Kebanyakan komputer kerentanan dapat dieksploitasi dalam berbagai cara. Serangan hacker dapat menggunakan satu eksploitasi tertentu, beberapa eksploitasi pada saat yang sama, sebuah misconfiguration di salah satu komponen sistem atau bahkan backdoor dari serangan sebelumnya.
Karena ini, mendeteksi serangan hacker bukanlah tugas yang mudah, terutama bagi pengguna yang belum berpengalaman. Artikel ini memberikan beberapa panduan dasar untuk membantu Anda mengetahui baik jika komputer anda sedang diserang atau jika keamanan sistem anda telah diganggu. Diingat sama seperti dengan virus, tidak ada 100% menjamin anda akan mendeteksi serangan hacker dengan cara ini. Namun, ada kesempatan baik bahwa jika sistem anda telah hack, itu akan menampilkan satu atau lebih dari perilaku berikut.
Jendela mesin:
* Mencurigakan tinggi trafik jaringan outgoing. Jika anda memiliki account dial-up atau menggunakan ADSL dan pemberitahuan yang sangat tinggi volume jaringan keluar (lalu lintas terutama jika komputer Anda idle atau tidak harus meng-upload data), maka kemungkinan komputer anda telah diganggu. Komputer Anda dapat digunakan baik untuk mengirim spam atau oleh cacing jaringan yang bereplikasi dan mengirimkan salinan dari dirinya sendiri. Untuk sambungan kabel, hal ini kurang relevan - itu adalah sangat umum untuk memiliki jumlah yang sama keluar masuk lalu lintas sebagai lalu lintas bahkan jika Anda melakukan tidak lebih dari browsing situs atau download data dari Internet.
* Peningkatan aktivitas disk atau curiga melihat file dalam direktori akar dari setiap drive. Setelah hacking ke dalam sistem, banyak hacker menjalankan scan besar untuk setiap dokumen atau file yang menarik yang berisi password atau login untuk rekening bank atau epayment seperti PayPal. Demikian pula, beberapa cacing mencari disk untuk file yang berisi alamat email yang digunakan untuk propagasi. Jika anda melihat aktivitas disk yang besar bahkan ketika sistem sedang idle bersama dengan curiga bernama file dalam folder biasa, ini mungkin merupakan indikasi dari sebuah sistem hack atau infeksi malware.
* Besar jumlah paket yang datang dari alamat satu dihentikan oleh firewall pribadi. Setelah menemukan sasaran (mis. rentang IP perusahaan atau kabel rumah genangan pengguna) biasanya dijalankan otomatis hacker menyelidik alat yang mencoba untuk menggunakan berbagai eksploitasi untuk memecah ke dalam sistem. Jika Anda menjalankan firewall pribadi (elemen mendasar dalam melindungi terhadap serangan hacker) dan perhatikan jumlah yang sangat tinggi dari berhenti paket yang datang dari alamat yang sama maka ini adalah indikasi yang baik bahwa mesin anda sedang diserang. Berita baiknya adalah bahwa jika firewall pribadi pelaporan serangan ini, Anda mungkin aman. Namun, tergantung pada berapa banyak layanan yang Anda mengekspos ke Internet, firewall pribadi mungkin gagal untuk melindungi Anda terhadap serangan yang diarahkan pada layanan FTP tertentu yang berjalan di sistem anda yang telah dibuat dapat diakses oleh semua. Dalam kasus ini, solusinya adalah memblokir IP yang menyinggung sementara sampai upaya sambungan berhenti. Banyak personal firewall dan IDSs memiliki fitur built in
* Anda antivirus penduduk tiba-tiba mulai melaporkan bahwa backdoors atau trojan telah terdeteksi, bahkan jika Anda tidak melakukan sesuatu yang luar biasa. Meskipun serangan hacker dapat menjadi kompleks dan inovatif, banyak bergantung pada trojan dikenal atau backdoors untuk mendapatkan akses penuh ke sistem dikompromikan. Jika komponen penduduk adalah antivirus Anda mendeteksi dan pelaporan seperti malware, hal ini mungkin merupakan indikasi bahwa sistem anda dapat diakses dari luar.
Unix mesin:
* Mencurigakan bernama file dalam / tmp folder. Banyak memanfaatkan di dunia Unix mengandalkan menciptakan file-file sementara di / tmp folder standar yang tidak selalu dihapus setelah sistem hack. Hal yang sama berlaku untuk beberapa cacing diketahui menginfeksi sistem Unix mereka mengkompilasi ulang diri mereka di / tmp folder dan menggunakannya sebagai 'rumah'.
* Modified biner sistem seperti 'login', 'telnet', 'ftp', 'jari' atau lebih kompleks daemon, 'sshd', 'ftpd' dan sebagainya. Setelah menyusup ke suatu sistem, hacker biasanya mencoba untuk mengamankan akses dengan menanam backdoor di salah satu daemon dengan akses langsung dari Internet, atau dengan memodifikasi sistem standar utilitas yang digunakan untuk koneksi ke sistem lain. Binari yang diubah biasanya bagian dari rootkit dan umumnya, adalah 'stealthed' melawan langsung inspeksi sederhana. Dalam semua kasus, ini adalah ide yang baik untuk menjaga database checksum untuk setiap sistem utilitas dan secara berkala memverifikasi mereka dengan sistem offline, dalam modus pengguna tunggal.
* Modifikasi / etc / passwd, / etc / shadow, atau file lain di / etc folder. Kadang-kadang serangan hacker dapat menambahkan user baru di / etc / passwd yang dapat remote login di kemudian hari. Cari nama pengguna yang mencurigakan dalam file password dan memantau semua penambahan, terutama pada sistem multi-user.
* Layanan Mencurigakan ditambahkan ke / etc / services. Membuka backdoor di sistem Unix kadang-kadang masalah menambahkan dua baris teks. Hal ini dicapai dengan memodifikasi / etc / services dan juga / etc / ined.conf. Terus memantau dua file untuk setiap tambahan yang mungkin menunjukkan backdoor terikat ke port yang tidak terpakai atau mencurigakan.
Source : Grup Facebook Ethical Hacker Team
Chat with me
0 komentar:
Posting Komentar