Orzysz

Endriu48

Z Kaspersky Lab Polska
Jak wykryć atak hakera

Większość luk w komputerach może zostać wykorzystana na wiele różnych sposobów. Ataki hakerów mogą wykorzystywać jeden konkretny exploit, kilka exploitów równocześnie, złą konfigurację, jeden z elementów systemu lub nawet backdoora z wcześniejszego ataku.

Z tego względu wykrycie ataków hakera jest niełatwym zadaniem dla niedoświadczonego użytkownika. Artykuł ten zawiera kilka podstawowych wskazówek mających pomóc użytkownikom w rozpoznaniu, czy ich komputery są atakowane, lub czy nastąpiło włamanie do systemu. Należy jednak pamiętać, podobnie jak w przypadku wirusów, że przedstawione sposoby nie dają 100% gwarancji wykrycia ataków hakerów. Istnieje jednak duże prawdopodobieństwo, że system, do którego włamano się, będzie zachowywał się na jeden lub więcej następujących sposobów:

Komputery działające pod kontrolą systemu Windows:

* Podejrzanie duży ruch sieciowy wychodzący. Jeżeli użytkownik korzysta z połączenis Dial-Up lub ADSL i zauważy wyższe niż zazwyczaj natężenie ruchu sieciowego wychodzącego (szczególnie gdy komputer jest bezczynny lub niekoniecznie wysyła dane), może to oznaczać, że ktoś naruszył ochronę danych komputera. Komputer może zostać użyty do rozsyłania spamu lub wykorzystany przez robaka sieciowego, który tworzy i wysyła swoje własne kopie. Mniejsze znaczenie ma to w przypadku połączeń kablowych - ruch wychodzący jest wówczas zazwyczaj taki sam jak przychodzący, nawet jeśli nie robimy nic więcej poza przeglądaniem stron lub ściąganiem danych z Internetu.
* Zwiększona aktywność dysku lub podejrzanie wyglądające pliki w katalogach głównych dowolnego napędu. Po włamaniu do systemu wielu hakerów przeprowadza masowe skanowanie w poszukiwaniu interesujących dokumentów lub plików zawierających hasła lub nazwy użytkownika dla kont bankowych lub systemów płatniczych, takich jak PayPal. Analogicznie, niektóre robaki przeszukują dysk w celu znalezienia adresów e-mail i wykorzystaniu ich do rozprzestrzeniania się. Jeśli dysk główny jest aktywny, nawet gdy system jest bezczynny, a popularne foldery zawierają pliki o podejrzanych nazwach, może to oznaczać włamanie do systemu lub infekcję złośliwym programem.
* Duża liczba pakietów pochodząca z jednego adresu zatrzymana przez osobistą zaporę ogniową. Po zlokalizowaniu celu (np. zakres adresów IP firmy lub pula domowych użytkowników kablowych) hakerzy uruchamiają zazwyczaj automatyczne narzędzia sondujące próbujące wykorzystać różne exploity w celu dokonania włamania do systemu. Jeśli po uruchomieniu osobistej zapory ogniowej (podstawowy element ochrony przed atakami hakerów) użytkownik zauważy wyższą niż zazwyczaj liczbę zatrzymanych pakietów przychodzących z jednego adresu, oznacza to atak na komputer. Dobra wiadomość jest taka, że jeśli zapora ogniowa zarejestrowała te ataki, prawdopodobnie komputer jest bezpieczny. Jednak w zależności od liczby usług udostępnionych w Internecie, osobista zapora ogniowa może nie uchronić użytkownika przed atakiem skierowanym na konkretną usługę FTP uruchomioną i udostępnioną w systemie. W tym przypadku rozwiązaniem może być tymczasowe zablokowanie atakującego adresu IP do czasu ustania prób połączeń. Wiele osobistych zapór ogniowych i systemów wykrywania włamań (IDS) ma wbudowaną taką funkcję.
* Chociaż nie wykonano żadnej nietypowej czynności, rezydentny program antywirusowy zgłasza nagle wykrycie backdoora lub trojana. Ataki hakerów mogą być złożone i innowacyjne, jednak wielu włamywaczy w celu zdobycia pełnego dostępu do zaatakowanego systemu wykorzystuje znane trojany lub backdoory. Jeżeli rezydentny składnik programu antywirusowego wykrywa i zgłasza taki złośliwy program, oznacza to, że możliwe jest uzyskanie dostępu do systemu z zewnątrz.
Idea