علائم یک سیستم هک شده

از این که هک شده اید حس عجیب و مضحکیدارید، اما دقیقاً نمی دانید در مرحله ی بعدی چکار کنید. اگر مانند اکثرمردم باشید، نمی دانید الزاماً باید کجا را بگردید تا شواهدی برای به خطرافتادن سیستم تان بیابید. حال نگاهی می اندازیم به چند مورد از شواهدرایجتر که ممکن است پس از ایجاد عیب در سیستم پیدا کنید.

useraccount های مشکوک می بایست غیر فعال شده و جستجو کنیم چه کسی و چرا آن راایجاد کرده است. اگر سیستم auditing (بازرسی) بدرستی فعال شده باشد، auditlog ها (ثبتهای بازرسی) نشان خواهند داد چه کسی آنها را ایجاد نموده است.اگر بتوانید تاریخ و زمان ایجاد account را پیدا کنید و آن account در اثریک هک بوجود آمده باشد، شما یک قالب زمانی خواهید داشت که می توان در آنبه جستجوی دیگر رویدادهای audit log که ممکن است مرتبط باشد پرداخت.

بهمنظور اینکه متوجه شوید آیا برنامه ی مخربی ارتباطات ورودی را تحت کنترلدارد - که می تواند به عنوان یک پورت پنهانی برای هکر استفاده شود - ازابزارهایی مانند TCPView مربوط به Sysinternals یا Fpipe مربوط بهFoundstone استفاده کنید. این ابزارهای ویندوز نشان می دهند چه برنامههایی در حال استفاده از هر یک از پورت های باز سیستم شما هستند. در موردسیستمهای یونیکس از netstat یا lsof که درون سیستم عامل قرار دارنداستفاده کنید. از آنجا که ممکن است یک هکر باهوش netstat و lsof شما را بانسخه های تروجانی (که پورت های باز شده توسط هکرها را نشان نمی دهد)جایگزین کند، بهترین کار این است که این سیستم قربانی را با استفاده ازپورت اسکنر گمنام و رایگان nmap (از سایت insecure.org) از کامپیوتر دیگراسکن کنید. این امر به شما دو دیدگاه مختلف از پورت های باز سیستم می دهد.

هکریکه یک سرور ویندوز را مورد حمله قرار می دهد، ممکن است برنامه های اجراشده را از طریق registry در نواحی ذیل اضافه یا جایگزین کند:

• HKLM > Software > Microsoft > Windows > CurrentVersion> Run
• HKCU > Software > Microsoft > Windows > CurrentVersion> Run

نرمافزارهای مخرب نیز ممکن است از طریق دستورهای اجرای سیستم عامل اجرا شود.به منظور اینکه ببینید چه برنامه هایی در دستور اجرای یک سیستم ویندوزقرار گرفته است، به command prompt بروید و تایپ کنید AT . در یک سیستمیونیکس از فرمان های cron یا crontab استفاده کنید تا لیست فعالیت هاییرا که در دستور اجرا (schedule) قرار دارند ببینید.

هکرانی که بهسیستم یونیکس حمله می کنند، ممکن است از یک root kit استفاده کنند که بهآنان کمک می کند با استفاده از یک خلأ آسیب پذیری در سیستم عامل یا برنامههای نصب شده، به root access دست پیدا کنند. با توجه به آن که برای هکرانroot kit های زیادی وجود دارد، تعیین این که کدام فایل ها دستکاری شده اندبسیار مشکل است. برنامه هایی وجود دارند که به این امر کمک می کنند، مانندchrookit.

برای یک هکر هزاران راه ممکن وجود دارد تا ردپای خود رابپوشاند، اما جستجو در موارد فوق شروع بسیار خوبی برای گشت و گذار شما جهتتشخیص خطرات سیستم و حملات هکرها است.