多數(shù)計算機漏洞都能以多種方式被利用。 黑客攻擊可以利用某個特定的漏洞， 而且對某些漏洞的利用會同時發(fā)生， 黑客們還可以利用系統(tǒng)組件的某處錯誤配置或早些時候攻擊留下的后門。

　　有鑒于此， 檢測黑客攻擊并不是一件輕松事情， 特別是對于一位不熟練的用戶來說。 本文將給出一些基本的指南， 以幫助你決定自己的計算機是否受到了攻擊， 或者說你的系統(tǒng)安全是否受到了破壞。 記住：就像對付病毒一樣， 并不能保證你用某種方法一定可以檢測出一次黑客攻擊。 但是， 如果你的系統(tǒng)遭受攻擊， 它就會表現(xiàn)出這樣或那樣的行為。

　　對Windows平臺計算機的檢測

　　Windows平臺計算機遭受攻擊的癥狀：

　　1.可疑的大量轉(zhuǎn)出通信。 如果你正使用一個撥號賬戶或者正使用ADSL， 并且注意到一次不尋常的大量的轉(zhuǎn)出網(wǎng)絡(luò)的通信(你的計算機處于空閑狀態(tài)或者沒有必要上載數(shù)據(jù)時)， 那么有可能你的計算機已經(jīng)遭受到了損害。 你的計算機有可能正被用于發(fā)送垃圾郵件或被一個不斷復(fù)制自身并發(fā)送其副本的網(wǎng)絡(luò)蠕蟲所使用。 對于寬帶連接， 這與黑客攻擊的關(guān)系性可能性不大， 即使你僅僅是瀏覽網(wǎng)站或從互聯(lián)網(wǎng)上下載數(shù)據(jù)， 也會有幾乎同樣大小的數(shù)據(jù)流入或流出網(wǎng)絡(luò)。

　　2.增加的磁盤活動或在任何驅(qū)動器 root目錄中增加了一些看起來可疑的文件。 在攻入一個系統(tǒng)之后， 許多黑客都要運行一次大規(guī)模的掃描， 來檢查任何他感興趣的文檔或包含銀行賬戶口令或支付賬戶， 如支付寶等文件。 類似情況下， 一些蠕蟲也會搜索包含電子郵件地址以磁盤文件， 用于傳播垃圾郵件。 如果在系統(tǒng)空閑時， 你注意到嚴(yán)重的磁盤活動與公用文件夾中的某些可疑的命名文件發(fā)生了聯(lián)系， 這就可能表示一次系統(tǒng)攻擊或惡意軟件感染的發(fā)生。

　　3.來自某個單一IP地址的大量數(shù)據(jù)包被個人防火墻所阻止。 在定位了一個目標(biāo)之后(例如， 一家公司或家庭用戶的IP地址范圍)， 黑客們通常會運行自動化的探測工具， 利用漏洞來突破并進(jìn)入系統(tǒng)。 如果你運行著個人防火墻(防護攻擊的一個基本元素)， www.arpun.com 并注意到來自某個同一IP地址的大量異常數(shù)據(jù)包被阻止， 那么這會指明你的機器正遭受著攻擊。 好消息是如果你的個人防火墻正報告這些攻擊， 你可能還比較安全。 然而， 依賴于你向互聯(lián)網(wǎng)暴露的服務(wù)， 個人防火墻可能會無法保護你一次針對一個特定的FTP服務(wù)的攻擊， 而這種服務(wù)可能會被所有的人訪問到。 在這種情況下， 一個可行的解決方案是臨時阻止這些討厭的IP地址直至連接企圖停止。 許多個人防火墻和IDS都有這個內(nèi)置特性。

　　4.即使你沒有執(zhí)行什么非正常操作， 本地反病毒軟件卻突然報告說， 檢測到了后門或特洛伊木馬。 雖然黑客攻擊可能非常復(fù)雜并且不斷翻新， 許多攻擊還是要依賴于已知的特洛伊木馬或后門來獲取對一個受損系統(tǒng)的完全訪問權(quán)。 如果你的本地反病毒組件正檢測和報告這種惡意代碼， 這就表明你的系統(tǒng)有可能可以從外部訪問。

　　對Unix平臺計算機的檢測

　　Unix平臺計算機遭受攻擊的癥狀有這些：

　　1.在/tmp文件夾內(nèi)的可疑的命名文件。 Unix系統(tǒng)中的許多漏洞利用都依賴在/tmp標(biāo)準(zhǔn)文件夾中創(chuàng)建臨時文件， 在系統(tǒng)遭受攻擊后這很難被檢測出來。 對于已知的一些感染Unix系統(tǒng)的蠕蟲也是這樣， 蠕蟲會將其自己編譯到/tmp文件夾中， 并惡意運用之。

　　2.修改系統(tǒng)中的一些程序， 如’login’, ‘telnet’, ‘ftp’, ‘finger’等， 或者是一些更加復(fù)雜的進(jìn)程， 如’sshd’, ‘ftpd’等等。 在突破進(jìn)入一個系統(tǒng)之后， 一個黑客通常會將一個后門植入到某個可以直接訪問互聯(lián)網(wǎng)的進(jìn)程中， 試圖確保其訪問的安全， 或者修改可用于與其它系統(tǒng)聯(lián)系起來的標(biāo)準(zhǔn)系統(tǒng)實用程序。 被修改的程序通常成為一個rootkit的部分， 并且通常情況下它們會破壞一些簡單的檢查。 在所有的情況下， 為每一個系統(tǒng)實用程序維持一個檢查和(checksum)的數(shù)據(jù)庫是一個好注意， 并且定期地在單一用戶模式中， 將其與系統(tǒng)進(jìn)行離線驗證。

　　3.修改/etc/passwd、 /etc/shadow， 或者修改/etc文件夾中的所有其它系統(tǒng)文件。 有時， 黑客攻擊會在/etc/passwd中增加一個新用戶， 它可以在日后遠(yuǎn)程登錄到系統(tǒng)中。 你可以在口令文件中查看可疑的用戶名， 并且監(jiān)視所有的增加項， 特別是在一個多用戶的系統(tǒng)中更要這樣。

　　4.一些可疑的服務(wù)被添加到/etc/services中。 在一個Unix系統(tǒng)中打開一個后門有時也就是增加一兩行代碼。 這是通過修改/etc/services以及/etc /ined.conf而實現(xiàn)的。 你需要密切地監(jiān)視這兩個文件中的任何添加項， 因為這會指明一個后門與一個未用的或可疑的端口聯(lián)結(jié)起來。