中山大学计算机安全事件响应小组(CSIRT)隶属于中山大学网络与信息中心,其功能和职责是调查、处理中山大学信息安全事件,指导用户加强计算机安全防范措施,提供计算机安全防范所需的知识、工具以及基础设施,维护学校及个人信息安全,保障校园网正常运行。
紧急响应的目的主要有如下二个:
- 调查取证,找出规律性,提醒用户提前做好防范措施,避免危害程度加深、范围扩大;
- 帮助用户恢复系统、数据。
计算机安全事件紧急响应处理的事件一般有:
- 黑客入侵;
- 严重或大规模病毒爆发;
- 防病毒等安全软件误判引起的问题;
- 防病毒软件安装、使用时遇到的疑难问题;
- 其它无法解决的较严重信息安全问题。
该方法只适用于已安装QQ的用户,不建议用户为了使用这个方法而专门安装QQ程序。操作方法如下:
- 协助方和被协助方均登录QQ,并且双方互加对方为“好友”;
- 寻求协助方在与对方的聊天窗口中点击工具按钮栏中的“应用”->“远程协助”按钮(具体位置可能因QQ版本不同而有所差异),然后等待协助方的确认,寻求协助方在对方确认后会在右窗格中有个提示信息,点击“确定”后协助方即可看到寻求协助方的桌面;
- 在寻求协助方的QQ聊天窗口右窗格中有一个“申请受控”的按钮,点击后等待对方确认,对方确认后也同样有一个再次确认的信息,确认后对方即可进行远程控制。
注:这个方法由于是要通过QQ官方的服务器进行连接,所以在校园网的网络出口繁忙时段使用效果可能会因速度问题而受到影响。
操作方法如下:
- 需要远程协助的用户(求助方)根据所处位置从下列地址下载TeamViewer QuickSupport版,直接运行,把随机产生的ID和密码告知施助方,等待施助方连接。
◦ 下载地址:http://inc.sysu.edu.cn/helpdesk
- 施助方从下列地址下载TeamViewer 完整版,直接运行,根据施助方提供的ID和密码,连接求助方的桌面进行远程协助。
◦ 完整版下载地址:http://www.teamviewer.com/download/TeamViewer_Setup_zhcn.exe
操作方法如下:
- 在一台正常能上网的计算机上访问 http://trinityhome.org/Home/index.php?wpid=5&front_id=12 选择一个镜像链接,下载最新版本的Trinity Rescue Kit光盘映象文件(下载后形如:trinity-rescue-kit.3.3-build-321.iso),用刻录软件刻录成光盘。
- 用做好的Trinity Rescue Kit启动光盘(或由此光盘转制作成的U盘)引导计算机,在启动时首先会有一个启动模式选择的界面,一般直接回车或等它自己倒计时完就会进入Trinity系统,如果是服务器使用SCSI硬盘建议选择第8项尝试加载更多的SCSI驱动,第18项则是将系统完全加载到内存中运行(这个模式启动的过程中会提示用户输入密码,启动完后可取出光盘);
- 启动完毕后会进入纯英文字符操作界面,请输入"passwd"命令设置系统密码(如果是用第18项启动的那么在启动过程中就会要求设置);
- 输入"setip eth0"命令按提示设置网络参数,IP-address代表IP地址,subnet mask代表掩码,default gateway代表网关,IP-address of the DNS server代表DNS服务器的IP地址;
- 输入"/etc/init.d/sshd start"回车,开启ssh服务;
- 输入"fileserver -s"回车设置带密码的文件共享,请根据提示输入用户名和密码;
- 最后将IP地址,第3步设置的密码和第6步输入的文件共享用户名和密码告诉远程支持技术人员。
注意:这种方法必须使用的是校内网内部IP或公网IP,如果使用了路由器我们将无法连接。
在Windows 10/8/XP/Vista/7 、Windows Server 2003/2008系统均内置了“远程协助”功能,使用方法如下:
- 在受控机器上启用远程协助(开始-控制面板-系统和安全-系统-远程,在“远程协助”下面勾选“启用远程协助并允许从这台计算机发送邀请(R)”;如果被帮助者直接在受控机器本地登录操作,则在“远程桌面”下面可不勾选“启用这台计算机上的远程桌面(E)”,否则勾选;点击“确定”按钮,退出设置)注:如果想了解有关远程协助的更多信息,可单击“启用远程协助并允许从这台计算机发送邀请(R)”下面的“远程协助”链接。
- 在受控机器上发出远程协助邀请(开始-帮助和支持,在右窗格中,“支持”下面,单击“远程协助”,单击“邀请某人来帮助您”,如果弹出一个“远程协助--网页对话框”的警告信息窗口,只要按“OK”即可,然后继续在“帮助和支持中心”右窗格的下端点击“将邀请保存为文件(高级)”,在接下来的步骤中按提示输入您的姓名和远程协助密码,保存邀请文件,最后将这个邀请文件以邮件或其它形式发给“帮助者”,并电话告知刚才设的密码。注意远程协助密码不应该设为与受控机器的原来登录密码一样的。)
- 在受控机器上设置防火墙,使“远程协助”和“远程桌面”端口(默认为TCP 3389)成为例外的程序和服务(如果是Vista以上系统,只要求开放“远程协助”端口即可),具体操作如下: ◦开始-控制面板-Windows 防火墙,或,开始-控制面板-安全中心-Windows 防火墙;◦在Windows 防火墙的控制面板上,点击“例外”选项卡,勾选“程序和服务”下面列表中的“远程协助”和“远程桌面”,并分别选中它们,然后点击“编辑”按钮,在弹出的“编辑服务”对话框中的“更改范围”,在“更改范围”对话框中选择“自定义列”,将帮助者的计算机用的IP地址加入其中,按确定退出。注:如果受控机器的远程桌面端口修改过,则需要在“程序和服务”添加修改后的端口,并按上面的方法限定访问的IP范围。
◦注:如果“远程协助”功能使用完毕,如无必要,建议取消勾选上述两个例外项,以减少被入侵的安全风险。另外,Vista以上的操作系统版本产生的远程协助邀请会随机打开一个端口供帮助者连接,所以tcp3389端口可以关闭,关闭方法是,开始-控制面板-管理工具-服务-双击“Terminal Services”服务项-启动类型设为“禁用”,服务状态下点“停止”按钮-“确定”。 - 帮助者发起连接后,被帮助者桌面会弹出一个小窗口,询问“是否希望允许XXX连接到您的计算机?”,请点击“是”按钮。
- 若帮助者向被帮助者发出“获取控制权”的请求,则被帮助者桌面又会弹出一个小窗口,询问“是否希望允许XXX共享对桌面的控制?”,被帮助者点击“是”按钮,则帮助者可以远程控制被帮助者的电脑;点击“否”按钮,则帮助者仅可以远程观望但不能控制被帮助者的电脑。另外,建议勾选“是”按钮左边的“允许XXX响应用户帐户控制提示”复选框,以便帮助者在涉及修改系统设置等需要较高权限的操作时能看到警告信息。勾选此复选框时,被帮助者桌面将会弹出一个“用户帐户控制”的小窗口,点击“继续”按钮即可。
注:如果被帮助者电脑位于家庭网关(小型路由器)之后,使用内部网内的私有IP地址,则难以实现远程协助。
在人力资源有限的情况下,紧急响应服务遵循以下原则处理优先级:
- 处理教学、科研、办公计算机优先级高于教师家庭及学生个人计算机;
- 影响范围大的群体事件优先级高于个别事件和单机事件;
- 严重影响计算机和网络的事件优先级高于轻度影响计算机和网络的事件。
计算机安全事件响应小组(CSIRT)通过帮助台提供第一线的服务支持,我们的联系方式:
电话:
广州校区/深圳校区:020-84036866
珠海校区:0756-3668500
E-Mail:helpdesk(@)mail.sysu.edu.cn
(注意:为防止垃圾邮件,以上邮件地址中 @ 左右加了括号)
紧急响应的常用方法与工具如下:
- 现场收集可疑目标机器的信息和资料的工具:CSIRTv1.0脚本,是一个在Windows 命令提示符下运行的BAT文件,自动和人工相结合,可收集操作系统版本、补丁情况、防病毒软件、防火墙配置、IP配置情况、当前网络连接情况、正在运行的进程、开机自启动项、安装应用程序列表、其它必要的截图等等。
- 远程救助方法与工具:
当可疑目标机器(Windows平台)可在本地登录到桌面并且网络连接正常时,
1)若目标机器是Windows 2000/XP/Server 2003,可让用户启动系统内置的Netmeeting或“远程协助”功能,进行远程桌面共享操作,具体操作方法请参照本栏目其它对应FAQ;
2)若目标机器是Windows Vista、Windows 7或 Windows Server 2008,可让用户考虑使用系统内置的“远程协助”功能,进行远程桌面共享操作,具体操作方法请参照本栏目其它对应FAQ;
3)对于任何Windows版本,可选方案还可考虑QQ的“远程协助”功能(但前提是用户已安装QQ,否则不建议为此目的而加装),具体操作方法请参照本栏目其它对应FAQ。
当可疑目标机器不能在本地登录到系统并且网络连接正常时,
可让用户用Trinity Rescue Kit(简称TRK)光盘引导目标机器启动,进入TRK系统后,启动sshd,samba服务,具体操作方法请参照本栏目其它对应FAQ。
