89、网络安全：发现、应对与清理入侵者全攻略

网络安全：发现、应对与清理入侵者全攻略

在网络世界中，保障系统安全是至关重要的。当发现系统可能存在入侵者时，我们需要采取一系列有效的措施来应对。本文将详细介绍发现入侵者、联系相关人员、清除入侵者以及清理后续影响的方法和步骤。

发现入侵者

在排查入侵者时，会遇到诸多挑战。比如，通过常规方法难以锁定入侵者，因为他们可能仅将远程机器作为中继点。像“Wonder Hacker”登录到“ttyp1”（另一个虚拟终端），很可能是从其他机器而来，仅把“robot.ocp.com”当作中继。通常我们可能看不到类似“Wonder Hacker”这样明显的用户名，只能看到看似合法的用户列表，需要猜测谁是入侵者。而且，即使看到特定的列表，也不能轻易认定相关人员。例如，“Dr. Layson”可能利用未在登录会话中列出的虚拟终端（如“xterm”）进行工业间谍活动。此外，机器可能被篡改，导致“finger”命令的输出不能真实反映远程系统的使用情况，甚至该站点的“finger”守护进程可能已被禁用，从而无法获取任何信息。

若在远程计算机有账户，可登录该计算机，找出正在运行进入本地计算机的“rlogin”或“telnet”命令的用户。同时，建议联系远程计算机的系统管理员，告知其存在的问题。

联系未知计算机的系统管理员

在Unix系统中，往往没有正式的机制来确定远程机器系统管理员的姓名和电话号码。不过，我们可以通过以下方法来解决这个问题：
- 联系事件响应团队或指定安全人员 ：可以尝试联系组织内相应的事件响应团队或指定的安全人员，获取相关信息。
- 使用“whois”命令查询