Lawrence Abrams:使用补丁管理工具和人工干预,确认所有的计算机已经安装了防病毒软件、间谍软件清除软件和最新的Windows Update。每一台电脑不仅需要用防病毒软件武装起来,还需要安装至少两种反间谍程序。
Kevin Beaver:如果没有进行正式的调查,那么此时关心的主要事情是将机器重新接入网络时,确保它是干净的。这些可能包括使用知名的恢复工具进行恢复,或者在脱离网络的情况下,启动此台计算机,然后运行不同的工具,比如反间谍软件、反病毒软件、Rootkit检测/清除工具、TCP/UDP端口映射工具、具有应用程序防护的个人_blank">防火墙软件等,来确认它是干净的。
同时,更改任何可能存储于本地系统的密码(Windows的、AIM的,等等)。一旦机器被清理干净,在将它放回网络之前,你就能够在它上面安装一个网络分析工具(这方面商业软件Sniffer――http://www.networkgeneral.com/或EtherPeek――http://www.wildpackets.com/更适合,也更容易使用)。
下一步要做的是开始抓包,或者至少监控协议和连接,以确认没有令人怀疑的或恶意的东西继续出现在网络中。
Tony Bradley:假设在电脑和网关以及主DNS服务器之间的ping正常,我将对外部的Web站点进行tracert,以确定到底通信在哪里发生了问题。假设所使用的系统为Windows操作系统,我将检查事件、系统和安全日志,以找到相关的信息和可疑活动的证据。显然,使用Netstat扫描发现的端口直接调查。我将使用Google搜索那些可疑的端口号,以辨认是否有使用这些特殊端口的知名的特洛伊木马、后门程序或其它的恶意程序。
你的反应,包括初始反应和长期反应,以来与你所在公司的策略和你自己的能力。许多功能的策略只是简单的重新格式化或重新镜像一台机器,这看起来是一种折中的办法,这样做实际上保证了将问题移除――至少短期内能够移除。
如果需要进行更为渗入的法庭调查,则此台机器必须进行隔离,并且要将它的磁盘创建一个镜像。但是,做到这些需要考虑人力、设置和时间资源,你找到的结果与花费在找它们的投资上的对比,可能并不值得。
你被黑了:第四阶段――预防
Lawrence Abrams:一定要使用补丁管理系统保证电脑补丁的及时性和最新性。而不定管理系统允许登录到网络上的远程用户获得最新的补丁,并在它们的计算机上安装。
另外,还需要购买内容过滤设备,比如_blank">防火墙。这类设备允许你过滤安全威胁、垃圾邮件和那些知名的带有恶意程序的Web站点,它们还会在某台机器执行端口扫描或其它不正常行为时,向你发出警告。
每夜或每周进行反病毒和反间谍扫描也一定要安排在时间表内。间谍软件和病毒已经成为可交换的具有相等威胁的两个不受人喜欢的东西。为已知的端口创建_blank">防火墙存取规则在你的网络上特别有用,比如为Internet多线交谈(Internet Relay Chat,_gci214040,00.html">http://searchwindowssecurity.techtarget.com/sDefinition/0,290660,sid45_gci214040,00.html)创建规则。这将允许你在机器受到感染后,通过检查_blank">防火墙日志,快速找到可能出现问题的点。
Kevin Beaver:一些实用措施将能够巩固每一个用户工作站的安全,这些措施包括组策略,当用户接入网络时实用集中的补丁管理,实施一个安全策略,培训用户在远程工作时如何打上他们应该打的补丁(不是一个好选择,但总好过什么都不做)。同样,你肯定想安装反间谍软件、反病毒软件和带有应用程序防护的_blank">防火墙软件,譬如BlackICE(_MAIN.Entry10?V1=253470&PN=1&SP=10023&xid=26412&CID=0&DSP=&CUR=840&PGRP=0&CACHE_ID=0">http://www.digitalriver.com/dr/v2/ec_MAIN.Entry10?V1=253470&PN=1&SP=10023&xid=26412&CID=0&DSP=&CUR=840&PGRP=0&CACHE_ID=0)、Zone Alarm(http://www.zonelabs.com/store/content/home.jsp)等等。这些组合化的措施将给你一个相对健壮的环境,是一种很不错的解决方案。
Tony Bradley:在预防未来的问题方面,你可以采取一个广泛的主动的方案,这也以来于你最终想解决的问题到底是什么。
建立策略和使用工具,确保远程和移动用户能够接收到他们的病毒更新,以及他们需要的补丁程序。基于主机的入侵预防系统和个人_blank">防火墙软件同样能够帮助这些用户远离未来的攻击。