上篇文章主要介绍了如何恢复以炫耀技术为目的的系统入侵、应当采取的处理方式和保存成果的方法，本文将继续介绍如何完成以得到或损坏系统中机密数据为目的的系统入侵恢复。　　

　　以得到或损坏系统中机密数据为目的的系统入侵恢复

　　现在，企业IT资源中什么最值钱，当然是存在于这些设备当中的各种机密数据了。目前，大部分攻击者都是以获取企业中机密数据为目的而进行的相应系统入侵活动，以便能够通过出售这些盗取的机密数据来获取非法利益。

　　如果企业的机密数据是以文件的方式直接保存在系统中某个分区的文件夹当中，而且这些文件夹又没有通过加密或其它安全手段进行保护，那么，攻击者入侵系统后，就可以轻松地得到这些机密数据。但是，目前中小企业中有相当一部分的企业还在使用这种没有安全防范的文件保存方式，这样就给攻击者提供大在的方便。

　　不过，目前还是有绝大部分的中小企业都是将数据保存到了专门的存储设备上，而且，这些用来专门保存机密数据的存储设备，一般还使用硬件防火墙来进行进一步的安全防范。因此，当攻击者入侵系统后，如果想得到这些存储设备中的机密数据，就必需对这些设备做进一步的入侵攻击，或者利用网络嗅探器来得到在内部局域网中传输的机密数据。

　　机密数据对于一些中小企业来说，可以说是一种生命，例如客户档案，生产计划，新产品研究档案，新产品图库，这些数据要是泄漏给了竞争对象，那么，就有可能造成被入侵企业的破产。对于抢救以得到、破坏系统中机密数据为目的的系统入侵活动，要想最大限度地降低入侵带来的数据损失，最好的方法就是在数据库还没有被攻破之前就阻止入侵事件的进一步发展。

　　试想像一下，如果当我们发现系统已经被入侵之时，所有的机密数据已经完全泄漏或删除，那么，就算我们通过备份恢复了这些被删除的数据，但是，由于机密数据泄漏造成的损失依然没有减少。因此，我们必需及时发现这种方式的系统入侵事件，只有在攻击者还没有得到或删除机密数据之前，我们的恢复工作才显得有意义。

　　当然，无论有没能损失机密数据，系统被入侵后，恢复工作还是要做的。对于以得到或破坏机密数据为目的的系统入侵活动，我们仍然可以按此种入侵活动进行到了哪个阶段，再将此种类型的入侵活动细分为还没有得到或破坏机密数据的入侵活动和已经得到或破坏了机密数据的入侵活动主两种类型。

　　恢复还没有得到或破坏机密数据的被入侵系统

　　假设我们发现系统已经被入侵，并且通过分析系统日志，或者通过直接观察攻击者对数据库进行的后续入侵活动，已经了解到机密数据还没有被攻击者窃取，只是进入了系统而已，那么，我们就可以按下列方式来应对这样的入侵活动：如果企业规定在处理这样的系统入侵事件时，不允许系统停机，那么就应当按这种方式来处理：

　　(1)、立即找到与攻击源的网络连接并断开，然后通过添加防火墙规则来阻止。通常，当我们一开始就立即断开与攻击源的网络连接，攻击者就会立即察觉到，并由此迅速消失，以防止自己被反向追踪。因而，如果我们想抓到攻击者，让他受到法律的惩罚，在知道目前攻击者进行的入侵攻击不会对数据库中的机密数据造成影响的前提下，我们就可以先对系统当前状态做一个快照，用来做事后分析和证据，然后使用IP追捕软件来反向追踪攻击者，找到后再断开与他的网络连接。

　　不过，我们要注意的是，进行反向追踪会对正常的系统业务造成一定的影响，同时，如果被黑客发现，他们有时会做最后一搏，会破坏系统后逃避，因而在追捕的同时要注意安全防范。只是，大部分的企业都是以尽快恢复系统正常运行，减少入侵损失为主要目的，因此，立即断开与攻击源的网络连接是最好的处理方式。

　　(2)、对被入侵系统的当前状态建立快照，以便事后分析和留作证据。

　　(3)、通过分析日志文件和弱点检测工具找到攻击者入侵系统的漏洞，然后了解这些系统漏洞是如何得到的。如果漏洞是攻击者自己分析得到的，那么就可能还没有相应的漏洞修复补丁，因而必需通过其它手段来暂时防范再次利用此漏洞入侵系统事件的发生;如果漏洞是攻击者通过互联网得到的，而且漏洞已经出现了相当一段时间，那么就可能存在相应的漏洞修复补丁，此时，就可以到系统供应商建立的服务网站下载这些漏洞补丁修复系统;如果攻击者是通过社会工程方式得到的漏洞，我们就应当对当事人和所有员工进行培训，以减少被再次利用的机率。

(4)、修改数据库管理员帐号名称和登录密码，重新为操作数据的用户建立新的帐户和密码，并且修改数据库的访问规则。至于剩下的系统恢复工作，可以按恢复以控制系统为目的的系统入侵恢复方式来

进行。

　　恢复已经得到或删除了机密数据的被入侵系统

　　如果当我们发现系统已经被入侵时，攻击者已经得到或删除了系统中全部或部分的机密数据，那么，现在要做的不是试图抢救已经损失了的数据，而是保护没有影响到的数据。由于此类系统入侵事件已经属于特别严重的入侵事件，我们的第一个动作，就是尽快断开与攻击源的网络连接。

　　如果允许系统停机处理这类严重系统入侵事件，那么就可以直接拔掉网线的方式断开被入侵系统与网络的直接连接。当系统仍然不允许停机处理时，就应当通过网络连接监控软件来找到系统与攻击源的网络连接，然后断开，并在防火墙中添加相应的规则来拦截与攻击源的网络连接。这样做的目的，就是防止此次系统入侵事件进一步的恶化，保护其它没有影响到的数据。

　　断开与攻击源的连接后，我们就应当立即分析数据损失的范围和严重程度，了解哪些数据还没有被影响到，然后立即将这些没有影响到的数据进行备份或隔离保护。对于丢失了数据的系统入侵事件，我们还可以将它归纳成以下的三个类别：

　　(1)、数据被窃取。

　　当我们检测数据库时发现数据并没有被删除或修改，但是通过分析系统日志和防火墙日志，了解攻击者已经进入了数据库，打开了某些数据库表，或者已经复制了这些数据库表，那么就可以确定攻击者只是窃取了数据而没有进行其它活动。此时，应当按前面介绍过的方法先恢复系统到正常状态，然修补系统和数据库应用程序的漏洞，并对它们进行弱点检测，发现没有问题后分别做一次完全备份。还应当修改系统管事员和数据库管理员帐户的名称和登录密码，所有的操作与前面提到过的方式相同。只是多出了数据库的恢复工作。

　　(2)、数据被修改

　　如果我们在分析数据库受损情况时发现攻击者并没有打开数据库表，而是通过数据库命令增加、修改了数据库某个表中的相关内容。那么，我们不得不一一找出这些非授权的数据表相关行，然后将它们全部修正或删除。如果修改的内容有关某个行业，例如办理驾驶证的政府机关，办理毕业证的教育机构，或者办理其它各种执照相关单位等，那么，还要将攻击者修改的内容向外界公布，说明这些被攻击者修改或添加的内容是无效的，以免造成不必要的社会影响。其它的系统和数据库恢复处理方式与数据被窃取方式相同。

　　(3)、数据被删除

　　如果我们在分析数据库受损情况时，发现攻击者不仅得到了机密数据，而且将系统中的相应数据库表完全删除了，那么，我们在断开与其网络连接时，要立即着手恢复这些被删除了的数据。

　　当我们通过备份的方式来恢复被删除的数据时，在恢复之前，一定要确定系统被入侵的具体时间，这样才知道什么时候的备份是可以使用的。这是因为，如果我们对数据库设置了每日的增量备份，当攻击者删除其中的内容时，非法修改后的数据库同样被备份了，因此，在入侵后的增量备份都不可用。同样，如果在系统被入侵期间，还对数据库进行了完全备份，那么，这些完全备份也不可用。

　　如果允许我们停机进行处理，我们可以拆下系统上的硬盘，接入其它系统，然后通过文件恢复软件来恢复这些被删除的文件，但是，对于数据库表中内容的删除，我们只能通过留下的纸质文档，来自己慢慢修正。

在这里我们就可以知道，备份并不能解决所有的系统入侵问题，但仍然是最快、最有效恢复系统正常的方式之一。通过这我们还可以知道，及时发现系统已经被入侵对于抢救系统中的机密数据是多么的

重要。

　　接下来的文章中，我们将介绍如何完成以破坏系统或业务正常运行为目的的系统入侵恢复。