网站篡改演练方案(演练方案

1、文档编号：文档编号： 密密 级：内部级：内部 网站篡改事件网站篡改事件 应急演练方案应急演练方案 北京启明星辰信息技术股份有限公司北京启明星辰信息技术股份有限公司 二二一一年六月年六月 拟拟 制制 修修 改改 审审 核核 批批 准准 读读 取取 文档版本控制文档版本控制 版本号版本号发布日期发布日期简要说明简要说明 1.02010-06-27初稿初稿 目录目录 1引言引言.4 2适用范围适用范围.5 3本次演练目标本次演练目标.6 4演练内容综述演练内容综述.7 4.1演练事件描述.7 4.2本次演练原则.7 4.3演练时间计划.7 4.4方案启动条件.7 5演练工作方案演练工作方案.8 5.

2、1演练准备工作.8 5.2演练场景搭建.9 5.3演练收场工作.9 6演练脚本演练脚本.10 7改进工作改进工作.12 1 引言引言 通过实施具体场景的应急演练来提高应急组织的应急响应能力，本方案针 对特定场景的具体演练情况进行描述，主要从演练技术操作层面描述整个演练 实施过程，包括场景搭建、演练脚本等内容。 2 适用适用范围范围 本演练方案仅适用于本次在广东电网公司对网站被挂马的应急演练。如果 其它应急演练需要，则必须对本演练方案内容进行审核及调整。 3 本次演练目标本次演练目标 通过本次演练，检验网站篡改预案以及本应急演练方案的完善性和指导性， 同时也提高本单位相关工作人员与第三方亚运安保

3、服务机构的协同，并通过后 续的演练总结，完善演练预案及方案、改进应急操作及流程、全面提高网站篡 改事件的应急响应能力。 4 演练内容综述演练内容综述 4.14.1 演练事件描述演练事件描述 通过在广东电网公司内网架设一套独立的环境，模拟网站被挂马，在最短 时间恢复被篡改的网站对象至正常状态，并追踪攻击来源，清除后门，做好补 漏工作。 4.24.2 本次演练原则本次演练原则 本次演练在不影响广东电网网络系统的情况下进行。因此，搭建一套专用 的演练网络，所有操作均在该网络上进行。 4.34.3 演练时间计划演练时间计划 根据本次演练方案，整个网站挂马应急演练，不超过 1 小时（不包括前期 场景搭建

4、及准备时间） 。 4.44.4 方案启动条件方案启动条件 架设虚拟网站，模拟被入侵挂马，即启动该应急预案。 5 演练工作方案演练工作方案 5.15.1 演练准备工作演练准备工作 1、 演练沟通会。 （确定演练时间、地点、人员） 通过双方召开的演练沟通会，确定本次演练相关人员： 角色角色姓名姓名电话电话备注备注 实时监测人员 应急保障人员 管理协调人员 系统维护人员 应急管理人员。 上级协调人员 同一工作人员可担任多个角色，同一角色亦可由多人担任。 演练地点：XXX 演练时间：XXX 夜间 12 点开始 2、 确定需要备份的系统 由于本次演练环境为专门搭建，不存在需要备份的系统。 3、 确定其它

5、影响 由于本次演练环境为专门搭建，不会对其它任何系统造成影响。 5.25.2 演练场景搭建演练场景搭建 1、三层交换机一台，需支持端口镜像功能。交换机设置网关为 ； 2、服务器两台（可用虚拟系统代替，均为 WINDOWS 2003 操作系统） ，其中一台 搭建被攻击网站，另一台搭建超级巡警统一网站安全监控系统，一台 PC 用 来做攻击方； 3、网关 IP 为 ，攻击方 IP 为 ，被攻击网站服务器 IP 为 0，超级巡警服务器 IP 为 1； 4、软件工具有：网马扫描工具 MHTSca

6、n、MSScaner，网马分析工具 MDecoder。 三层交换机 网关地址： 被攻击方 IP:0 掩码：255.255.255。0 网关：0 超级巡警服务器 IP：1 掩码： 网关： 攻击方 IP: 掩码：255.255.2555.0 网关： 5.35.3 演练收场工作演练收场工作 1、移除演练环境，测试网络是否正常； 2、总结演练成果（见“改进工作”一章） 。 6 演练脚本演练脚本 阶段阶段演练脚本内容演练脚本内

7、容 1 1、准备、准备1、由应急保障人员备份以搭建好的网站并准备应急页面；（24:00- 24:05） 2、由应急保障人员在超级巡警统一网站安全监控系统上加入被攻击 网站的 URL 并在该服务器上安装网马扫描工具 MHTScan、MSScaner，网马 分析工具 MDecoder； （24:05-24:10） 3、模拟入侵服务器，在 PC 上用远控桌面（3389）登陆服务器 A 并在 网站页面上添加模拟木马代码：。 ；（24:10-24:15） 2 2、检测、检测1、由实时监测人员登录超级巡警统一网站安全监控系统即 1 查看被攻击网站的被挂马情况；（24:15

8、- 24:20） 2、由应急保障人员在分别利用工具 MHTScan、MSScaner、MDecoder 分析网站被挂马情况。 （24:20-24:32） 3 3、抑制、抑制1、由应急保障人员备份网站日志和网页文件，停止运行网站； （24:32-24:36） 2、由应急保障人员暂启用应急网站，避免停止服务。 （24:36- 24:38） 4 4、恢复、恢复1、由应急保障人员恢复网站备份，开启网站；（24:38-24:45） 2、由应急保障人员在测试网站可用性。 （24:45-24:46） 5 5、 根除根除1、 由系统维护人员修改加强管理员密码；（服务器密码过于简单） 2、 由系统维护人员删除系统、网站和数据库多余账号；（权限） 。 （被入侵，留下后门） 3、 由系统维护人员更新服务器补丁；（服务器本身有楼道） 4、 由系统维护人员更新网站版本。 （网站代码有漏洞） （24:46-24:55） 6 6、追踪、追踪1、由应急管理人员汇报上级（24:55-