廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2005 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 避免淪為傀儡禁臠,隨時自我檢查
避免淪為傀儡禁臠,隨時自我檢查
隨時注意系統效能、網路流量及帳單金額是否有異常,做好防毒軟體、防火牆等基本防護以降低感染機率。

根據美國CERT對於傀儡程式(Bot)的定義中,特別提及傀儡程式平時並不易被察覺,因此,要避免成為駭客操弄傀儡程式下的受駭者,學會自我檢查就是自保的第一步。

"自我檢查項目"
現象1:系統效能異常
不論是企業端伺服器或是個人主機,臺灣CA(組合國際)技術顧問林宏嘉表示,「當系統莫名其妙效能越便越慢時,就必須開始留意。」這個異常包含範圍很廣,除了基本的主機處理器效能突然利用率飆高,甚至達100%外,系統出現異常存取,出現異常網址與主機相連,有使用者企圖進行密碼破解,或者是不合法的ID登入,例如Admin在非正常時間於非正常機器上登入等,這些現象,都是IT人員最容易察覺的步驟。

現象2:網路流量異常
由於傀儡程式經常是透過IRC通道對其傀儡網路下達命令,頻寬流量異常,是許多網管人員有機會在第一時間發現異常的現象,加上傀儡網路攻擊容易引發DoS(阻斷式服務攻擊),宏碁安全技術與管理處資安一部資深技術經理黃瓊瑩認為,「當網路流量出現瞬間爆量時,網管人員便需要去查察頻寬究竟是消耗在哪些系統上了。」

現象3:帳單金額異常
中華電信是臺灣最大的ISP業者,本身提供許多服務給網路使用者。中華電信網際網路處科長吳怡芳表示,曾經有駭客在系統缺乏安全防護的個人使用者電腦中,植入傀儡程式,並透過鍵盤側錄程式,側錄使用者的帳號、密碼後,冒用小額付款服務,再把帳款交給受駭者來付。因此,她說,「一旦帳單出現異常,就必須留意。」類似ISP帳單出現許多不該有的小額付款,極有可能系統已被駭。

"企業基本防護措施"
防毒軟體,永遠最新
即使防毒軟體不一定能夠有效防堵傀儡程式的入侵,但因為成效不見得達到100%,甚至因噎廢食而認為不需要安裝防毒軟體,反而是一種錯誤的作法。Seednet(數位聯合)網路安全部資深經理張富吉便說,「永遠把防毒軟體病毒碼更新到最新,有裝有保佑,畢竟,永遠有更好入侵的系統等著駭客入侵。」當然,除了防毒軟體外,避免系統出現漏洞,相關的軟體也應該維持到最新版本。

網路隔離,有賴防火牆
訊息封包路由器開始進出系統內、外網時,基本的防火牆,「除了阻擋外來的惡意程式外,也避免惡意程式發送的封包,從內部無限制的發送。」趨勢科技技術支援部臺灣區技術總監王應達說道。

除了採購其他軟、硬體防火牆外,微軟作業系統中,也推出自己的防火牆,例如,安裝ISA Server就是一種防火牆。

入侵偵測防禦,有備無患
有越來越多傀儡程式不只是走IRC通訊埠,也逐漸有走http的80埠、SMTP的25埠、POP3的100埠。賽門鐵克(Symantec)亞太區資訊安全技術顧問林育民指出,企業必須具有基本的防禦能力,網路型IDS(入侵偵測系統)/IPS(入侵防禦系統),讓企業具有自衛能力,可以透過特徵碼,先行阻擋不正常的網路封包。

微軟作業系統使用者,也可以利用ISA Server內建的IDS,進行第一層把關。透過網路隔離,看系統是否可以通過Windows Server 2003內建的IP Sec作網路驗證,允許通過網路驗證的系統可作存取。

確保主機安全,善用各種工具
確保主機安全,除了需要安裝防毒軟體、防火牆外,也可以加裝防間諜軟體,臺灣微軟營運暨行銷處伺服器平臺事業部資深行銷經理史百誠說,「微軟也提供免費的移除間諜程式的反間諜程式軟體Windows Defender,讓微軟使用者下載。」

Windows Defender也可以被動式的知道有哪些程式在運行中,避免一些傀儡程式在不知不覺中,執行某些程式或發送某些資料,微軟在下一版微軟作業系統Vista,也強化安全功能,一旦有任何傀儡等背景程式取得Admin主控權並意圖進行作業系統修改,Vista則會出現警告畫面提醒使用者注意。

此外,如果因為傀儡程式已經無法從系統中移除,Windows XP作業系統中,內含可以將檔案、使用者設定及軟體註冊等資料作鏡射備份,「避免系統需要重灌時,相關系統設定與軟體註冊碼都找不到。」史百誠說。

專家私房免費工具,作即時檢測

目前網路上有許多免費工具,可以讓企業作檢測和移除某些惡意程式,其中,「微軟也針對其伺服器用戶,提供免費下載的惡意程式移除工具(MSRT)。」史百誠說。
不過,網路潛藏危機四處可見,許多免費提供下載的共享程式,其本身甚至就是一個惡意的傀儡程式,使用者一旦下載,等於敞開大門歡迎強盜進門搶劫。

為了避免誤上賊船,網路使用者除了可以上網查詢免費的共享軟體外,賽門鐵克(Symantec)亞太區資訊安全技術顧問林育民,也提供一個他本身常用系統檢查的OpenSource軟體 Tripwire,網址是:http://www.tripwire.com/products/enterprise/ost/;他也提供另外一個共享軟體的網站,網址是:http://www.sysinternals.com/utilities/rootkitrevealer.html,可以讓高手自行找尋更好用的工具。另外,Juniper(瞻博網路) 技術經理林佶駿也提供一個共享軟體網站,企業用戶可在此尋找好用的企業自我檢查軟體。網址是:http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/freetools.htm。


資安檢查項目一覽表

伺服器端

日檢查:CPU、記憶體、硬碟容量、log登入日誌看是否有不合法的使用者,異常程式安裝或執行、關鍵任務資料備份與歸檔
周檢查:針對某些關鍵任務進行週備份、對每天檢查,但不用每天紀錄的工作進行週紀錄

月檢查:進行資料的歸檔,某些重點資料的徹底刪除。

網路端

日檢查:
1、 銀行與外部網路的連線是否暢通,包含網路銀行以及電信局到分行間的專線。
2、 備援的IDSN。
3、 檢查該銀行網路管理平臺,保留所有的登入紀錄。
4、 檢查網路頻寬,分析每一條網路內頻寬使用量,誰是最大用戶?什麼原因?
5、 防火牆、IDS/IPS也列為網路端重要檢查項目,
6、 將每天登入以及系統註冊等,進行備份。
7、 透過頻寬管理器QoS進行網路檢查。 

周檢查:針對某些暫時沒使用的設備進行檢測。

月檢查:製作網管月報,針對銀行內各種重要服務的可用性,用燈號顯示危急程度,並以圖表顯示原因。

用戶端
月檢查:
1、每月定期掃瞄全行的電腦,是否有符合資安規定,安裝防毒軟體並更新到最新的病毒碼。
2、將檢查結果,列在網管月報中,做為防毒稽核。
3、每一臺伺服器負責同仁,若進行弱點掃瞄時有狀況,負責的同仁不僅要簽名,也要在預定時間內,改善相關疏失。



爸爸 你一路好走
獻花 x2 回到頂端 [樓 主] From:台灣 和信超媒體寬帶網 | Posted:2006-11-11 00:35 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.051719 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言