Como detectar um ataque de hackers

Vulnerabilidades maioria dos computadores pode ser explorada numa variedade de maneiras. Ataques hacker pode utilizar uma exploração única e específica, explora várias ao mesmo tempo, um erro de configuração em um dos componentes do sistema ou mesmo a partir de uma porta de um ataque anterior.

Devido a isso, a detecção de ataques de hackers não é uma tarefa fácil, especialmente para um usuário inexperiente. Este artigo dá algumas orientações básicas para ajudar você a descobrir ou f sua máquina está sob ataque ou se a segurança do seu sistema tenha sido comprometida. Tenha em mente assim como com vírus, não há garantia de 100% você irá detectar um hacker atacar desta forma. No entanto, há uma boa chance de que se o seu sistema foi invadido, ele irá exibir um ou mais dos seguintes comportamentos.
Máquinas Windows:

* Suspiciously alto tráfego de rede de saída. Se você está em um ADSL conta dial-up ou usando e perceber um volume anormalmente elevado de rede de saída (tráfego, especialmente quando o computador está ocioso ou não necessariamente upload de dados), então é possível que seu computador foi comprometida. O computador pode estar sendo usado tanto para enviar spam ou por um worm de rede que é replicar e enviar cópias de si mesmo. Para a conexão, isso é menos relevante - é bastante comum ter a mesma quantidade de tráfego de saída, como o tráfego de entrada, mesmo se você não está fazendo nada mais do que visitar sites ou download de dados da Internet.

* Aumento da atividade de disco ou arquivos suspeitos à procura nos diretórios de raiz de todas as unidades. Depois de invadir um sistema, muitos hackers executar uma varredura em massa por quaisquer documentos interessantes ou arquivos contendo senhas ou logins para contas bancárias ou ePayment tais como PayPal. Da mesma forma, alguns vermes procurar o disco para arquivos contendo endereços de e-mail para usar para propagação. Se você observar a atividade do disco principal, mesmo quando o sistema estiver ocioso em conjunto com arquivos em pastas nomeadas suspeita comuns, isso pode ser uma indicação de um hack de sistema ou infecção por malware.

* Grande número de pacotes que vêm de um único endereço a ser parado por um firewall pessoal. Depois de localizar um alvo (por exemplo, uma faixa empresa IP ou um grupo de usuários de cabo em casa) hackers normalmente executado ferramentas automatizadas de sondagem que tentam usar várias façanhas para entrar no sistema. Se você executar um firewall pessoal (um elemento fundamental na proteção contra ataques de hackers) e observe um número anormalmente elevado de pacotes parados provenientes do mesmo endereço, então esta é uma boa indicação de que a sua máquina está sob ataque. A boa notícia é que se o seu firewall pessoal está relatando esses ataques, provavelmente você está seguro. No entanto, dependendo da quantidade de serviços que você exponha à Internet, o firewall pessoal pode não proteger contra um ataque dirigido a um serviço específico de FTP a correr em seu sistema que foi tornado acessível a todos. Neste caso, a solução é a de bloquear o IP ofender temporariamente até que as tentativas de ligação parar. Muitos firewalls pessoais e IDSs têm tal característica construído dentro

* O seu antivírus residente de repente começa a informar que backdoors ou trojans foram detectados, mesmo que você não tenha feito nada fora do comum. Embora os ataques de hackers podem ser complexas e inovadoras, muitos dependem de trojans conhecidos ou backdoors para ter acesso total a um sistema comprometido. Se o componente residente do seu antivírus é detectar e relatar malware, isso pode ser uma indicação de que seu sistema pode ser acessado de fora.

Unix máquinas:

* Suspiciously chamado arquivos na pasta / tmp. Muitas façanhas no mundo Unix contar com a criação de arquivos temporários na pasta padrão / tmp que nem sempre são apagados após o corte do sistema. O mesmo é verdade para alguns worms conhecidos para infectar sistemas Unix, eles recompilar-se na pasta / tmp e usá-lo como 'casa'.

* Modificado binários do sistema, tais como 'login', 'telnet', 'ftp', 'dedo' ou daemons mais complexos, 'sshd', 'ftpd' e similares. Depois de quebrar em um sistema, um hacker geralmente tenta garantir o acesso com o plantio de um backdoor em um dos daemons com acesso directo a partir da Internet, ou modificando utilitários do sistema padrão que são usados ​​para conectar a outros sistemas. Os binários modificados são geralmente parte de um rootkit e, geralmente, são "stealth" contra simples inspeção direta. Em todos os casos, é uma boa idéia para manter um banco de dados de checksums para cada utilitário do sistema e verificar periodicamente os com o sistema off-line, no modo de usuário único.

* Modificado / etc / passwd, / etc / shadow, ou outros arquivos de sistema na pasta / etc. Às vezes, ataques de hackers podem adicionar um novo usuário no arquivo / etc / passwd que pode ser remotamente registrado em uma data posterior. Procure por quaisquer nomes de usuários suspeitos no arquivo de senhas e monitorar todas as adições, especialmente em um sistema multi-usuário.

* Serviços suspeitos adicionado ao arquivo / etc / services. Abrindo um backdoor em um sistema Unix é por vezes uma questão de adicionar duas linhas de texto. Isso é feito modificando o arquivo / etc / serviços, bem como o / etc ined.conf /. Acompanhar de perto esses dois arquivos para todas as adições que podem indicar um backdoor ligado a uma porta não utilizada ou suspeito....