Comment détecter une attaque de hacker

La plupart des vulnérabilités informatiques peuvent être exploités de différentes manières. Attaques de pirates informatiques peuvent utiliser un exploit unique spécifique, plusieurs exploits en même temps, une mauvaise configuration de l'un des composants du système ou même une porte dérobée d'une attaque plus tôt.

Pour cette raison, la détection attaques de pirates n'est pas une tâche facile, surtout pour un utilisateur inexpérimenté. Cet article donne quelques directives de base pour vous aider à comprendre votre machine soit f est attaqué ou si la sécurité de votre système a été compromis. Gardez à l'esprit, tout comme les virus, il n'existe pas de garantie de 100% vous permettra de détecter un pirate attaquer de cette manière. Cependant, il ya une bonne chance que si votre système a été piraté, il affiche un ou plusieurs des comportements suivants.
Machines Windows:

* Comme par hasard élevée du trafic réseau sortant. Si vous êtes sur un ADSL dial-up compte ou en utilisant et remarquez un volume anormalement élevé de réseau sortant (trafic en particulier lorsque vous l'ordinateur est inactif ou non le téléchargement des données nécessairement), alors il est possible que votre ordinateur a été compromis. Votre ordinateur peut être utilisé soit pour envoyer du spam ou d'un ver de réseau qui est la reproduction et l'envoi des copies de lui-même. Pour les connexions par câble, cela est moins pertinent - il est assez fréquent d'avoir la même quantité de trafic sortant que le trafic entrant même si vous ne faites rien de plus que la navigation des sites ou le téléchargement de données à partir d'Internet.

* Augmentation de l'activité du disque ou suspectes à la recherche des fichiers dans les répertoires racines des lecteurs. Après le piratage dans un système, de nombreux hackers exécuter un scan massif pour tous les documents intéressants ou des fichiers contenant des mots de passe ou les connexions de comptes bancaires ou de paiement en ligne comme PayPal. De même, certains vers rechercher sur le disque pour les fichiers contenant des adresses de messagerie à utiliser pour la propagation. Si vous remarquez une activité disque importante, même lorsque le système est inactif en conjonction avec les fichiers suspicieux nommées dans des dossiers communs, cela peut être une indication d'un hack du système ou logiciel malveillant.

* Un grand nombre de paquets qui proviennent d'une seule adresse est arrêté par un pare-feu personnel. Après avoir localisé une cible (par exemple, une société plage d'adresses IP ou un groupe d'utilisateurs du câble d'origine) hackers généralement exécuté outils automatisés de sondage qui tentent d'utiliser divers exploits de s'introduire dans le système. Si vous exécutez un pare-feu personnel (un élément fondamental dans la protection contre les attaques de pirates) et remarquez un nombre anormalement élevé de paquets arrêtés en provenance de la même adresse alors c'est une bonne indication que votre machine est sous attaque. Les bonnes nouvelles sont que si votre pare-feu personnel de signaler ces attaques, vous êtes probablement en sécurité. Cependant, en fonction du nombre de services vous exposer à l'Internet, le pare-feu personnel peut ne pas vous protéger contre une attaque dirigée contre un service FTP spécifique en cours d'exécution sur votre système qui a été rendu accessible à tous. Dans ce cas, la solution est de bloquer l'IP incriminée temporairement jusqu'à ce que les tentatives de connexion arrêter. De nombreux pare-feux personnels et IDS ont une telle fonction construit po

* Votre antivirus résident commence soudainement rapporte que des portes dérobées ou des chevaux de Troie ont été détectés, même si vous n'avez pas fait tout ce qui sort de l'ordinaire. Bien que les attaques de pirates informatiques peuvent être complexes et innovantes, beaucoup comptent sur les chevaux de Troie connus ou backdoors pour obtenir un accès complet à un système compromis. Si le composant résidente de votre antivirus est détecter et signaler les logiciels malveillants tels, cela peut être une indication que votre système est accessible de l'extérieur.

Machines Unix:

* Comme par hasard le nom des fichiers dans le dossier / tmp. Beaucoup d'exploits dans le monde Unix s'appuyer sur la création de fichiers temporaires dans le dossier standard / tmp qui ne sont pas toujours effacé dès le hack du système. La même chose est vraie pour certains vers connus pour infecter les systèmes Unix, ils se recompiler dans le dossier / tmp et l'utiliser comme «chez soi».

* Modifié binaires du système tels que 'login', 'telnet', 'ftp', 'finger' ou des démons plus complexes, 'sshd', 'ftpd' et ainsi de suite. Après la rupture dans un système, un hacker tente généralement de sécuriser l'accès par la plantation d'une porte dérobée dans l'un des démons avec un accès direct depuis Internet, ou en modifiant les utilitaires système standard qui sont utilisés pour se connecter à d'autres systèmes. Les binaires modifiés font généralement partie d'un rootkit et en général, sont «camouflé» contre une simple inspection directe. Dans tous les cas, c'est une bonne idée de maintenir une base de données des sommes de contrôle pour chaque utilitaire système et périodiquement les vérifier avec le système hors-ligne, en mode mono-utilisateur.

* Jour / etc / passwd, / etc / shadow, ou d'autres fichiers système dans le dossier / etc. Parfois, les attaques de pirates pouvez ajouter un nouvel utilisateur dans le fichier / etc / passwd qui peut être connecté à distance à une date ultérieure. Recherchez les noms d'utilisateurs suspects dans le fichier de mot de passe et de surveiller tous les ajouts, en particulier sur un système multi-utilisateur.

* Les services de suspects ajouté au fichier / etc / services. Ouverture d'une porte dérobée dans un système Unix est parfois une question de l'ajout de deux lignes de texte. Ceci est accompli en modifiant le fichier / etc / services et / etc / ined.conf. Suivre de près ces deux fichiers pour tous les ajouts qui pourraient indiquer une porte dérobée lié à un port inutilisé ou suspectes....