攻擊者入侵某個係統，總是由某個主要（yào）目的所驅使的。例如炫耀技術，得到企業機密數據，破壞（huài）企（qǐ）業正常的業務流程等等，有時也有可（kě）能在入侵後，攻擊者的攻擊（jī）行為，由某種目的變成（chéng）了另一種目的，例如，本來是炫耀技術，但（dàn）在進入係（xì）統後，發現了一些重要的機密數據，由於利益的驅使，攻擊者最終竊取了這些機（jī）密數據。

而攻擊者入侵係統的目的不同，使用的攻擊方（fāng）法（fǎ）也會不同，所造成的影響範圍和損失（shī）也就不會相同。因此，在處理不同的係統（tǒng）入侵事件時，就應當（dāng）對症下（xià）藥，不同的係統入侵類型，應當以不同的處理方（fāng）法來解決，這樣，才有可能做到有的放矢，達到最佳的處（chù）理效果。

一、 以炫耀技術為目的的係（xì）統入（rù）侵恢複

有一部分（fèn）攻擊者入侵係統的目的，隻是為了向同行（háng）或其他（tā）人炫耀其高超的網（wǎng）絡技術，或者是為了實驗某個係統漏洞而進行的（de）係統入侵活（huó）動。對於這類係統入侵事件，攻擊者一般（bān）會在被入侵（qīn）的係統中留下一些證據來證明他已（yǐ）經成功入侵了這個（gè）係統，有時還（hái）會（huì）在互聯網上的某個論壇中公布他（tā）的入侵成果，例如攻擊者入侵的是一台 WEB服務器，他們就會通過更改此WEB站點的首頁信息來說明自己已經入侵了這個係統，或者會通過安裝後門的方（fāng）式，使被入侵的係統成他的肉雞，然後公然出售或（huò）在某些論壇上公布，以（yǐ）宣告自己已經入侵了某係統。也就是說，我（wǒ）們可以將這種類型的（de）係統入侵（qīn）再細分為以控製係統為目的的係統入侵和修改服務內容為目的的係統入侵（qīn）。

對於以修改服（fú）務內容為目的的係統入侵活動，可以不需（xū）要停機（jī）就可改完成係統恢（huī）複工作。

1.應當采用的處理方式

(1)、建立（lì）被入侵係（xì）統當前完整係統快照，或隻保存被修改（gǎi）部分的快照，以便（biàn）事後分析和留作證據。

(2)、立即通（tōng）過備份恢複被修改的網（wǎng）頁。

(3)、在Windows係（xì）統下，通（tōng）過網（wǎng）絡監控軟件或“netstat -an”命令來查看係統目前的網絡（luò）連接情況，如果發現不正常的網絡連接，應當立即斷開與它的連接。然後通過查看係統進程、服務和分（fèn）析係統和服務的日誌文件，來檢（jiǎn）查係統攻擊者在係統中還做了什（shí）麽樣的操作，以便做相應（yīng）的恢複。

(4)、通過分析係統日誌文件，或（huò）者通過弱點檢測工具來了解攻擊者入侵（qīn）係統所利（lì）用的（de）漏洞。如果攻擊（jī）者（zhě）是（shì）利用係統或網（wǎng）絡應用程序的漏洞來入侵係統的，那麽，就應當尋找相應的係統或應用程（chéng）序漏洞補丁來修補它，如果目前（qián）還沒有這些漏洞的相關補丁，我們就應當使用其它的手段來暫時防範再次利用這些漏洞的入（rù）侵（qīn）活動。如果攻擊者是利用其（qí）它方式（shì），例如社（shè）會工程方式入（rù）侵係（xì）統的，而檢查係統中不存在新的漏洞，那麽就可以不必做這一個步驟，而必需（xū）對社會工程攻擊實施的（de）對象進行了（le）解和（hé）培訓。

(5)、修複係統（tǒng）或應用程序漏洞後，還應當添加相應的防火牆規則（zé）來防止此類事件的（de）再次發生，如果安裝有（yǒu）IDS/IPS和殺毒軟件，還應當升級它們的特征庫。

(6)、最後，使用係（xì）統或相應的應用程序檢（jiǎn）測軟件對係統或服務進行一次徹底的弱點檢測，在檢（jiǎn）測之（zhī）前要確保其檢測（cè）特征庫是最新的。所有工作完成後，還應當在後續的一段（duàn）時間（jiān）內，安排專人對此（cǐ）係統進行實時監控，以確信係（xì）統已經（jīng）不會再次被此類入侵事件攻擊。

如果攻擊者攻擊係統是為了（le）控製係統成為肉雞（jī），那麽，他們為了能夠長期控製係統，就會在係（xì）統中安裝相應的後（hòu）門程序。同時，為了防止被係統用戶或管理員發現，攻擊者就會千（qiān）方百計地隱藏他在係統中的操作（zuò）痕跡，以及隱藏他所安裝的後門。

因而，我們隻能通過查看係統進程（chéng）、網絡連接狀（zhuàng）況和端（duān）口使用情況（kuàng）來了解係統是否已經被攻擊者控製，如果（guǒ）確定係統（tǒng）已經成為了攻擊者的肉雞，那麽就應（yīng）當按下（xià）列方式來進行（háng）入侵恢複：

(1)、立即分析係（xì）統被入侵的具體時間（jiān），目前造成（chéng）的影響範圍和嚴重程度，然後將被入侵（qīn）係統建立（lì）一（yī）個快照，保存當前受損狀況，以（yǐ）更（gèng）事後分（fèn）析和留作證據。

(2)、使用網絡連接監控軟件或端口監視軟件檢測係統當前已經建立的網（wǎng）絡連接和端口使用情況，如果發現存在非法的網絡連接，就立即將它們全部斷開，並在防火牆中添加對此IP或端口的禁用（yòng）規則。

(3)、通過Windows任務管理器，來檢查是否有非法（fǎ）的進程或服務在運（yùn）行，並且（qiě）立即結束找到的（de）所有（yǒu）非法進（jìn）程。但是，一些通過特殊（shū）處理的後門進（jìn）程是（shì）不會出現在 Windows任務管理器中，此時，我們就可以通過使用Icesword這樣（yàng）的工具軟件來找到（dào）這些（xiē）隱藏（cáng）的進程、服務和加載的內核模塊，然後將（jiāng）它們全部結束任務。

可是，有時（shí）我們並不能通（tōng）過這些方式終（zhōng）止某些後門程序的進程（chéng），那麽，我們就隻（zhī）能暫停業（yè）務，轉到安全（quán）模式下進行操作。如果在安全模式（shì）下還不（bú）能結束掉這些後門進程的運行，就（jiù）隻能對（duì）業務數據做備份後（hòu），恢複係（xì）統到（dào）某個安全的時間段，再恢複（fù）業（yè）務數據。

這樣，就會造（zào）成業務中斷事件，因此，在處理時速度應當盡量快，以減少由於業務中斷造成的影響（xiǎng）和損失。有時，我們還（hái）應當檢測係統服務中是否（fǒu）存在非法注冊的後門服（fú）務，這可以通過打開“控製（zhì）麵板”—“管理工具”中的“服務”來檢查，將找（zhǎo）到的非法服務全部禁用。

(4)、在尋（xún）找後門（mén）進（jìn）程和服務時，應當將找到的進（jìn）程和服務名稱全部記錄下來（lái），然後在係統注冊表和係統分區中搜索這些文件，將（jiāng）找到的與此後門相關（guān）的所有數據全部刪除。還應將“開始（shǐ）菜單”—“所（suǒ）有程序（xù）”—“啟動”菜單（dān）項中的（de）內容全部刪除。

(5)、分析係統日誌，了解攻擊（jī）者是通過什（shí）麽途徑入侵係（xì）統的，以及他在係統中做了什（shí）麽樣（yàng）的操作。然後將攻擊者在係統中所做的所有修改全部更正過來，如（rú）果他是利用係統或應用程序漏洞入侵係統（tǒng）的，就應當找到相應的漏洞補丁來修複這個漏（lòu）洞（dòng）。

如果目前沒有這個漏洞的（de）相關補丁（dīng），就應當使用其它（tā）安全手段，例如通過防火牆來阻止某些IP地址的網絡連接（jiē）的方式，來暫時防範通（tōng）過這些漏洞的入侵攻擊，並且要不斷關注這（zhè）個漏洞的最新狀態（tài），出現相關修複補丁後就（jiù）應當立即修改。給係統和應（yīng）用程序打補（bǔ）丁，我們可以通過相應的軟件來自動化進行。

(6)、在完（wán）成（chéng）係統修複工作後，還（hái）應當使用弱點檢測工具來對係統和應用程序進行一（yī）次全麵的（de）弱（ruò）點檢測，以確保沒有已經的係統或（huò）應用程序弱點出現（xiàn）。我們還（hái）應用使用手動的方式檢查係（xì）統中是（shì）否（fǒu）添加了新的用戶帳戶，以及被攻擊做修改了相應的安裝設置，例如修（xiū）改了防火牆過濾規則（zé），IDS/IPS的檢測靈敏度（dù），啟用被攻擊者禁（jìn）用了的服務和安（ān）全軟件。

2.進一步保證入侵（qīn）恢複的成果

(1)、修改係統管理員或其它（tā）用戶帳戶的名稱和登錄密碼;

(2)、修改數據庫或其它應用程序的管理員和用戶賬戶名稱和登錄密（mì）碼;

(3)、檢查防火牆規則;

(4)、如果係統中安裝有（yǒu）殺毒軟件和IDS/IPS，分別更新它們的病毒庫和攻擊特征庫;

(5)、重新設置用戶權限;

(6)、重新設置文件的訪問控製規則;

(7)、重新設置數（shù）據庫的訪問控製規則;

(8)、修改係統中與網絡操作相（xiàng）關的所有帳戶的名稱和登錄密碼等。

當我們（men）完成上（shàng）述所示的所有係統恢複和（hé）修補任（rèn）務後，我們（men）就可以對（duì）係統和服務進行一次完全備份，並且將新的完全備份與（yǔ）舊的完全備份分開保存（cún）。

在這裏要注意的（de）是：對於以控製係統為（wéi）目的的入（rù）侵活（huó）動，攻擊者會想方設法（fǎ）來隱藏自己不被用戶發現。他們（men）除了通過修改（gǎi）或刪除係統（tǒng）和防火牆等產生（shēng）的與他操作相關的日誌文件外，高明的黑客還會通（tōng）過一些軟件來修改其所創建、修（xiū）改文件（jiàn）的基（jī）本屬性信息，這些基本屬（shǔ）性包括文（wén）件的最後訪問時間，修改時間等，以防止用戶通過查看文件屬性來了解係統已經被入（rù）侵（qīn）。因此，在檢測係統文件是否被修（xiū）改時，應當使用RootKit Revealer等軟件來進行文件完整性（xìng）檢測。

二、 以得到或損壞係統中（zhōng）機密數據為目的的（de）係統入侵恢複

現在，企業IT資源中什麽最值錢，當（dāng）然是（shì）存在於這（zhè）些設（shè）備當中的各種機密數據了。目前，大部（bù）分攻擊者（zhě）都是以獲取企業中機密數（shù）據為目的而進行的相應係統入侵活動，以便能夠通過出售這些盜取的機密數據來獲取非法利益。

如果企業的機（jī）密（mì）數據是以文件的方式直接保存在係統中某（mǒu）個分區的文件夾當中，而且這些文件夾又沒有通過加密或其它安全手段進行保護，那麽，攻擊者入侵係統後，就可以輕鬆（sōng）地得到這些機密數（shù）據。但是，目前中小企業中有相當一部分的企業還在使用這（zhè）種沒有安全防範的文件（jiàn）保（bǎo）存方式，這樣就給（gěi）攻擊者提供（gòng）大在（zài）的方便。

不過，目（mù）前還是有絕大部分的中小企業都是將數據保存（cún）到了專門的存儲設備上，而且，這些用（yòng）來（lái）專門保（bǎo）存機密數（shù）據的存儲（chǔ）設備，一般還使用硬件防火牆來進行進一步的安全防範（fàn）。因此，當攻擊者入侵係統後，如（rú）果想得到這些存儲設備中的機密數據，就必需對這些設（shè）備做進一步的入侵攻（gōng）擊（jī），或者利用網（wǎng）絡嗅探器來得到在內（nèi）部局域網中傳輸的機密數據。

機密數據對於一些中小企業來說，可以說是（shì）一種生命，例如客戶檔案，生產計劃，新產品研（yán）究檔案，新產品圖庫，這些數據要是泄漏給了競爭對象，那麽，就有可能造成被入侵企業的破產。對於搶（qiǎng）救（jiù）以得到、破壞係統中機密數據為目的的係統入侵活動，要想最（zuì）大限度地降低入侵帶來的數據損失，最好的方法就（jiù）是在數據庫還沒有（yǒu）被攻破之（zhī）前就阻止入侵事件的（de）進一步（bù）發展。

試想（xiǎng）像一下，如果當我們發現係統（tǒng）已經被入侵之時，所有的機密數據已（yǐ）經完全泄漏或刪除，那麽，就（jiù）算我們通（tōng）過備份恢複了這些被刪除的數據，但是，由於機密數據泄漏造成的損失依然（rán）沒有減少。因（yīn）此，我（wǒ）們必需及時發現這種方式的係統（tǒng）入侵事件，隻有在（zài）攻擊者還沒有得到或刪除機密數據之前，我們（men）的恢複工作才顯得有意義。

當然，無論有沒能損失機密數據，係統被入侵後，恢（huī）複工作還（hái）是要做的。對於以得到或破壞機密數據為目的（de）的係統入侵活動，我們仍然可以按此種入侵（qīn）活動進行到了哪個階段，再將（jiāng）此種類型的（de）入侵活動細分為還沒有得（dé）到或破壞機密數據的入侵活動和已經得（dé）到或破壞（huài）了機密數據的入（rù）侵活動主兩種類（lèi）型（xíng）。