Є безліч способів скористатися більшістю вразливостей. Для хакерської атаки можна використовувати один експлойт, кілька експлойтів одночасно, невірні налаштування програмних компонентів або навіть програму-бекдор, встановлену в операційну систему в процесі попередньої атаки.
Через це детектування хакерської атаки стає не найпростішим завданням, особливо для недосвідченого користувача. У цьому розділі ми постараємося сформулювати поради, здатні допомогти читачеві визначити, чи піддається його комп’ютер хакерській атаці або ж захист комп’ютера вже була зламана раніше. Пам’ятайте, що, як і у випадку вірусів, ніхто не дає 100% гарантії, що ви зможете зафіксувати хакерську атаку подібними способами. Втім, якщо ваша система вже зламана, то ви напевно відзначите деякі з наведених нижче ознак.
Windows-комп’ютери:
- Підозріло високий вихідний трафік. Якщо ви користуєтеся дайлапом або ADSL-підключенням і помітили незвично велику кількість вихідного мережевого трафіку (зокрема, проявляється, коли ваш комп’ютер працює і підключений до інтернету, але ви їм не користуєтесь), то ваш комп’ютер, можливо, був зламаний. Такий комп’ютер може використовуватися для прихованої розсилки спаму або для розмноження мережевих черв’яків.
- Підвищена активність жорстких дисків або підозрілі файли в кореневих директоріях. Багато хакери після злому комп’ютера проводять сканування зберігається на ньому в пошуках цікавих документів або файлів, що містять логіни і паролі до банківських розрахунковим центрам або систем електронних платежів кшталт PayPal. Деякі мережеві черв’яки схожим чином шукають на диску файли з адресами email, які згодом використовуються для розсилки заражених листів. Якщо ви помітили значну активність жорстких дисків навіть коли комп’ютер стоїть без роботи, а в загальнодоступних папках стали з’являтися файли з підозрілими назвами, це також може бути ознакою злому комп’ютера або зараження його операційної системи шкідливою програмою.
- Велика кількість пакетів з одного і того ж адреси, зупиняється персональним фаєрволом. Після визначення мети (наприклад, діапазону IP-адрес якої-небудь компанії або домашньої мережі) хакери зазвичай запускають автоматичні сканери, які намагаються використовувати набір різних експлойтів для проникнення в систему. Якщо ви запустите персональний міжмережевий екран (фундаментальний інструмент у захисті від хакерських атак) і помітите нехарактерно висока кількість зупинених пакетів з одного і того ж адреси, то це – ознака того, що ваш комп’ютер атакують. Втім, якщо ваш міжмережевий екран повідомляє про зупинку подібних пакетів, то комп’ютер, швидше за все, в безпеці. Проте багато що залежить від того, які запущені сервіси відкриті для доступу з інтернету. Так, наприклад, персональний міжмережевий екран може і не впоратися з атакою, спрямованої на працюючий на вашому комп’ютері FTP-сервіс. У даному випадку рішенням проблеми є тимчасова повне блокування небезпечних пакетів до тих пір, поки не припиняться спроби з’єднання. Більшість персональних міжмережевих екранів володіють подібною функцією.
- Постійний антивірусний захист вашого комп’ютера повідомляє про присутність на комп’ютері троянських програм або бекдор, хоча в іншому все працює нормально. Хоч хакерські атаки можуть бути складними і незвичайними, більшість зломщиків покладається на добре відомі троянські утиліти, що дозволяють отримати повний контроль над зараженим комп’ютером. Якщо ваш антивірус повідомляє про упіймання подібних шкідливих програм, то це може бути ознакою того, що ваш комп’ютер відкритий для несанкціонованого віддаленого доступу.
UNIX-комп’ютери:
- Файли з підозрілими назвами в папці «/ tmp». Безліч експлойтів у світі UNIX покладається на створення тимчасових файлів у папці «/ tmp», які не завжди видаляються після злому системи. Це ж справедливо для деяких черв’яків, що заражають UNIX-системи; вони рекомпіліруют себе в папці «/ tmp» і потім використовують її в якості «домашньої».
- Модифіковані виконувані файли системних сервісів на зразок «login», «telnet», «ftp», «finger» або навіть більш складних типу «sshd», «ftpd» та інших. Після проникнення в систему хакер зазвичай робить спробу вкоренитися в ній, помістивши бекдор в один із сервісів, доступних з інтернету, або змінивши стандартні системні утиліти, використовувані для підключення до інших комп’ютерів. Подібні модифіковані виконувані файли зазвичай входять до складу rootkit і приховані від простого прямого вивчення. У будь-якому випадку, корисно зберігати базу з контрольними сумами всіх системних утиліт і періодично, відключившись від інтернету, в режимі одного користувача, перевіряти, чи не змінилися вони.
- Модифіковані «/ etc / passwd», «/ etc / shadow» чи інші системні файли в папці «/ etc». Іноді результатом хакерської атаки стає поява ще одного користувача у файлі «/ etc / passwd», який може віддалено зайти в систему пізніше. Слідкуйте за всіма змінами файлу з паролями, особливо за появою користувачів з підозрілими логінами.
- Поява підозрілих сервісів в «/ etc / services». Установка бекдора в UNIX-системи найчастіше здійснюється шляхом додавання двох текстових рядків у файли «/ etc / services» і «/ etc / ined.conf». Слід постійно стежити за цими файлами, щоб не пропустити момент появи там нових рядків, що встановлюють бекдор на раніше закинутий або підозрілий порт.
