[精选]信息安全应急响应系列之网站入侵分析36623.pptx

北京数字证书认证中心2007年10月1信息安全应急响应系列之信息安全应急响应系列之网站入侵分析网站入侵分析陈青民青民20102010年年4 4月月北京数字证书认证中心2010年4月2内容回顾1.安全应急响应背景介绍安全应急响应背景介绍2.网站被入侵事件的发现网站被入侵事件的发现3.入侵手段分析及源地址追踪入侵手段分析及源地址追踪4.收尾及报告撰写收尾及报告撰写5.典型案例分析典型案例分析北京数字证书认证中心2010年4月3第一节：安全应急响应背景介绍北京数字证书认证中心2010年4月4什么是应急响应Emergency Response/Incident Response:Emergency Response/Incident Response:安全人员在遇到突发事件后所采取的措施和行动。突发事件：突发事件：影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题。这里的“情况”包括常见的黑客入侵、信息窃取等，也包括拒绝服务攻击、网络流量异常等。应急响应服务的目的是最快速度恢复系统恢复系统，阻止和减小安全事件带来的影响，在确保恢复的工作中，应急处理人员需要保存各种必要的证据，以方便日后追究责任追究责任 。北京数字证书认证中心2010年4月5应急响应的发展背景1988年11月发生的莫里斯蠕虫病毒事件（Morris Worm Incident）致使当时的互联网络超过10%的系统不能工作。基于该事件以及对安全应急响应认识的深入，卡内基梅隆大学的软件工程学院（SEI）向美国国防部高级研究项目处申请了资金，成立了计算机应急响应协调中心（CERT/CC），协调处理整个互联网的信息安全应急响应。北京数字证书认证中心2010年4月6应急响应组织北京数字证书认证中心2010年4月7主要应急响应组织及关系北京数字证书认证中心2010年4月8应急响应的一般步骤 事件事件清除清除 恢复恢复业务业务 事件事件总结总结 手段分析手段分析 攻击者分析攻击者分析 宏观分析宏观分析发现发现定位和分析定位和分析恢复恢复 举报、主举报、主动搜动搜 索、发现恶意索、发现恶意代码代码北京数字证书认证中心2010年4月9应急响应的形式远程应急响应服务本地应急响应服务北京数字证书认证中心2010年4月10远程应急响应客户通过电话、Email、传真等方式请求安全事件响应，应急响应组通过相同的方式为客户解决问题。经与客户网络相关人员确认后，客户方提供主机或设备的临时支持账号，由应急响应组远程登陆主机进行检测和服务，问题解决后出具详细的应急响应服务报告。远程系统无法登陆，或无法通过远程访问的方式替客户解决问题，客户确认后，转到本地应急相应流程，同时此次远程响应无效，归于本地应急响应类型。北京数字证书认证中心2010年4月11本地应急响应服务应急响应组在第一时间赶往客户网络系统安全事件的事发地点，在现场为客户查找事发原因并解决相应问题，最后出具详细的应急响应服务报告。北京数字证书认证中心2010年4月12应急响应的特点技术复杂性与专业性技术复杂性与专业性各种硬件平台、操作系统、应用软件知识经验的依赖性知识经验的依赖性由IRT中的人提供服务，而不是一个硬件或软件产品 突发性强突发性强需要广泛的协调与合作需要广泛的协调与合作北京数字证书认证中心2010年4月13第二节：网站被入侵事件的发现北京数字证书认证中心2010年4月14网站入侵安全事件发现用户报告系统管理员检测IDS报警（实时监控系统）其它方式北京数字证书认证中心2010年4月15入侵信息核实被入侵站点网址当前时间和日期事件报告人事件特性事发时间相关硬件和软件相关人员联系方法北京数字证书认证中心2010年4月16被入侵网站的现象页面篡改异常服务非法账号页面挂马北京数字证书认证中心2010年4月17第三节：入侵手段分析及源地址追踪第三节：入侵手段分析及源地址追踪北京数字证书认证中心2010年4月18技术装备的准备高端笔记本、大高端笔记本、大容量硬盘、接口容量硬盘、接口转换器、各类线转换器、各类线缆、数码相机缆、数码相机软件软件文档文档 硬件硬件系统检查工具、系统检查工具、硬盘镜像工具、硬盘镜像工具、网络监听工具网络监听工具工具使用手册、工具使用手册、应急响应流程文应急响应流程文档、应急响应记档、应急响应记录文档录文档北京数字证书认证中心2010年4月19数据收集查看账户信息查看系统日志查看注册表（Windows）查看网络连接状况查看账户登录状况搜索近期修改文件查看网站日志检查数据库修改情况北京数字证书认证中心2010年4月20Windows下常用响应工具工具工具主要功能主要功能Wsyscheck.exe可查看进程、内核、服务等Sysinternals系列该工具包含有大量用于Windows检查的工具Netset列出所有监听端口及这些端口的所有连接者IceSword列出所有正在运行的进程及其命令参数和各自运行所需的DLLWebshell扫描器可以检查服务器指定目录中可能存在的Webshell文件北京数字证书认证中心2010年4月21网站恶意木马扫描器(WebshellScanner)北京数字证书认证中心2010年4月22Linux下常用的响应工具工具工具主要功能主要功能ps可查看系统当前运行的进程Locate/find用于查找指定名称的文件Netstat列出所有监听端口及这些端口的所有连接者Grep/awk列出所有包含指定字符串的文件，可以用于查找可以的后门以及Webshell文件strace开始或者附加到一个当前运行的进程中，显示这个进程所作的所有系统调用。这可以用来判断程序运行的行为，并且来决定是否是合适的程序。北京数字证书认证中心2010年4月23Grep命令的使用查找一句话木马（）假设网站的目录为/app/website/，我们需要查看该目录下是否包含该形式的一句话木马文件：方法方法1：$grep-ireval($_post/app/website/*其中-i表示不区分大小写，-r表示搜索指定目录及其子目录方法方法2:$find/app/website/-typef|xargsgrepeval($_postxargs将find搜索出的文件名称变成grep后面需要的参数北京数字证书认证中心2010年4月24strace命令的使用作用：跟踪程序执行时的系统调用和所接收的信号，通常的用法是strace执行一直到command结束。示例：用strace来调试apache的执行过程，比如apache的PID为3334，命令如下：#strace-p3334-etrace=open,readapache在打开AllowOverrideAll时straceapache的进程会发现有很多open操作，apache需要遍历web目录下所有的目录查找.htaccess文件，当设置为none时open操作明显减少，可以结合压力测试看到效果。北京数字证书认证中心2010年4月25数据分析针对收集到的账户信息、文件修改情况、系统日志、网站日志等进行综合分析和归纳，确认是否存在以下情况：系统含有非法账号系统中含有异常服务程序系统部分文件被篡改，或发现有新的文件系统安全日志中有非正常登陆情况网站日志中有非授权地址访问管理页面记录北京数字证书认证中心2010年4月26数据分析通过异常文件的创建和修改时间，一般可以判断攻击者对网站进行入侵的时间段；对异常服务或进程的追踪，可以查找恶意文件，确认攻击后的后门，以及攻击时间；网站目录下的异常文件，对判断攻击手段具有参考意义；网站访问日志可以对攻击手段、时间和攻击源地址的追踪提供有力的证据。系统安全日志中的登录信息同样可以用于判断攻击者来源。北京数字证书认证中心2010年4月27第四节：收尾及报告撰写北京数字证书认证中心2010年4月28收尾工作拷贝系统日志、网站访问日志、异常文件以及截图文件；在得到客户许可的情况下，删除恶意程序、服务；如有必要，对确认已删除非法文件的网站程序文件和数据库进行备份；恢复网站业务正常运行；锁定网站服务器。北京数字证书认证中心2010年4月29报告的撰写严格按照BJCA安全服务记录单的模板进行应急响应报告的撰写；报告中需客观描述客户的问题以及对我方的需求；描述分析过程，确保结论有据可查，配以截图等形式来展示；提出有效的安全建议；将报告提交给项目经理，项目经理有义务对报告进行审核，避免泄密或错别字等现象出现。北京数字证书认证中心2010年4月30第五节：典型案例介绍北京数字证书认证中心2010年4月31案例一：北京市XX局网站服务器被控制问题：问题：1.北京市XX局工作人员被报告其服务器在对网络中的其他主机进行ARP攻击。登录到该服务器上，发现一个新的管理员用户，怀疑该服务器已经被恶意攻击者所控制。2.客户要求我公司工程师查找服务器出现问题的原因，并找出黑客是如何攻击、并获取该服务器权限的，从而避免以后出现同样的问题。北京数字证书认证中心2010年4月32分析过程分析过程1.查看服务器进程信息，有许多xiao$的进程存在；2.检查系统用户，发现异常账号xiao$北京数字证书认证中心2010年4月33分析过程（续）分析过程（续）3.查看服务器文件修改情况，发现许多黑客工具北京数字证书认证中心2010年4月34分析过程分析过程（续）（续）4.查看中间件配置文件5.检查中间件的upload文件北京数字证书认证中心2010年4月35分析过程分析过程（续）（续）6.分析WebLogic日志，发现来自湖北省孝感市电信用户IP：58.51.146.5访问WebLogic控制台，并创建新的项目北京数字证书认证中心2010年4月36结论恶意攻击者（源IP地址为：58.51.146.5）利用WebLogic控制台默认管理员用户名和密码，增加了新的项目，生成了WebShell；通过WebShell添加了新的管理员账号，进而获取服务器的控制权限；恶意攻击者在登陆操作系统后，对服务器所在局域网进行了嗅探和ARP攻击，以及网络扫描攻击。北京数字证书认证中心2010年4月37案例二：北京市XX委网站页面被挂马问题：问题：1.北京市XX委工作人员被报告其服务器页面存在被挂马的现象，访问指定页面时，被防病毒软件报警提示。2.客户要求我公司工程师查被挂马问题的原因，并找出黑客是通过哪种漏洞实施的攻击，从而避免以后出现同样的问题。北京数字证书认证中心2010年4月38分析过程挂马页面分析：找出访问时被挂马页面中，网马的地址：北京数字证书认证中心2010年4月39分析过程（续）对服务器网站目录中的这两个页面的源程序进行了检查，但在这两页面的源程序中未发现被篡改的情况出现，因此我们推测应为数据库挂马，即将网马的地址插入到数据库中，当访问动态页面并调用数据时将网马显示在访问的页面中。北京数字证书认证中心2010年4月40分析过程（续）检查被挂马页面内容所在的数据库表内容，发现该表中所有内容都被写入了网马地址北京数字证书认证中心2010年4月41分析过程（续）IIS访问日志中，发现从11月28号到12月1号有大量针对该站点的注入攻击现象，源IP地址为：219.238.148.6。北京数字证书认证中心2010年4月42分析过程（续）通过对注入攻击的16进制的内容进行还原，内容为：dEcLaRetvArChAr(255),cvArChAr(255)dEcLaRetAbLe_cursoRcUrSoRFoRsElEcTa.nAmE,b.nAmEFrOmsYsObJeCtSa,sYsCoLuMnSbwHeRea.iD=b.iDAnDa.xTyPe=uAnD(b.xTyPe=99oRb.xTyPe=35oRb.xTyPe=231oRb.xTyPe=167)oPeNtAbLe_cursoRfEtChnextFrOmtAbLe_cursoRiNtOt,cwhile(fEtCh_status=0)bEgInexec(UpDaTe+t+sEt+c+=rtrim(convert(vArChAr,+c+)+!-)fEtChnextFrOmtAbLe_cursoRiNtOt,ceNdcLoSetAbLe_cursoRdEAlLoCaTetAbLe_cursoR 这些正是将网马地址插入到数据库中的操作，恶意攻击者通过这种方式来实现网页挂马。declaretvarchar(255),cvarchar(255)declaretable_cursorcursorforselecta.name,b.namefromsysobjectsa,syscolumnsbwherea.id=b.idanda.xtype=uand(b.xtype=99orb.xtype=35orb.xtype=231orb.xtype=167)opentable_cursorfetchnextfromtable_cursorintot,cwhile(fetch_status=0)beginexec(update+t+set+c+=rtrim(convert(varchar,+c+)+!-)fetchnextfromtable_cursorintot,cendclosetable_cursordeallocatetable_cursor北京数字证书认证中心2010年4月43结论1.网站程序本身存在输入脚本过滤不严格的问题。通过对IIS访问日志分析，发现该网站近期一直被恶意攻击。恶意攻击者利用SQL注入漏洞，将网马地址写入到数据库中，在访问被挂马页面时网马地址被调用显示。2.通过定位分析，可疑攻击IP地址为北京电信通的219.238.148.6。北京数字证书认证中心2010年4月44内容回顾1.安全应急响应背景介绍安全应急响应背景介绍2.网站被入侵事件的发现网站被入侵事件的发现3.入侵手段分析及源地址追踪入侵手段分析及源地址追踪4.收尾及报告撰写收尾及报告撰写5.典型案例分析典型案例分析北京数字证书认证中心2010年4月45BlueGrayRedOrangeThank YouThank You！-以服务求生存，以创新求发展以服务求生存，以创新求发展攻防实验室：陈青民攻防实验室：陈青民邮箱：邮箱：电话：电话：13910130917北京数字证书认证中心2010年4月469、静夜四无邻，荒居旧业贫。3月-233月-23Friday,March17,202310、雨中黄叶树，灯下白头人。02:28:0802:28:0802:283/17/20232:28:08AM11、以我独沈久，愧君相见频。3月-2302:28:0802:28Mar-2317-Mar-2312、故人江海别，几度隔山川。02:28:0802:28:0802:28Friday,March17,202313、乍见翻疑梦，相悲各问年。3月-233月-2302:28:0802:28:08March17,202314、他乡生白发，旧国见青山。17三月20232:28:08上午02:28:083月-2315、比不了得就不比，得不到的就不要。三月232:28上午3月-2302:28March17,202316、行动出成果，工作出财富。2023/3/172:28:0802:28:0817March202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。2:28:08上午2:28上午02:28:083月-239、没有失败，只有暂时停止成功！。3月-233月-23Friday,March17,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。02:28:0802:28:0802:283/17/20232:28:08AM11、成功就是日复一日那一点点小小努力的积累。3月-2302:28:0802:28Mar-2317-Mar-2312、世间成事，不求其绝对圆满，留一份不足，可得无限完美。02:28:0902:28:0902:28Friday,March17,202313、不知香积寺，数里入云峰。3月-233月-2302:28:0902:28:09March17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17三月20232:28:09上午02:28:093月-2315、楚塞三湘接，荆门九派通。三月232:28上午3月-2302:28March17,202316、少年十五二十时，步行夺得胡马骑。2023/3/172:28:0902:28:0917March202317、空山新雨后，天气晚来秋。2:28:09上午2:28上午02:28:093月-239、杨柳散和风，青山澹吾虑。3月-233月-23Friday,March17,202310、阅读一切好书如同和过去最杰出的人谈话。02:28:0902:28:0902:283/17/20232:28:09AM11、越是没有本领的就越加自命不凡。3月-2302:28:0902:28Mar-2317-Mar-2312、越是无能的人，越喜欢挑剔别人的错儿。02:28:0902:28:0902:28Friday,March17,202313、知人者智，自知者明。胜人者有力，自胜者强。3月-233月-2302:28:0902:28:09March17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17三月20232:28:09上午02:28:093月-2315、最具挑战性的挑战莫过于提升自我。三月232:28上午3月-2302:28March17,202316、业余生活要有意义，不要越轨。2023/3/172:28:0902:28:0917March202317、一个人即使已登上顶峰，也仍要自强不息。2:28:09上午2:28上午02:28:093月-23MOMODA POWERPOINTLoremipsumdolorsitamet,consecteturadipiscingelit.Fusceidurnablandit,eleifendnullaac,fringillapurus.Nullaiaculistemporfelisutcursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉