Як виявити хакерську атаку

Є безліч способів скористатися більшістю вразливостей. Для хакерської атаки можна використовувати один експлойт, кілька експлойтів одночасно, неправильні налаштування програмних компонентів або навіть програму-бекдор, встановлену в операційну систему у процесі попередньої атаки.

Через це детектування атаки хакерів стає не найпростішим завданням, особливо для недосвідченого користувача. У цьому розділі ми постараємося сформулювати поради, здатні допомогти читачеві визначити, чи його комп’ютер піддається хакерській атаці або захист комп’ютера вже був зламаний раніше. Пам’ятайте, що, як і у випадку вірусів, ніхто не дає 100% гарантії, що ви зможете зафіксувати атаку хакера подібними способами. Втім, якщо ваша система вже зламана, то ви напевно відмітите деякі з наведених нижче ознак.

Windows-комп’ютери:

  • Підозрительно високий вихідний трафік. Якщо ви користуєтеся дайлапом або ADSL-підключенням і помітили незвичайно велику кількість вихідного мережного трафіку (зокрема, коли комп’ютер працює і підключений до інтернету, але ви ним не користуєтеся), то ваш комп’ютер, можливо, був зламаний. Такий комп’ютер може використовуватися для прихованого розсилання спаму або розмноження мережевих черв’яків.
  • Підвищена активність жорстких дисків або підозрілі файли у кореневих директоріях. Багато хакерів після злому комп’ютера проводять сканування інформації, що зберігається на ньому, в пошуках цікавих документів або файлів, що містять логіни і паролі до банківських розрахункових центрів або систем електронних платежів на кшталт PayPal. Деякі мережеві хробаки також шукають на диску файли з адресами email, які згодом використовуються для розсилки заражених листів. Якщо ви помітили значну активність жорстких дисків навіть коли комп’ютер стоїть без роботи, а в загальнодоступних папках стали з’являтися файли з підозрілими назвами, це також може бути ознакою злому комп’ютера або зараження операційної системи шкідливою програмою.
  • Велика кількість пакетів з однієї адреси, що зупиняються персональним міжмережевим екраном. Після визначення мети (наприклад, діапазону IP-адрес будь-якої компанії або домашньої мережі) хакери зазвичай запускають автоматичні сканери, які намагаються використовувати набір різних експлойтів для проникнення в систему. Якщо ви запустите персональний міжмережевий екран (фундаментальний інструмент у захисті від атак хакерів) і помітите нехарактерно високу кількість зупинених пакетів з однієї й тієї ж адреси, то це ознака того, що ваш комп’ютер атакують. Втім, якщо ваш міжмережевий екран повідомляє про зупинку подібних пакетів, то комп’ютер, швидше за все, у безпеці. Однак багато залежить від того, які запущені послуги відкриті для доступу з інтернету. Так, наприклад, персональний міжмережевий екран може і не впоратися з атакою, спрямованої на FTP-сервіс, що працює на вашому комп’ютері. В даному випадку вирішенням проблеми є тимчасове повне блокування небезпечних пакетів, доки не припиняться спроби з’єднання. Більшість персональних міжмережевих екранів мають подібну функцію.
  • Постійний антивірусний захист вашого комп’ютера повідомляє про присутність на комп’ютері троянських програм або бекдорів, хоча все працює нормально. Хоча хакерські атаки можуть бути складними та незвичайними, більшість зломщиків покладаються на добре відомі троянські утиліти, що дозволяють отримати повний контроль над зараженим комп’ютером. Якщо ваш антивірус повідомляє про затримання подібних шкідливих програм, це може бути ознакою того, що ваш комп’ютер відкритий для несанкціонованого віддаленого доступу.
Читайте також  CEO Realme: компанія вирушить підкорювати Європу і США

UNIX-комп’ютери:

  • Файли з підозрілими назвами у папці “/tmp”. Безліч експлойтів у світі UNIX покладається на створення тимчасових файлів у стандартній папці /tmp, які не завжди видаляються після злому системи. Це справедливо для деяких хробаків, що заражають UNIX-системи; вони рекомпілюють себе в папці “/tmp” і потім використовують її як “домашню”.
  • Модифіковані файли системних сервісів на кшталт «login», «telnet», «ftp», «finger» або навіть складніших типу «sshd», «ftpd» та інших. Після проникнення в систему хакер зазвичай робить спробу вкоренитися в ній, помістивши бекдор в один із сервісів, доступних з інтернету, або змінивши стандартні системні утиліти, які використовуються для підключення до інших комп’ютерів. Подібні модифіковані файли зазвичай входять до складу rootkit і приховані від простого прямого вивчення. У будь-якому випадку, корисно зберігати базу з контрольними сумами всіх системних утиліт і періодично, відключившись від інтернету, в режимі одного користувача, перевіряти, чи вони не змінилися.
  • Модифіковані /etc/passwd, /etc/shadow або інші системні файли в папці /etc. Іноді результатом атаки хакерів стає поява ще одного користувача у файлі «/etc/passwd», який може віддалено зайти в систему пізніше. Слідкуйте за всіма змінами файлу з паролями, особливо за появою користувачів із підозрілими логінами.
  • Поява підозрілих сервісів у /etc/services. Встановлення бекдору в UNIX-системі найчастіше здійснюється шляхом додавання двох текстових рядків у файли /etc/services і /etc/ined.conf. Слід постійно стежити за цими файлами, щоб не пропустити момент появи там нових рядків, що встановлюють бекдор на порт, що раніше не використовується або підозрілий.

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься.