系统安全事件应急预案v10.doc

系统应急预案 V 1 0 2010 年 10 月 22 日 目目 录录 1可能面临的威胁可能面临的威胁 1 1 1拒绝服务攻击 1 1 2网页挂马 1 1 3网络扫描探测 2 1 4口令攻击 暴力破解 穷举 2 1 5网页篡改 2 1 6漏洞攻击 3 1 7注入攻击 4 1 8跨站脚本攻击 4 1 9病毒 恶意代码攻击 5 2应急处理方案应急处理方案 6 2 1拒绝服务攻击 6 2 1 1发现手段 6 2 1 2抑制和根除 6 2 1 3恢复 7 2 1 4跟进 7 2 2网页挂马 7 2 2 1发现手段 7 2 2 2抑制和根除 7 2 2 3恢复 7 2 2 4跟进 8 2 3网络扫描探测 8 2 3 1发现手段 8 2 3 2抑制和根除 8 2 3 3恢复 9 2 3 4跟进 9 2 4口令攻击 暴力破解 穷举 9 2 4 1发现手段 9 2 4 2抑制和根除 9 2 4 3恢复 10 2 4 4跟进 10 2 5网页篡改 10 2 5 1发现手段 10 2 5 2抑制和根除 11 2 5 3恢复 11 2 5 4跟进 12 2 6漏洞攻击 12 2 6 1发现手段 12 2 6 2抑制和根除 12 2 6 3恢复 13 2 6 4跟进 13 2 7注入攻击 13 2 7 1发现手段 13 2 7 2抑制和根除 14 2 7 3恢复 14 2 7 4跟进 14 2 8跨站脚本攻击 15 2 8 1发现手段 15 2 8 2抑制和根除 15 2 8 3恢复 15 2 8 4跟进 16 2 9病毒 恶意代码攻击 16 2 9 1发现手段 16 2 9 2抑制和根除 17 2 9 3恢复 17 2 9 4跟进 17 1 1 1 可能面临的威胁可能面临的威胁可能面临的威胁可能面临的威胁 1 11 11 1 拒绝服务攻击拒绝服务攻击拒绝服务攻击拒绝服务攻击 DoS 是 Denial of Service 的简称 即拒绝服务 造成 DoS 的攻击行为被称为 DoS 攻击 其目的是使计算机或网络无法提供正常的服务 最常见的 DoS 攻击有计 算机网络带宽攻击和连通性攻击 带宽攻击指以极大的通信量冲击网络 使得所有 可用网络资源都被消耗殆尽 最后导致合法的用户请求就无法通过 连通性攻击指 用大量的连接请求冲击计算机 使得所有可用的操作系统资源都被消耗殆尽 最终 计算机无法再处理合法用户的请求 分布式拒绝服务 DDoS Distributed Denial of Service 攻击指借助于客户 服务器 技术 将多个计算机联合起来作为攻击平台 对一个或多个目标发动 DoS 攻击 从 而成倍地提高拒绝服务攻击的威力 通常 攻击者使用一个偷窃帐号将 DDoS 主控 程序安装在一个计算机上 在一个设定的时间主控程序将与大量代理程序通讯 代 理程序已经被安装在 Internet 上的许多计算机上 代理程序收到指令时就发动攻击 利用客户 服务器技术 主控程序能在几秒钟内激活成百上千次代理程序的运行 1 21 21 2 网页挂马网页挂马网页挂马网页挂马 网页挂马就是黑客入侵了一些网站后 将自己编写的网页木马嵌入被黑网站的 主页中 利用被黑网站的流量将自己的网页木马传播开去 以达到自己不可告人的 目的 例如很多游戏网站被挂马 黑客的目的就是盗取浏览该网站玩家的游戏账号 而那些大型网站被挂马 则是为了搜集大量的肉鸡 网站被挂马不仅会让自己的网 站失去信誉 丢失大量客户 也会让普通用户陷入黑客设下的陷阱 沦为黑客的肉 鸡 挂马的目的就是将木马传播出去 挂马只是一种手段 挂马使用的木马大致可 以分为两类 一类是以远程控制为目的的木马 黑客使用这种木马进行挂马攻击 其目的是为了得到大量的肉鸡 以此对某些网站实施拒绝服务攻击或达到其他目的 目前绝大多数实施拒绝服务攻击的傀儡计算机都是挂马攻击的受害者 另一类 是键盘记录木马 我们通常称其为盗号木马 其目的不言而喻 都是冲着游戏帐号 或者银行帐号来的 1 31 31 3 网络扫描探测网络扫描探测网络扫描探测网络扫描探测 扫描一个系统或者一个网络 网站 通常是为了发现这个被扫描的对象在提供哪 些服务 目的是为了找出漏洞 进而实施攻击 如通过网络扫描探测 便可以得到 当前服务器所运行的操作系统 WEB 服务 或者邮件服务器 BIND Telnet FTP RPC 等详细信息和脆弱性 目前主流的网络扫描探测的方法是 FIN 扫描 FIN 秘密扫描的工作原理就是 向它的目的地一个根本不存在的连接发送 FIN 信息 如果这项服务没有开 那么目 的地会响应一条错误信息 但如果是有这项服务 那么它将忽略这条消息 这样 扫描者的问题 你运行 X 吗 就有了答案 而且还不会在系统中有所记录 1 41 41 4 口令攻击 暴力破解口令攻击 暴力破解口令攻击 暴力破解口令攻击 暴力破解 穷举穷举穷举穷举 攻击者攻击目标时常常把破译用户的口令作为攻击的开始 只要攻击者能猜测 或者确定用户的口令 他就能获得机器或者网络的访问权 并能访问到用户能访问 到的任何资源 如果这个用户有域管理员或 root 用户权限 这是极其危险的 对于网站服务器来说 主流的管理方式是采用远程管理 如 Windows 的 3389 服务 Terminal Services Telnet SSH 等 假如由于管理员安全意识的疏忽采用了 弱口令作为远程登录系统的密码 则遭受到黑客的入侵机率将大大增加 如 穷举 口令 另外 目前主流的网站都采用后台管理形式 如 CMS 如果由于网站应用程序 的问题或者管理员的疏忽设置了弱口令 则同样会面临黑客的口令攻击的威胁 如 暴力破解数据库密码 MD5 后台管理口令等 1 51 51 5 网页篡改网页篡改网页篡改网页篡改 作为面向整个互联网开放服务的网站所面临的安全威胁主要是主机服务器被入 侵造成网页被篡改 数据被破坏等后果 从网站页面被篡改的角度来看 存在两种 攻击的可能 一种是网站被入侵 也就是说网站页面确实被篡改了 另外一种是网 站被劫持 这种情况下网站的页面实际上并没用被篡改 但是攻击者劫持了网络访 问并发送欺骗页面给来访者 进而造成页面被篡改的表象 网站被入侵其实就等于攻击者可以在网站上进行未授权的写操作 进而造成了 网页被篡改的事实 主要入侵途径有 1 通过网络服务漏洞进行缓存溢出获得主机控制权 黑客通过对 IIS RPC 等存在的漏洞的网络服务进行缓冲溢出 执行未授权的代码和命令 在系统中直接 添加管理员账号 从而控制了服务器主机 至此 篡改网站页面就是很简单的事情 了 2 通过密码猜测与破解获得管理员密码 黑客通过暴力或字典对正常的网络 管理服务进行猜测破解 或者是设法获得管理员的密码加密串到本地进行暴力破解 一旦破解成功就获得了相应的管理权限 进而实施网页篡改 3 通过 Web 漏洞和设计缺陷进行攻击入侵 当前网站程序越来越复杂 越 来越庞大 导致程序员疲于完成开发任务 而无力顾及设计和开发过程中需要注意 的安全问题 进而导致程序中大量存在身份验证不严 存在 SQL 注入和跨站攻击 及可未授权上传文件等严重安全隐患 此问题也是当前导致绝大多数网站网页被非 法篡改的主要因素 网站被劫持存在多种可能 主要是发生在访问者到网站主机的网络路径被中断 并劫持 访问者看到的是被欺骗的页面 实际上网站的页面并没用被篡改 主要劫 持途径有 1 访问者的机器被木马病毒劫持 一旦访问者的机器被植入木马和病毒后 这 些病毒可能会劫持浏览器 进而发送欺骗页面 2 访问者的局域网被黑客劫持 黑客通过 ARP 欺骗护控制网关机等形式对 访问者的局域网进行劫持 并发送欺骗页面个访问者 造成网页被篡改的假象 3 主机服务器所在的局域网被黑客劫持 与 2 原理一样 黑客可通过 ARP 欺骗等形式对网站页面进行劫持 导致所有访问网站的来访者看到的是被篡改 的页面 这也是最主要的网站被劫持手段 通过上面的分析我们可以看到 1 和 2 影响的其实仅仅是访问者本人和局 域网的用户 他们看到的是被欺骗篡改的页面 而其它的外部访问者访问到的网站 页面都是正常的 而 3 的问题就比较严重了 因为是主机服务器被欺骗 所有 来访者看到的都将是被欺骗篡改的页面 1 61 61 6 漏洞攻击漏洞攻击漏洞攻击漏洞攻击 漏洞攻击是对系统威胁较为严重的一种黑客行为手段 利用系统或应用程序漏 洞 黑客可以直接拿到系统权限 造成重大影响 例如 0day expolit 零日漏洞 是指被发现后立即被恶意利用的安全漏洞 这种攻击利用厂商缺少防范意识或缺少 补丁 从而能够造成巨大破坏 零日漏洞 常常被在某一产品或协议中找到安全漏洞的黑客所发现 一旦他 们被发现 零日漏洞 攻击就会迅速传播 一般通过 Internet 中继聊天或地下网站传 播 虽然还没有出现大量的 零日漏洞 攻击 但其威胁日益增长 证据如下 黑客 更加善于在发现安全漏洞不久后利用他们 过去 安全漏洞被利用一般需要几个月 时间 最近 发现和利用之间的时间间隔已减少到了数天 人们掌控的安全漏洞知识越来越多 就有越来越多的漏洞被发现和利用 因此 零日漏洞 攻击成为多数企业的灾难 一般的企业使用防火墙 入侵检测系统和防 病毒软件来保护关键业务 IT 基础设施 这些系统提供了良好的第一级保护 但是 尽管安全人员尽了最大的努力 他们仍不能保护企业免遭受零天利用攻击 1 71 71 7 注入攻击注入攻击注入攻击注入攻击 随着 B S 模式应用开发的发展 使用这种模式编写应用程序的程序员也越来越 多 但是由于程序员的水平及经验也参差不齐 相当大一部分程序员在编写代码的 时候 没有对用户输入数据的合法性进行判断 使应用程序存在安全隐患 用户可 以提交一段数据库查询代码 根据程序返回的结果 获得某些他想得知的数据 这 就是所谓的 SQL Injection 即 SQL 注入 SQL 注入是从正常的 WWW 端口访问 而且表面看起来跟一般的 Web 页面访 问没什么区别 所以目前市面的防火墙都不会对 SQL 注入发出警报 如果管理员 没查看 IIS 日志的习惯 可能被入侵很长时间都不会发觉 但是 SQL 注入的手法 相当灵活 在注入的时候会碰到很多意外的情况 能不能根据具体情况进行分析 构造巧妙的 SQL 语句 从而成功获取想要的数据 SQL 注入攻击的总体思路是 发现 SQL 注入位置 判断后台数据库类型 确定 SHELL 可执行情况 发现 WEB 虚拟目录 上传木马 得到管理员权限 1 81 81 8 跨站脚本攻击跨站脚本攻击跨站脚本攻击跨站脚本攻击 跨站脚本攻击也是基于 CSS XSS 的攻击 是指在远程 WEB 页面的 html 代码中 插入的具有恶意目的的数据 用户认为该页面是可信赖的 但是当浏览器下载该页 面 嵌入其中的脚本将被解释执行 有时候跨站脚本被称为 XSS 这是因为 CSS 一般被称为分层样式表 这很容易让人困惑 如果提到 CSS 或者 XSS 安全漏洞 通常指得是跨站脚本 XSS 和脚本注射的区别在于 Script Injection 脚本插入攻击会把插入的脚本保 存在被修改的远程 WEB 页面里 而跨站脚本是临时的 执行后就消失了 主流脚本包括几种 HTML JavaScript VBScript ActiveX Flash 导致网 站存在 XSS 漏洞的原因主要是许多 cgi php 脚本执行时 如果它发现客户提交的请 求页面并不存在或其他类型的错误时 出错信息会被打印到一个 html 文件 并将该 错误页面发送给访问者 黑客通过对这些信息的判断 从而挖掘 XSS 漏洞 举个例子说明 黑客通过研究 挖掘出一个可利用的邮件服务器的 XSS 利用 跨站脚本 XSS 向目标用户 如系统管理员 发送电子邮件 这封邮件里包含特殊 构造的内容和 XSS 一旦用户打开邮件并查看时 会有两种情况 第一 个人的密 码 session cookie 等信息将会被黑客所记录并且得到 第二 出现登录界面 跨 站页面 并且 URL 地址显示是与真实服务器地址一样的 要求输入密码 这个时 候如果安全意识较为薄弱的用户就会毫不犹豫的输入 虽然也能正常登录 可其密 码已经被黑客所记录并得到 因为 XSS 跨站脚本攻击的危害系数也是相当高的 一般黑客都将其与社会工程学结合利用 1 91 91 9 病毒 恶意代码攻击病毒 恶意代码攻击病毒 恶意代码攻击病毒 恶意代码攻击 从目前主流情况看来 一般所说的病毒除了传统意义上的不断复制自我的程序 逐渐上升到与黑客技术和系统漏洞挂钩与相结合的蠕虫 恶意代码 蠕虫 WORM 病毒是通过分布式网络来扩散特定的信息或错误的 进而造成网络服务 器遭到拒绝并发生死锁 蠕虫病毒由两部分组成 一个主程序和另一个是引导程序 主程序一旦在计算 机中得到建立 就可以去收集与当前机器联网的其他机器的信息 它能通过读取公 共配置文件并检测当前机器的联网状态信息 尝试利用系统的缺陷在远程机器上建 立引导程序 就是这个一般被称作是引导程序或类似于钓鱼的小程序 把蠕虫病毒 带入了它所感染的每一台机器中 蠕虫病毒程序能够常驻于一台或多台机器中 并有自动重新定位 autorelocation 的能力 假如它能够检测到网络中的某台机器没有被占用 它就把自身的一个拷贝 一个程序段 发送到那台机器 每个程序段都能把自身的拷贝重新定位于另一台机 器上 并且能够识别出它自己所占用的哪台机器 计算机网络系统的建立是为了使多台计算机能够共享数据资料和外部资源 然 而也给计算机蠕虫病毒带来了更为有利的生存和传播的环境 在网络环境下 蠕虫病毒可以按指数增长模式进行传染 蠕虫病毒侵入计算机 网络 可以导致计算机网络效率急剧下降 系统资源遭到严重破坏 短时间内造成 网络系统的瘫痪 因此网络环境下蠕虫病毒防治必将成为计算机防毒领域的研究重 点 在网络环境中 蠕虫病毒具有一些新的特性 传染方式多 传播速度快 清除 难度大 破坏性强 2 2 2 应急处理方案应急处理方案应急处理方案应急处理方案 2 12 12 1 拒绝服务攻击拒绝服务攻击拒绝服务攻击拒绝服务攻击 2 1 12 1 12 1 1 发现手段发现手段发现手段发现手段 通过入侵检测系统的告警事件发现 通过防火墙的报警日志发现 定时查看网络日志 网络连接表 通过利用网络流量监控管理系统 及时发现网络中的异常流量 对路由器网络连接情况进行人工审计 包括查看日志 通过专用抗拒绝服务攻击设备发现当前网络遭受攻击的情况 2 1 22 1 22 1 2 抑制和根除抑制和根除抑制和根除抑制和根除 拒绝服务攻击无法通过有效手段来杜绝和防御 但可以通过专用设备如 抗拒绝服务攻击系统提高当前系统的防护能力 通过对系统本身的有效配置和加固 以提高抗拒绝服务攻击的能力 通过对网络结构的优化 降低设备遭到攻击的可能性 2 1 32 1 32 1 3 恢复恢复恢复恢复 遭受拒绝服务攻击不用重装系统和恢复数据 当系统遭受到攻击后 通过手工恢复系统网络连接表 2 1 42 1 42 1 4 跟进跟进跟进跟进 做好数据备份 并定时人工审核系统日志 发现可疑的攻击行为 定时检查系统的网络连接情况 及时发现攻击 通过部署专用设备 及时发现系统受到攻击的情况 2 22 22 2 网页挂马网页挂马网页挂马网页挂马 2 2 12 2 12 2 1 发现手段发现手段发现手段发现手段 人为检查和发现 人工审核网站程序源代码 包括群众举报 通过防病毒系统发现 发现网页中存在木马会报警 人工审计系统 WEB 服务访问日志 发现可疑信息 通过网页防篡改系统发现 实时监控 一旦发现被挂马立刻发出报警 通过 WEB 应用扫描系统检测发现 对网站安全性进行测试 2 2 22 2 22 2 2 抑制和根除抑制和根除抑制和根除抑制和根除 人工审核和修改网站程序源代码和脚本 去除不安全因素的程序语句和脚 本 部署网页防篡改系统 最大化保证网站页面不被非法篡改和挂马 对 WEB 服务器进行安全加固 包括打补丁 增强自身安全性 降低被黑 客入侵和控制的可能性 2 2 32 2 32 2 3 恢复恢复恢复恢复 在 WEB 服务器上停止 WEB 服务 拔接入互联网的网线 DNS 上删除解析数据 利用防病毒系统 删除或恢复被挂马的网页 人工对网页中的木马代码进行清除 恢复页面 修改和调整网站源程序和脚本 防止再次被黑客入侵后挂马 修改防火墙策略 禁止相关服务器双向数据流 如发现 WEB 服务器被入侵和挂马 则在修复的同时 如需要则重装系统 同时恢复数据 2 2 42 2 42 2 4 跟进跟进跟进跟进 做好数据备份 并定时人工审核系统日志 发现可疑的攻击行为 部署网页防篡改系统 如发现网页被篡改和挂马则会立刻发出报警并恢复 页面 定时人工审核网站程序源代码和脚本 从而发现挂马的行为 定时利用 WEB 应用扫描系统和防病毒系统对网站的页面和程序文件 脚本 进行扫描 从而发现异常情况和挂马的行为 2 32 32 3 网络扫描探测网络扫描探测网络扫描探测网络扫描探测 2 3 12 3 12 3 1 发现手段发现手段发现手段发现手段 通过部署入侵检测系统发现 发现网络探测行为后发出报警 通过人工对系统日志进行审核发现 发现可疑信息 通过查看系统网络连接表发现 发现大量网络连接行为 2 3 22 3 22 3 2 抑制和根除抑制和根除抑制和根除抑制和根除 利用入侵监测系统阻断 发现扫描探测行为后进行阻断连接 对系统进行安全加固 增强系统自身安全性 同时修改系统信息 屏蔽系 统关键信息 给黑客的扫描探测行为制造难度 部署前置机 建立蜜罐系统 诱导黑客获取错误的系统信息 2 3 32 3 32 3 3 恢复恢复恢复恢复 网络扫描探测暂时不会给系统造成不良影响 但要注意已经做了 HA 的系 统和网络设备 一般来说不用恢复 如发现做了 HA 的系统或网络设备由于黑客的扫描探 测行为而当机 立刻启动恢复预案 2 3 42 3 42 3 4 跟进跟进跟进跟进 利用入侵检测系统监视黑客的下一步行动 定时对系统日志进行人工审核 从而及时发现可疑行为 2 42 42 4 口令攻击 暴力破解口令攻击 暴力破解口令攻击 暴力破解口令攻击 暴力破解 穷举穷举穷举穷举 2 4 12 4 12 4 1 发现手段发现手段发现手段发现手段 通过入侵检测系统发现 发现暴力破解和穷举口令密码的行为 通过审核系统安全策略和日志发现 发现日志和安全策略中登录成功和失 败的可疑信息 通过应用系统日志发现 发现应用系统管理后台登录成功和失败的可疑信 息 2 4 22 4 22 4 2 抑制和根除抑制和根除抑制和根除抑制和根除 设置复杂的系统口令 并定期更换 强壮口令 定期更换 给黑客的暴力 破解口令行为制造困难 设置复杂的应用系统口令 并定期更换 强壮口令 定期更换 给黑客的 暴力破解口令行为制造困难 配置系统安全策略 安全加固 配置登录失败的次数 包括配置登录失败 后锁定和禁止 IP 的时间 给黑客制造难度 禁止系统中不用的帐户 防止带来安全隐患 删除可疑系统中的帐户 同时恢复数据 2 4 32 4 32 4 3 恢复恢复恢复恢复 在 web 服务器上停止 web 服务 拔接入互联网的网线 DNS 上删除解析数据 发现系统口令被破解 可疑帐户登录 发现应用系统口令被破解 建立了可疑帐户 如在必要的时候 则重新安装系统 同时恢复数据 2 4 42 4 42 4 4 跟进跟进跟进跟进 做好数据备份 并定时人工审核系统日志 发现可疑的攻击行为 通过利用入侵检测系统实时监测黑客的口令破解行为 设置系统和应用系统的口令 要复杂 并定期更换 定期审核系统日志 查看登录成功和失败信息 从而发现可疑信息和帐户 2 52 52 5 网页篡改网页篡改网页篡改网页篡改 2 5 12 5 12 5 1 发现手段发现手段发现手段发现手段 在 web 服务器上停止 web 服务 拔接入互联网的网线 DNS 上删除解析数据 人工检查和发现 人工审核和群众举报发现 网站防篡改系统发现 实时监测网站程序文件和脚本 发现被非法篡改后 报警 文件保护系统发现 实时监测关键和重要文件等信息 发现被非法修改后 报警 2 5 22 5 22 5 2 抑制和根除抑制和根除抑制和根除抑制和根除 人工审核和修改网站程序源代码和脚本 去除不安全因素的程序语句和脚 本 合理设计网站程序并编写安全代码 网站目录设计上尽可能将只需要读权 限的脚本和需要有写权限的目录单独放置 尽量不要采用第三方不明开发 插件 将网站的程序名字按照一定的规律进行命名以便识别 编写代码过 程重要注意对输入串进行约束 过滤可能产生攻击的字符串 需要权限的 页面要加上身份验证代码 设置复杂的管理员密码 无论是系统管理员 Administrator 和 Root 还是 FTP 及网站管理员的密码 都务必要设置为复杂密码 设置合适的网站权限 网站权限设置包括网站目录文件的权限和网站虚拟 目录的权限 网站目录文件权限设置原则是 只给需要写入的目录以写的 权限 其它全为只读权限 网站虚拟目录的权限设置原则是 只给需要执 行脚本的目录赋予执行脚本的权限 其它目录均为无 防止 ARP 欺骗的发生 从 ARP 欺骗其实就是利用了 ARP 包不经认证的特 点 比较有效的是在路由器和交换机上对 IP 和 MAC 进行绑定 不支持绑 定的可在服务器上设定为从服务器到网关为静态 ARP 表 利用 WEB 应用扫描系统 对网站程序和脚本进行安全检测 发现问题及时 修补 部署网页防篡改系统 最大化保证网站页面不被非法篡改 对服务器进行安全加固 包括打补丁 增强自身安全性 降低被黑客入侵 和控制的可能性 部署文件保护系统 最大化保证重要文件和关键信息不被非法修改 2 5 32 5 32 5 3 恢复恢复恢复恢复 将原来备份的数据和信息进行人工恢复 修改网站程序文件和脚本 去除不安全因素的语句和脚本 通过利用网页防篡改系统自动恢复被非法篡改的页面 通过利用文件保护系统自动恢复被非法修改的重要文件和关键信息 2 5 42 5 42 5 4 跟进跟进跟进跟进 做好数据备份 并定时人工审核系统日志 发现可疑的攻击行为 定时人工审核和利用 WEB 应用扫描系统对重要信息和文件以及网站程序脚 本进行安全检测 发现问题及时修复 通过利用网页防篡改系统和文件保护系统实时保护重要文件和关键信息 发现文件被修改等异常情况后立刻报警并自动恢复 2 62 62 6 漏洞攻击漏洞攻击漏洞攻击漏洞攻击 2 6 12 6 12 6 1 发现手段发现手段发现手段发现手段 部署防火墙发现 防火墙能够有效阻断绝大部分漏洞攻击行为 如 反弹 SHELL 端口 部署入侵检测系统发现 入侵检测能够实时发现漏洞攻击行为并阻断 部署入侵防御系统发现 入侵防御系统能够实时发现漏洞攻击行为并及时 阻断 部署漏洞扫描系统发现 漏洞扫描系统能够扫描系统 对系统的安全性进 行检测 从而发现系统漏洞和弱点 部署 WEB 应用扫描系统发现 WEB 应用防火墙实时发现针对网站程序和 脚本的漏洞进行攻击的行为并阻断 部署 WEB 应用防火墙发现 WEB 应用防火墙实时发现针对网站程序和脚 本的漏洞进行攻击的行为并阻断 人工审核系统日志发现 查看系统日志 发现可疑的攻击行为 2 6 22 6 22 6 2 抑制和根除抑制和根除抑制和根除抑制和根除 部署安全防护类系统 通过部署安全防护类系统能够最大化保证网络 网 站以及系统的安全性 降低系统被黑客利用漏洞入侵和攻击成功的可能性 对系统进行安全加固 通过对系统进行安全加固 如 打补丁 配置安全 策略 关闭不必要的服务 禁止不用的帐户等 能够最大化保证网络和系 统的安全性 降低被黑客入侵和攻击成功的可能性 修改网站程序和脚本 通过对网站的程序和脚本进行人工修改 从而去除 存在不安全因素的语句和脚本 消除安全隐患和安全漏洞 能够最大化保 证网站和系统的安全性 2 6 32 6 32 6 3 恢复恢复恢复恢复 在 web 服务器上停止 web 服务 拔接入互联网的网线 DNS 上删除解析数据 一旦发现被攻击 包括网站页面被篡改 植入木马 后门等时 立刻查找 问题的所在 同时对系统进行加固 对网站程序和脚本进行修改 从而防 止被二次攻击 如黑客攻击成功并破坏了系统和网站数据 则需要进行人工修补和恢复 必要时重装系统并恢复数据 2 6 42 6 42 6 4 跟进跟进跟进跟进 做好数据备份 并定时人工审核系统日志 发现可疑的攻击行为 做好系统的安全加固 修改网站程序和脚本 确认漏洞已经修补后 部署 安全防护类系统 实时保护系统 防止再次被攻击 同时继续跟踪黑客的 下一步行动 2 72 72 7 注入攻击注入攻击注入攻击注入攻击 2 7 12 7 12 7 1 发现手段发现手段发现手段发现手段 人为检查发现 人工审核网站程序源代码 重点在允许用户提交的 form 和 URL 通过检测工具对 web 页面做全面的检查 人工审计系统 WEB 服务访问日志 发现可疑信息 部署入侵检测系统发现 入侵检测能够实时发现大规模扫描 黑客在利用 注入攻击时长伴随着大量的扫描 通过 WEB 应用扫描系统检测发现 检查数据库 查看是否存在可疑的字段或表 2 7 22 7 22 7 2 抑制和根除抑制和根除抑制和根除抑制和根除 人工审核和修改网站程序源代码和脚本 去除不安全因素的程序语句和脚 本 对网站所承载的系统 web 服务器 数据库 或服务器 做系统的加固操作 降低在遭受 SQL 注入攻击后引起的风险 对关键的 web 程序 增加专门的防注入程序 当恶意用户提交特殊关键字 时 系统自动屏蔽恶意数据 并提示用户操作有误或直接跳转到当前浏览 页面 如果当前 web 程序使用的是通用模板 如较常见的动易 DZ 等程序 则要 关注新进发现的程序漏洞 并及时修补 2 7 32 7 32 7 3 恢复恢复恢复恢复 在 web 服务器上停止 web 服务 拔接入互联网的网线 DNS 上删除解析数据 人工对漏洞程序进行及时修补 部署防注入程序 避免再次发生类似攻击 修改和调整网站源程序和脚本 防止再次被黑客入侵 全面检测 web 程序 查看是否有后门存在 如果存在 则立即删除 查看数据库 以及系统 确保用户和系统账户都为当前应用所需 如发现 可疑帐号 确认后进行删除 2 7 42 7 42 7 4 跟进跟进跟进跟进 对关键的 web 程序 部署专门的防注入程序 定时利用 WEB 应用扫描系统和防病毒系统对网站的页面和程序文件 脚本 进行扫描 从而主动发现注入漏洞 定期对系统 web 服务器 数据库等进行评估和加固 对 web 服务器 常见的有 IIS apache tomcat 等 进行检查 首先确保 使用版本为最新 低版本一般都存在可被利用的漏洞 对服务器管理方面做全面的审查 防止系统弱口令 web 登录弱口令以及数 据库的弱口令的存在 做好数据备份 并定时人工审核系统日志 发现可疑的攻击行为 2 82 82 8 跨站脚本攻击跨站脚本攻击跨站脚本攻击跨站脚本攻击 2 8 12 8 12 8 1 发现手段发现手段发现手段发现手段 人为检查发现 人工审核网站程序源代码 如用户提交的 form 和 URL 通过检测工具对 web 页面做全面的检查 部署入侵检测系统发现 入侵检测能够实时发现大规模扫描 黑客在利用 注入攻击时长伴随着大量的扫描 通过 WEB 应用扫描系统检测发现 2 8 22 8 22 8 2 抑制和根除抑制和根除抑制和根