文摘内容：
　　
　　A.开始以前
　　1.对照你的安全策略
　　2.如果你还没有安全策略
　　请教管理层
　　请教律师
　　联系法律强制代理(FBI)
　　通知机构里的其他人
　　3.记录下恢复过程中采取的所有步骤

　　B. 夺回控制权
　　1.将遭受入侵的系统从网络上断开
　　2.复制遭受入侵系统的镜象

　　C. 分析入侵

　　1.查看系统软件和配置文件的更改
　　2.查看数据的更改
　　3.查看入侵者留下的工具和数据
　　4.检查日志文件
　　5.查看是否有网络sniffer 的标记
　　6.检查网络中的其他系统
　　7.检查与遭受入侵系统有关或受到影响的远程主机

　　D. 与相关的 CSIRT和其他站点联系
　　1.事件报告
　　2.联系 AusCERT - Australian Computer Emergency Response Team
　　3.联系 CERT Coordination Center
　　4.从其他相关站点取得联系信息

　　E. 从入侵中恢复
　　1.安装操作系统的一个干净版本
　　2.禁用不需要的服务
　　3.安装厂商提供的所有安全补丁
　　4.咨询AusCERT和外部安全公告
　　5.咨询CERT 公告,总结,厂商公告
　　6.小心使用备份中的数据
　　7.更改密码

　　F. 提高你系统和网络的安全性
　　1.复习有关UNIX或NT安全配置的文章
　　2.复习有关安全工具的文章
　　3.安装安全工具
　　4.激活最大日志
　　5.配置防火墙加强网络防御

　　G. 重新连上因特网

　　H. 更新你的安全策略
　　1.记下从这次入侵学到的教训
　　2.计算本次入侵事件的损失
　　3.汇总安全策略的所有改变

　　介绍
　　本文罗列了一些UNIX或NT系统遭受入侵后的推荐响应步骤. (翻译时省略了一些和我国国情不符的内容)

　　A.记录下恢复过程中采取的所有步骤
　　 强调记录下恢复过程中采取的所有步骤,这并不过分.恢复一个遭受入侵的系统是令人脸红 和耗时的过程.其间常见草率的决定. 记录下恢复过程中采取的所有步骤有助于防止草率的决定,这些记录在未来还有参考价值.这对法律调查来说也是很有用的.

　　B. 夺回控制权
　　1.将遭受入侵的系统从网络上断开
　　为了夺回控制权,可能需要从网络上(包括拨号连接)断开所有的遭受入侵的机器.之后可以 在UNIX的单用户模式下或NT的本地管理员状态下操作,确保拥有对机器的完全控制权;然而 ,通过重启动或切换到单用户/本地管理员模式,可能会丢失一些有用的信息,因为发现入侵 时的所有运行进程都会被杀掉.
　　因此,你可能希望采取'C.5查看是否有网络sniffer 的标记'中的步骤来确定这台被入侵的主机是否正在运行网络sniffer.在UNIX系统的单用户模式下操作,会阻止用户,入侵者,和入侵进程在你要恢复系统时访问被入侵的机器或改变该机器的状态.如果不把被入侵的主机从网络上断开,入侵者可能连入这台主机并撤销你所做的恢复工作.

　　2.复制遭受入侵系统的镜象
　　在分析入侵之前,我们推荐建立一个系统的当前备份.这可以提供入侵被发现时刻文件系统的快照.将来这个备份或许用的上. 如果你有一块可用的磁盘,大小和型号都与被入侵主机上的磁盘相同,就可以使用UNIX的dd命令制作被入侵系统的一个额外拷贝.例如,在一个有两块SCSI盘的Linux系统上,下面的命令可以制作被入侵系统(/dev/sda)的一个额外拷贝(/dev/sdb). # dd if=/dev/sda of=/dev/sdb 更多的信息请参阅dd命令的手册.还有许多其他创建系统备份的方法.在NT系统上,没有象dd这样的内置命令,但是有许多第三方的应用程序可以制作整块硬盘的镜像拷贝.假如需要恢复被入侵系统第一次被发现时的状态,创建一个低级拷贝是很重要的.而且,法律调查也需要这些文件的协助.做好贝的标签,符号和制作日期并且把拷贝放到一个安全的地点来保持数据的完整性.