Z tego względu wykrycie ataków hakera jest niełatwym zadaniem dla niedoświadczonego użytkownika. Artykuł ten zawiera kilka podstawowych wskazówek mających pomóc użytkownikom w rozpoznaniu, czy ich komputery są atakowane, lub czy nastąpiło włamanie do systemu.
Należy jednak pamiętać, podobnie jak w przypadku wirusów, że przedstawione sposoby nie dają 100% gwarancji wykrycia ataków hakerów.
Istnieje jednak duże prawdopodobieństwo, że system, do którego włamano się, będzie zachowywał się na jeden lub więcej następujących sposobów:
1.Podejrzanie duży ruch sieciowy wychodzący. Jeżeli użytkownik korzysta z połączenia Dial-Up lub ADSL i zauważy wyższe niż zazwyczaj natężenie ruchu sieciowego wychodzącego (szczególnie gdy komputer jest bezczynny lub niekoniecznie wysyła dane), może to oznaczać, że ktoś naruszył ochronę danych komputera.
Komputer może zostać użyty do rozsyłania spamu lub wykorzystany przez robaka sieciowego, który tworzy i wysyła swoje własne kopie. Mniejsze znaczenie ma to w przypadku połączeń kablowych - ruch wychodzący jest wówczas zazwyczaj taki sam jak przychodzący, nawet jeśli nie robimy nic więcej poza przeglądaniem stron lub ściąganiem danych z Internetu.
2.Zwiększona aktywność dysku lub podejrzanie wyglądające pliki w folderach głównych dowolnego napędu. Po włamaniu do systemu wielu hakerów przeprowadza masowe skanowanie w poszukiwaniu interesujących dokumentów lub plików zawierających hasła lub nazwy użytkownika dla kont bankowych lub systemów płatniczych, takich jak PayPal.
Analogicznie, niektóre robaki przeszukują dysk w celu znalezienia adresów e-mail i wykorzystaniu ich do rozprzestrzeniania się. Jeśli dysk główny jest aktywny, nawet gdy system jest bezczynny, a popularne foldery zawierają pliki o podejrzanych nazwach, może to oznaczać włamanie do systemu lub infekcję złośliwym programem.
3. Duża liczba pakietów pochodząca z jednego adresu zatrzymana przez osobistą zaporę sieciową. Po zlokalizowaniu celu hakerzy uruchamiają zazwyczaj automatyczne narzędzia skanujące próbujące wykorzystać różne narzędzia w celu dokonania włamania do systemu.
Jeśli po uruchomieniu osobistej zapory sieciowej (podstawowy element ochrony przed atakami hakerów) użytkownik zauważy wyższą niż zazwyczaj liczbę zatrzymanych pakietów przychodzących z jednego adresu, oznacza to atak na komputer. Dobra wiadomość jest taka, że jeśli zapora zarejestrowała te ataki, prawdopodobnie komputer jest bezpieczny.
Jednak w zależności od liczby usług udostępnionych w Internecie, osobista zapora sieciowa może nie uchronić użytkownika przed atakiem skierowanym na konkretną usługę uruchomioną i udostępnioną w systemie. W tym przypadku rozwiązaniem może być tymczasowe zablokowanie atakującego adresu IP do czasu ustania prób połączeń. Wiele osobistych zapór sieciowych i systemów wykrywania włamań (IDS) ma wbudowaną taką funkcję.
4. Chociaż nie wykonano żadnej nietypowej czynności, rezydentny program antywirusowy zgłasza nagle wykrycie backdoora lub trojana. Ataki hakerów mogą być złożone i innowacyjne, jednak wielu włamywaczy w celu zdobycia pełnego dostępu do zaatakowanego systemu wykorzystuje znane trojany lub backdoory.
Jeżeli rezydentny składnik programu antywirusowego wykrywa i zgłasza taki złośliwy program, oznacza to, że możliwe jest uzyskanie dostępu do systemu z zewnątrz.
Kaspersky Lab Polska