
- появление подозрительных сервисов в /etc/services. установка бэкдора в UNIX-системе зачастую осуществляется путем добавления двух текстовых строк в файлы /etc/services и /etc/ined.conf. следует постоянно следить за этими файлами, чтобы не пропустить момент появления там новых строк, устанавливающих бэкдор на ранее неиспользуемый или подозрительный порт.