在你的网络劫后余生之后，你必需迅速行动，复原系统，并防止进一步的
网络攻击。之前的两篇文章探讨的是侦测到攻击的那一刻要如何实时反应，在第一个小时内采取初步的行动。在本文里，我们则要把讨论的焦点放在长期的建置上，了解如何在尘埃落定之后强化你的防卫机制。

建立监视系统
修复系统时的主要挑战之一，就是要确定系统是何时受害、如何受害、以及骇客是钻那个漏洞入侵的。事实上，骇客很少第一次入侵就成功的，通常他们要试过许多漏洞，或者是许多使用者账号与密码的组合之后，才会找到你系统的漏洞。通常来说，骇客在尝式闯入你家大门时，可能或者往往都会留下蛛丝马迹。这要看你是否确保将这些刺探的痕迹留下记录，是否具有一套程序与系统可以在攻击发生时通知你。因此，你的长期安全策略的重要关键之一（特别是遭人攻击过之后），就是要开发出一套让网络入侵无所遁形的监视系统。 检查 Log 檔
你有多久没去检查服务器与防火墙里的事件记录（ logs ）了？如果你像大多数的 IT 专业人士一样忙碌，那你只会有问题才会去看看。当然，我们都知道，这并不是一个理想状态，只是时间真的不够用。
你的系统遭入侵后，你应该了解到定期检查记录文件的重要性。星期一早上第一件事就是察看检查档，换句话说，星期一下班之前你可能就可以完成此事了。同时，你也可借机看看星期假日是否发生了什么事 ── 骇客喜欢选择这个时候攻击，因为他们知道办公室里没有人来阻挡攻击。
在网络遭受攻击之后的第一周，你应该每天检查记录，或者甚至每隔几个小时，因为骇客可能会去之前漏洞处刺探一下最新防护情况。如果你不想要以土法炼钢的方式从每台系统里搜集所有的纪录，而是希望是有状况发生时才收到警报，那么可以安装微软的 Operations Manager 。
入侵侦测软件
利用 log 检查，在攻击发生与你发现状况之间一定会有些时间的延迟。就算你是每天检查纪录，还是可能在攻击发生之后几个小时才发现──这已经让骇客有充足的时间去找到你系统内的真正弱点了。因此，就有了所谓的入侵侦测。入侵侦测系统（ IDS ）持续不断地监视你的网络，在侦测到入侵时，会发出警报或采取其它的行动。
IDS 可以和你既有的防火墙协力合作，
加入一层过滤器以避免骇客有进一步的行动。对于攻击的发动地点，
你可以加入严格的「阻断」（ deny ）规则，
可以防止骇客对你的系统做任何进一步的攻击。
执行外部安全稽查
我以机房代管的方式在因特网外面保留了两套系统，虽然没有防火墙的保护，但也是有安全保护。这些系统摆在外面的用意很明显，可让我替客户快速执行入
侵测试。其中一套系统用的是 Linux 操作系统，可以执行一系列的开放原始码漏洞分析工具，例如 Nmap 与 Whisker 。另一套系统是 Windows 计算机，执行另外一组不同的工具，包括 Foundstone 的 SuperScan ，
与 N-Stalker 的 N-Stealth 。
为什么要执行两套不同工具的不同系统？答案很简单：没有任何工具可以提供绝对完美的漏洞评估。每种工具都有它的限制与怪癖。对于公司组织来说，要在防火墙外维持一套系统，购买多种扫瞄软件包，以及学会如何有效的执行这些系统等等，可能相当昂贵。因此，很重要的是委托一家独立的专业公司来执行外部的
安全稽查。在找上这些公司时，你应该问他们有那些经验，
以及所使用的工具类型。 重设密码
在骇客取得你的网络存取权限之后，你务必要改掉所有的密码──也就是所有的服务器及所有设备里的全部使用者与服务账号。表面上，这看起来好像是一件很简单的事。然而，事实上，这是个相当累人的事，可能要耗费相当多的时间。
之所以要改变每一组密码的原因是，你系统里可能有些，或者甚至全部的密码都已遭窃（视被骇系统与入侵类型而有所不同）。取得所有使用者密码的骇客，一定会再次以有效的使用者账号及密码而取得存取权限。确保骇客不再握有有效账号与密码的唯一方法就是──全部换掉。 在采取这项行动之前，先考虑以下三件事：

所有使用者账号都会需要一组新的密码。这对使用者来说可能会相当头大，但是，在 Windows 2000 的环境下，只要敲几个键就可以更改密码了。
更改服务账号的密码可能更让人小生怕怕，因为每台服务器都必需要重新开机来确认服务账号的新密码。这也意谓着，要更改网络等级的服务账号密码更需要协调一致，让所有的服务器可以在同一时间里更改所用的服务账号。
更改所有设备的密码可能相当棘手。网络里的许多设备都有自己的一套使用者账号与密码。除非你在其它地方放了另一个密码表，不然你很可能就忘了其中一两台设备的密码了。很重要的是，路由器与防火墙的密码可能较容易记住。但是，像打印服务器、安全摄影机，以及其它网络附加装置等，就很容忘记了。
最后，是否要换掉所有的这些密码，就要看你是否想要多一道可能避免骇客再次攻击的防线了。对于一些极度重视安全的环境来说，你可能还是要换掉所有的密码。

适当的防御措施
安全系统在遭入侵之后要复原实在是件相当痛苦的事。往往， IT 的专业人士在打了第一场战之后整个人就筋疲力竭，而忘了后面还有一场战。但如果你建立了适当的障碍，以及建立了正确的侦防措施，来了解下次攻击可能在什么时候发动，那么你就可以在网络的攻防战上制敌之机先了。

文章转载地址：http://www.cnpaf.net/Class/hack/05121820345024189711.htm