П О Р Т А Л                            
С Е Т Е В Ы Х                          
П Р О Е К Т О В                        
  
Поиск по сайту:
                                                 
Главная

О проекте

Web-мастеру
     HTML & JavaScript
     SSI
     Perl
     PHP
     XML & XSLT
     Unix Shell

MySQL

Безопасность

Хостинг

Другое








Самое читаемое:

Учебник PHP - "Для Чайника".
Просмотров 183582 раз(а).

Иллюстрированный самоучитель по созданию сайтов.
Просмотров 83479 раз(а).

Учебник HTML.
Просмотров 77691 раз(а).

Руководство по PHP5.
Просмотров 48517 раз(а).

Хостинг через призму DNS.
Просмотров 55917 раз(а).

Подборка текстов стандартных документов.
Просмотров 47798 раз(а).

Учебник PHP - Самоучитель
Просмотров 54292 раз(а).

Документация на MySQL (учебник & справочное руководство)
Просмотров 55436 раз(а).

Внешние атаки...
Просмотров 44826 раз(а).

Учебник PHP.
Просмотров 39768 раз(а).

SSI в примерах.
Просмотров 29895 раз(а).






 
 
| Добавить в избранное | Сделать стартовой Project.Net.Ru | Помощь





3.8. Как я должен ответить, когда мне говорят, что кто-то был атакован с моего компьютера или из моей сети?

В списке рассылки по системам обнаружения атак как-то спросили, как они должны ответить на следующий e-mail:

Ниже показана запись журнала регистрации, говорящая о соединение по протоколу Telnet с компьютера из Вашего домена. Компьютер, с которым осуществлялось соединение, не предоставляет этот сервис для общего пользования, так что эта попытка может говорить об осуществлении поиска уязвимых узлов. Мы относимся к этой проблеме очень серьезно и надеемся на аналогичную реакцию с Вашей стороны.

Nov 6 07:13:13 pbreton in.telnetd[31565]: refused connect from xx.xx.xx.xx

Эта запись была сгенерирована TCP Wrappers. Она показывает попытку несанкционированного доступа с вашего компьютера на указанный узел.

В любом случае - это доказательство зондирования, но не атаки. Кроме того, никаких других доказательств нет. Как подчеркнуто Грэгом Дрю существует ряд благоприятных причин:

  • Кто-то напечатал "telnet xx.xx.xx.xx" и IP-адрес неправильно напечатан.
  • Кто-то хотел напечатать "telnet xx.xx.xx.xx 25" для соединения со службой SMTP для осуществления спама или иных действий. Этот кто-то мог забыть указать "25" или неправильно набрать номер порта.
  • Кто-то мог фактически зондировать целевые компьютеры в ответ на спам. Я лично для отслеживания источника спама просматриваю информацию finger, rusers и т.д.
  • Возможно, была зафиксирована обычная ошибка.

Имеются и другие менее вероятные возможности:

  • Ваш сервер уже может быть скомпрометирован и хакер сканирует целевой компьютер с скомпрометированного компьютера.
  • Один из ваших сотрудников использует указанный компьютер для того, чтобы атаковать целевой компьютер (я работал в компании, в которой случалось такое).

Существует и другая возможность: эта была попытка атаки типа "социальный инжиниринг". При помощи данного сообщения кто-то пытается войти с Вами в контакт, чтобы узнать, какие действия Вы предпринимаете по этому поводу. Если Вы сделаете так, то поможете злоумышленнику много нового узнать о Вашей сети:

  • Законный IP-адрес целевого компьютера (хотя он не так интересен).
  • Ваш собственный IP-адрес (вышеупомянутое сообщение было послано postmaster'у или иному известному адресату, но скорее всего ответите на него с Вашего собственного адреса).
  • Ваш уровень готовности: если Вы ответили "мы не можем принять соответствующие меры, потому что у нас нет регистрационных файлов", то нарушитель понимает, что Вы лакомый кусок для атак.
  • Это может быть "спам типа социальный инжиниринг". Отправителем сообщения может быть компания, продающая системы обнаружения атак.

Есть и положительные стороны от такого письма (особенно если вы не нашли ему подтверждения). Вы сможете проверить насколько эффективно работает ваша система регистрации и аудита. Если она отключена, то настало время включить ее.

Назад | Содержание | Вперед



Если Вы не нашли что искали, то рекомендую воспользоваться поиском по сайту:
 





Copyright © 2005-2016 Project.Net.Ru