Выслеживание взломщика


Хорошо, вы заблокировали взломщика, восстановили вашу систему, но это еще не все. Поскольку маловероятно, что все взломщики будут пойманы, вы должны сообщить об атаке.

Вы должны сообщить об атаке администратору системы, с которой была атакована ваша система. Вы можете найти этого администратора с помощью "whois" или базы internic. Вы можете послать ему по электронной почте содержимое системных журналов с датой и временем событий. Если вы заметили еще что-либо отличающее вашего взломщика, вы можете также сообщить об этом. После посылки сообщения по e-mail, вы должны (если вы к этому склонны) связаться по телефону. Если обнаружиться, что система того администратора была только проходным звеном, он может отследить и связаться с администратором системы, с которой взломщик проник к нему, и т.д.

Опытные взломщики часто используют большое количество посреднических систем. Некоторые (или многие) из которых, могут даже и не знать, что они были взломаны. Отследить обратно путь взломщика аж до его домашней системы может быть очень трудно. Будьте очень вежливы с администраторами других систем при выслеживании и они вам много в чем помогут.

Вы можете сообщить также в организацию безопасности, членом которой вы являетесь (CERT или подобную).



Содержание раздела