Как обнаружить хакерскую атаку на Windows
🕛 14.02.2008, 17:25
Большинством уязвимостей можно воспользоваться множеством способов. Дляхакерской атаки можно использовать один эксплойт, несколько эксплойтов
одновременно, неверные настройки программных компонентов или даже
программу-бэкдор, установленную в операционную систему в процессе предыдущей
атаки.
Из-за этого детектирование хакерской атаки становится не самой простой задачей,
особенно для неопытного пользователя. В этом разделе мы постараемся
сформулировать советы, способные помочь читателю определить, подвергается ли его
компьютер хакерской атаке или же защита компьютера уже была взломана ранее.
Помните, что, как и в случае вирусов, никто не дает 100% гарантии, что вы
сможете зафиксировать хакерскую атаку подобными способами. Впрочем, если ваша
система уже взломана, то ей наверняка будут присущи некоторые из перечисляемых
ниже признаков.
*Подозрительно высокий исходящий трафик. Если вы пользуетесь дайлапом или
ADSL-подключением и заметили необычно большое количество исходящего сетевого
трафика (в частности, проявляющегося, когда ваш компьютер работает и подключен к
интернету, но вы им не пользуетесь), то ваш компьютер, возможно, был взломан.
Подобный компьютер может использоваться для скрытой рассылки спама или для
размножения сетевых червей.
* Повышенная активность жестких дисков или подозрительные файлы в корневых
директориях. Многие хакеры после взлома компьютера производят сканирование
хранящейся на нем информации в поисках интересных документов или файлов,
содержащих логины и пароли к банковским расчетным центрам или системам
электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут
на диске файлы с адресами email, которые впоследствии используются для рассылки
зараженных писем. Если вы заметили значительную активность жестких дисков даже
когда компьютер стоит без работы, а в общедоступных папках стали появляться
файлы с подозрительными названиями, это также может быть признаком взлома
компьютера или заражения его операционной системы вредоносной программой.
* Большое количество пакетов с одного и того же адреса, останавливаемые
персональным межсетевым экраном. После определения цели (например, диапазона
IP-адресов какой-либо компании или домашней сети) хакеры обычно запускают
автоматические сканеры, пытающиеся использовать набор различных эксплойтов для
проникновения в систему. Если вы запустите персональный межсетевой экран
(фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно
высокое количество остановленных пакетов с одного и того же адреса, то это признак того, что ваш компьютер атакуют. Впрочем, если ваш межсетевой экран
сообщает об остановке подобных пакетов, то компьютер, скорее всего, в
безопасности. Однако, в зависимости от того, какие запущенные сервисы открыты
для доступа из интернета, персональный межсетевой экран может и не справиться с
атакой, направленной, например, на работающий на вашем компьютере FTP-сервис. В
данном случае решением проблемы является временная полная блокировка опасных
пакетов до тех пор, пока не прекратятся попытки соединения. Большинство
персональных межсетевых экранов обладают подобной функцией.
* Постоянная антивирусная защита вашего компьютера сообщает о присутствии на
компьютере троянских программ или бэкдоров, хотя в остальном все работает
нормально. Хоть хакерские атаки могут быть сложными и необычными, большинство
взломщиков полагается на хорошо известные троянские утилиты, позволяющие
получить полный контроль над зараженным компьютером. Если ваш антивирус сообщает
о поимке подобных вредоносных программ, то это может являться признаком того,
что ваш компьютер открыт для несанкционированного удаленного доступа.