广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 1982 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 避免沦为傀儡禁脔,随时自我检查
避免沦为傀儡禁脔,随时自我检查
随时注意系统效能、网路流量及帐单金额是否有异常,做好防毒软体、防火墙等基本防护以降低感染机率。

根据美国CERT对于傀儡程式(Bot)的定义中,特别提及傀儡程式平时并不易被察觉,因此,要避免成为骇客操弄傀儡程式下的受骇者,学会自我检查就是自保的第一步。

"自我检查项目"
现象1:系统效能异常
不论是企业端伺服器或是个人主机,台湾CA(组合国际)技术顾问林宏嘉表示,「当系统莫名其妙效能越便越慢时,就必须开始留意。」这个异常包含范围很广,除了基本的主机处理器效能突然利用率飙高,甚至达100%外,系统出现异常存取,出现异常网址与主机相连,有使用者企图进行密码破解,或者是不合法的ID登入,例如Admin在非正常时间于非正常机器上登入等,这些现象,都是IT人员最容易察觉的步骤。

现象2:网路流量异常
由于傀儡程式经常是透过IRC通道对其傀儡网路下达命令,频宽流量异常,是许多网管人员有机会在第一时间发现异常的现象,加上傀儡网路攻击容易引发DoS(阻断式服务攻击),宏碁安全技术与管理处资安一部资深技术经理黄琼莹认为,「当网路流量出现瞬间爆量时,网管人员便需要去查察频宽究竟是消耗在哪些系统上了。」

现象3:帐单金额异常
中华电信是台湾最大的ISP业者,本身提供许多服务给网路使用者。中华电信网际网路处科长吴怡芳表示,曾经有骇客在系统缺乏安全防护的个人使用者电脑中,植入傀儡程式,并透过键盘侧录程式,侧录使用者的帐号、密码后,冒用小额付款服务,再把帐款交给受骇者来付。因此,她说,「一旦帐单出现异常,就必须留意。」类似ISP帐单出现许多不该有的小额付款,极有可能系统已被骇。

"企业基本防护措施"
防毒软体,永远最新
即使防毒软体不一定能够有效防堵傀儡程式的入侵,但因为成效不见得达到100%,甚至因噎废食而认为不需要安装防毒软体,反而是一种错误的作法。Seednet(数位联合)网路安全部资深经理张富吉便说,「永远把防毒软体病毒码更新到最新,有装有保佑,毕竟,永远有更好入侵的系统等着骇客入侵。」当然,除了防毒软体外,避免系统出现漏洞,相关的软体也应该维持到最新版本。

网路隔离,有赖防火墙
讯息封包路由器开始进出系统内、外网时,基本的防火墙,「除了阻挡外来的恶意程式外,也避免恶意程式发送的封包,从内部无限制的发送。」趋势科技技术支援部台湾区技术总监王应达说道。

除了采购其他软、硬体防火墙外,微软作业系统中,也推出自己的防火墙,例如,安装ISA Server就是一种防火墙。

入侵侦测防御,有备无患
有越来越多傀儡程式不只是走IRC通讯埠,也逐渐有走http的80埠、SMTP的25埠、POP3的100埠。赛门铁克(Symantec)亚太区资讯安全技术顾问林育民指出,企业必须具有基本的防御能力,网路型IDS(入侵侦测系统)/IPS(入侵防御系统),让企业具有自卫能力,可以透过特征码,先行阻挡不正常的网路封包。

微软作业系统使用者,也可以利用ISA Server内建的IDS,进行第一层把关。透过网路隔离,看系统是否可以通过Windows Server 2003内建的IP Sec作网路验证,允许通过网路验证的系统可作存取。

确保主机安全,善用各种工具
确保主机安全,除了需要安装防毒软体、防火墙外,也可以加装防间谍软体,台湾微软营运暨行销处伺服器平台事业部资深行销经理史百诚说,「微软也提供免费的移除间谍程式的反间谍程式软体Windows Defender,让微软使用者下载。」

Windows Defender也可以被动式的知道有哪些程式在运行中,避免一些傀儡程式在不知不觉中,执行某些程式或发送某些资料,微软在下一版微软作业系统Vista,也强化安全功能,一旦有任何傀儡等背景程式取得Admin主控权并意图进行作业系统修改,Vista则会出现警告画面提醒使用者注意。

此外,如果因为傀儡程式已经无法从系统中移除,Windows XP作业系统中,内含可以将档案、使用者设定及软体注册等资料作镜射备份,「避免系统需要重灌时,相关系统设定与软体注册码都找不到。」史百诚说。

专家私房免费工具,作即时检测

目前网路上有许多免费工具,可以让企业作检测和移除某些恶意程式,其中,「微软也针对其伺服器用户,提供免费下载的恶意程式移除工具(MSRT)。」史百诚说。
不过,网路潜藏危机四处可见,许多免费提供下载的共享程式,其本身甚至就是一个恶意的傀儡程式,使用者一旦下载,等于敞开大门欢迎强盗进门抢劫。

为了避免误上贼船,网路使用者除了可以上网查询免费的共享软体外,赛门铁克(Symantec)亚太区资讯安全技术顾问林育民,也提供一个他本身常用系统检查的OpenSource软体 Tripwire,网址是:http://www.tripwire.com/products/enterprise/ost/;他也提供另外一个共享软体的网站,网址是:http://www.sysinternals.com/utilities/rootkitrevealer.html,可以让高手自行找寻更好用的工具。另外,Juniper(瞻博网路) 技术经理林佶骏也提供一个共享软体网站,企业用户可在此寻找好用的企业自我检查软体。网址是:http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/freetools.htm。


资安检查项目一览表

伺服器端

日检查:CPU、记忆体、硬碟容量、log登入日志看是否有不合法的使用者,异常程式安装或执行、关键任务资料备份与归档
周检查:针对某些关键任务进行周备份、对每天检查,但不用每天纪录的工作进行周纪录

月检查:进行资料的归档,某些重点资料的彻底删除。

网路端

日检查:
1、 银行与外部网路的连线是否畅通,包含网路银行以及电信局到分行间的专线。
2、 备援的IDSN。
3、 检查该银行网路管理平台,保留所有的登入纪录。
4、 检查网路频宽,分析每一条网路内频宽使用量,谁是最大用户?什么原因?
5、 防火墙、IDS/IPS也列为网路端重要检查项目,
6、 将每天登入以及系统注册等,进行备份。
7、 透过频宽管理器QoS进行网路检查。 

周检查:针对某些暂时没使用的设备进行检测。

月检查:制作网管月报,针对银行内各种重要服务的可用性,用灯号显示危急程度,并以图表显示原因。

用户端
月检查:
1、每月定期扫瞄全行的电脑,是否有符合资安规定,安装防毒软体并更新到最新的病毒码。
2、将检查结果,列在网管月报中,做为防毒稽核。
3、每一台伺服器负责同仁,若进行弱点扫瞄时有状况,负责的同仁不仅要签名,也要在预定时间内,改善相关疏失。



爸爸 你一路好走
献花 x2 回到顶端 [楼 主] From:台湾 和信超媒体宽带网 | Posted:2006-11-11 00:35 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.058853 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言