[精选]信息安全应急响应系列之网站入侵分析.pptx

《[精选]信息安全应急响应系列之网站入侵分析.pptx》由会员分享，可在线阅读，更多相关《[精选]信息安全应急响应系列之网站入侵分析.pptx（46页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全应急响应系列之信息安全应急响应系列之网站入侵分析网站入侵分析20102010年年4 4月月内容回忆1.安全应急响应背景介绍安全应急响应背景介绍2.网站被入侵事件的发现网站被入侵事件的发现3.入侵手段分析及源地址追踪入侵手段分析及源地址追踪4.收尾及报告撰写收尾及报告撰写5.典型案例分析典型案例分析第一节：安全应急响应背景介绍什么是应急响应Emergency Response/Incident Response:Emergency Response/Incident Response:安全人员在遇到突发事件后所采取的措施和行动。突发事件：突发事件：影响一个系统正常工作的情况。这里的系统包

2、括主机范畴内的问题，也包括网络范畴内的问题。这里的“情况包括常见的黑客入侵、信息窃取等，也包括拒绝效劳攻击、网络流量异常等。应急响应效劳的目的是最快速度恢复系统恢复系统，阻止和减小安全事件带来的影响，在确保恢复的工作中，应急处理人员需要保存各种必要的证据，以方便日后追究责任追究责任 。应急响应的开展背景1988年11月发生的莫里斯蠕虫病毒事件Morris Worm Incident致使当时的互联网络超过10%的系统不能工作。基于该事件以及对安全应急响应认识的深入，卡内基梅隆大学的软件工程学院SEI向 国防部高级研究工程处申请了资金，成立了计算机应急响应协调中心CERT/CC，协调处理整个互联网

3、的信息安全应急响应。应急响应组织主要应急响应组织及关系应急响应的一般步骤 事件事件去除去除 恢复恢复业务业务 事件事件总结总结 手段分析手段分析 攻击者分析攻击者分析 宏观分析宏观分析发现发现定位和分析定位和分析恢复恢复 举报、主举报、主动搜动搜 索、发现恶意索、发现恶意代码代码应急响应的形式远程应急响应效劳本地应急响应效劳远程应急响应客户通过、Email、等方式请求安全事件响应，应急响应组通过相同的方式为客户解决问题。经与客户网络相关人员确认后，客户方提供主机或设备的临时支持账号，由应急响应组远程登陆主机进行检测和效劳，问题解决后出具详细的应急响应效劳报告。远程系统无法登陆，或无法通过远程访

4、问的方式替客户解决问题，客户确认后，转到本地应急相应流程，同时此次远程响应无效，归于本地应急响应类型。本地应急响应效劳应急响应组在第一时间赶往客户网络系统安全事件的事发地点，在现场为客户查找事发原因并解决相应问题，最后出具详细的应急响应效劳报告。应急响应的特点技术复杂性与专业性技术复杂性与专业性各种硬件平台、操作系统、应用软件知识经验的依赖性知识经验的依赖性由IRT中的人提供效劳，而不是一个硬件或软件产品 突发性强突发性强需要广泛的协调与合作需要广泛的协调与合作第二节：网站被入侵事件的发现网站入侵安全事件发现用户报告系统管理员检测IDS报警实时监控系统其它方式入侵信息核实被入侵站点网址当前时间

5、和日期事件报告人事件特性事发时间相关硬件和软件相关人员联系方法被入侵网站的现象页面篡改异常效劳非法账号页面挂马第三节：入侵手段分析及源地址追踪第三节：入侵手段分析及源地址追踪技术装备的准备高端笔记本、大高端笔记本、大容量硬盘、接口容量硬盘、接口转换器、各类线转换器、各类线缆、数码相机缆、数码相机软件软件文档文档 硬件硬件系统检查工具、系统检查工具、硬盘镜像工具、硬盘镜像工具、网络监听工具网络监听工具工具使用手册、工具使用手册、应急响应流程文应急响应流程文档、应急响应记档、应急响应记录文档录文档数据收集查看账户信息查看系统日志查看注册表Windows查看网络连接状况查看账户登录状况搜索近期修改文

6、件查看网站日志检查数据库修改情况Windows下常用响应工具工具工具主要功能主要功能Wsyscheck.exe可查看进程、内核、效劳等Sysinternals系列该工具包含有大量用于Windows检查的工具Netset列出所有监听端口及这些端口的所有连接者IceSword列出所有正在运行的进程及其命令参数和各自运行所需的DLLWebshell扫描器可以检查效劳器指定目录中可能存在的Webshell文件网站恶意木马扫描器WebshellScannerLinux下常用的响应工具工具工具主要功能主要功能ps可查看系统当前运行的进程Locate/find用于查找指定名称的文件Netstat列出所有监听

7、端口及这些端口的所有连接者Grep/awk列出所有包含指定字符串的文件，可以用于查找可以的后门以及Webshell文件strace开始或者附加到一个当前运行的进程中，显示这个进程所作的所有系统调用。这可以用来判断程序运行的行为，并且来决定是否是适宜的程序。Grep命令的使用查找一句话木马假设网站的目录为/app/website/，我们需要查看该目录下是否包含该形式的一句话木马文件：方方法法1：$grep-ireval$_post/app/website/*其中-i表示不区分大小写，-r表示搜索指定目录及其子目录方方法法2:$find/app/website/-typef|xargsgrepev

8、al$_postxargs将find搜索出的文件名称变成grep后面需要的参数strace命令的使用作用：跟踪程序执行时的系统调用和所接收的信号，通常的用法是strace执行一直到mand结束。例如：用strace来调试apache的执行过程，比方apache的PID为3334，命令如下：#strace-p3334-etrace=open,readapache在翻开AllowOverrideAll时straceapache的进程会发现有很多open操作，apache需要遍历web目录下所有的目录查找.htaccess文件，当设置为none时open操作明显减少，可以结合压力测试看到效果。数据分

9、析针对收集到的账户信息、文件修改情况、系统日志、网站日志等进行综合分析和归纳，确认是否存在以下情况：系统含有非法账号系统中含有异常效劳程序系统局部文件被篡改，或发现有新的文件系统安全日志中有非正常登陆情况网站日志中有非授权地址访问管理页面记录数据分析通过异常文件的创立和修改时间，一般可以判断攻击者对网站进行入侵的时间段；对异常效劳或进程的追踪，可以查找恶意文件，确认攻击后的后门，以及攻击时间；网站目录下的异常文件，对判断攻击手段具有参考意义；网站访问日志可以对攻击手段、时间和攻击源地址的追踪提供有力的证据。系统安全日志中的登录信息同样可以用于判断攻击者来源。第四节：收尾及报告撰写收尾工作拷贝系

10、统日志、网站访问日志、异常文件以及截图文件；在得到客户许可的情况下，删除恶意程序、效劳；如有必要，对确认已删除非法文件的网站程序文件和数据库进行备份；恢复网站业务正常运行；锁定网站效劳器。报告的撰写严格按照BJCA安全效劳记录单的模板进行应急响应报告的撰写；报告中需客观描述客户的问题以及对我方的需求；描述分析过程，确保结论有据可查，配以截图等形式来展示；提出有效的安全建议；将报告提交给工程经理，工程经理有义务对报告进行审核，防止泄密或错别字等现象出现。第五节：典型案例介绍案例一：北京市XX局网站效劳器被控制问问题题：1.北京市XX局工作人员被报告其效劳器在对网络中的其他主机进行ARP攻击。登录

11、到该效劳器上，发现一个新的管理员用户，疑心该效劳器已经被恶意攻击者所控制。2.客户要求我公司工程师查找效劳器出现问题的原因，并找出黑客是如何攻击、并获取该效劳器权限的，从而防止以后出现同样的问题。分析过程分析过程1.查看效劳器进程信息，有许多xiao$的进程存在；2.检查系统用户，发现异常账号xiao$分析过程续分析过程续3.查看效劳器文件修改情况，发现许多黑客工具分析过程分析过程续续4.查看中间件配置文件5.检查中间件的upload文件分析过程分析过程续续6.分析WebLogic日志，发现来自湖北省孝感市电信用户IP：58.51.146.5访问WebLogic控制台，并创立新的工程结论恶意攻

12、击者源IP地址为：58.51.146.5利用WebLogic控制台默认管理员用户名和密码，增加了新的工程，生成了WebShell；通过WebShell添加了新的管理员账号，进而获取效劳器的控制权限；恶意攻击者在登陆操作系统后，对效劳器所在局域网进行了嗅探和ARP攻击，以及网络扫描攻击。案例二：北京市XX委网站页面被挂马问题：问题：1.北京市XX委工作人员被报告其效劳器页面存在被挂马的现象，访问指定页面时，被防病毒软件报警提示。2.客户要求我公司工程师查被挂马问题的原因，并找出黑客是通过哪种漏洞实施的攻击，从而防止以后出现同样的问题。分析过程挂马页面分析：找出访问时被挂马页面中，网马的地址：分析

13、过程续对效劳器网站目录中的这两个页面的源程序进行了检查，但在这两页面的源程序中未发现被篡改的情况出现，因此我们推测应为数据库挂马，即将网马的地址插入到数据库中，当访问动态页面并调用数据时将网马显示在访问的页面中。分析过程续 检查被挂马页面内容所在的数据库表内容，发现该表中所有内容都被写入了网马地址分析过程续IIS访问日志中，发现从11月28号到12月1号有大量针对该站点的注入攻击现象，源IP地址为：219.238.148.6。分析过程续通过对注入攻击的16进制的内容进行复原，内容为：dEcLaRetvArChAr255,cvArChAr255dEcLaRetAbLe_cursoRcUrSoRF

14、oRsElEcTa.nAmE,b.nAmEFrOmsYsObJeCtSa,sYsCoLuMnSbwHeRea.iD=b.iDAnDa.xTyPe=uAnDb.xTyPe=99oRb.xTyPe=35oRb.xTyPe=231oRb.xTyPe=167oPeNtAbLe_cursoRfEtChnextFrOmtAbLe_cursoRiNtOt,cwhilefEtCh_status=0bEgInexecUpDaTe+t+sEt+c+=rtrimconvertvArChAr,+c+!-fEtChnextFrOmtAbLe_cursoRiNtOt,ceNdcLoSetAbLe_cursoRdEAlLo

15、CaTetAbLe_cursoR 这些正是将网马地址插入到数据库中的操作，恶意攻击者通过这种方式来实现网页挂马。declaretvarchar255,cvarchar255declaretable_cursorcursorforselecta.name,b.namefromsysobjectsa,syscolumnsbwherea.id=b.idanda.xtype=uandb.xtype=99orb.xtype=35orb.xtype=231orb.xtype=167opentable_cursorfetchnextfromtable_cursorintot,cwhilefetch_stat

16、us=0beginexecupdate+t+set+c+=rtrimconvertvarchar,+c+!-fetchnextfromtable_cursorintot,cendclosetable_cursordeallocatetable_cursor结论1.网站程序本身存在输入脚本过滤不严格的问题。通过对IIS访问日志分析，发现该网站近期一直被恶意攻击。恶意攻击者利用SQL注入漏洞，将网马地址写入到数据库中，在访问被挂马页面时网马地址被调用显示。2.通过定位分析，可疑攻击IP地址为北京电信通的219.238.148.6。内容回忆1.安全应急响应背景介绍安全应急响应背景介绍2.网站被入侵事

17、件的发现网站被入侵事件的发现3.入侵手段分析及源地址追踪入侵手段分析及源地址追踪4.收尾及报告撰写收尾及报告撰写5.典型案例分析典型案例分析BlueGrayRedOrangeThank YouThank You！-以效劳求生存，以创新求开展以效劳求生存，以创新求开展攻防实验室：陈青民攻防实验室：陈青民邮箱：邮箱：chenqingminbjca.org ：139101309179、静夜四无邻，荒居旧业贫。4月-234月-23Monday,April17,202310、雨中黄叶树，灯下白头人。19:45:1619:45:1619:454/17/20237:45:16PM11、以我独沈久，愧君相见频

18、。4月-2319:45:1619:45Apr-2317-Apr-2312、故人江海别，几度隔山川。19:45:1619:45:1619:45Monday,April17,202313、乍见翻疑梦，相悲各问年。4月-234月-2319:45:1619:45:16April17,202314、他乡生白发，旧国见青山。17四月20237:45:16下午19:45:164月-2315、比不了得就不比，得不到的就不要。四月237:45下午4月-2319:45April17,202316、行动出成果，工作出财富。2023/4/1719:45:1619:45:1617April202317、做前，能够环视四

19、周；做时，你只能或者最好沿着以脚为起点的射线向前。7:45:16下午7:45下午19:45:164月-239、没有失败，只有暂时停止成功！。4月-234月-23Monday,April17,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。19:45:1619:45:1619:454/17/20237:45:16PM11、成功就是日复一日那一点点小小努力的积累。4月-2319:45:1619:45Apr-2317-Apr-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。19:45:1619:45:1619:45Monday,April17,202313、不知香积

20、寺，数里入云峰。4月-234月-2319:45:1619:45:16April17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17四月20237:45:16下午19:45:164月-2315、楚塞三湘接，荆门九派通。四月237:45下午4月-2319:45April17,202316、少年十五二十时，步行夺得胡马骑。2023/4/1719:45:1619:45:1617April202317、空山新雨后，天气晚来秋。7:45:16下午7:45下午19:45:164月-239、杨柳散和风，青山澹吾虑。4月-234月-23Monday,April17,202310、阅读一切好书

21、如同和过去最杰出的人谈话。19:45:1619:45:1619:454/17/20237:45:16PM11、越是没有本领的就越加自命非凡。4月-2319:45:1619:45Apr-2317-Apr-2312、越是无能的人，越喜欢挑剔别人的错儿。19:45:1619:45:1619:45Monday,April17,202313、知人者智，自知者明。胜人者有力，自胜者强。4月-234月-2319:45:1619:45:16April17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17四月20237:45:16下午19:45:164月-2315、最具挑战性的挑战莫过于提升自

22、我。四月237:45下午4月-2319:45April17,202316、业余生活要有意义，不要越轨。2023/4/1719:45:1619:45:1617April202317、一个人即使已登上顶峰，也仍要自强不息。7:45:16下午7:45下午19:45:164月-23MOMODA POWERPOINTLoremipsumdolorsitamet,consecteturadipiscingelit.Fusceidurnablandit,eleifendnullaac,fringillapurus.Nullaiaculistemporfelisutcursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉