[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
目录
一、应急响应是 安全相关岗位的 必问知识点
通常以场景题的形式出现,如:
新建的服务器正在受到暴力破解,你该怎么协助他,你上服务器后该怎么做?
服务器受到攻击,你的解决思路是什么?
服务器在上午10点出现异常,你该怎么处理?
等等的问题......
我们根据客户的描述,进行判断:
1. 异常时间是否已知
2. 攻击类型类型是否已知
3. 攻击位置是否已知
4. 是否发现后门文件
如果客户没有描述出来,我们也可以进行询问
二、那么什么应急响应呢 ???
应急响应:通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。
计算机网络安全事件应急响应:
对象是指针对计算机或网络所存储、传输、处理的信息的安全事件
主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。
按照计算机信息系统安全的三个目标,可以把安全事件定义为破坏信息或信息处理系统CIA的行为。
常见的恶意行为:
1.破坏保密性的安全事件:比如入侵系统并读取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等;
2.破坏完整性的安全事件:比如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马(如BackOrifice2K)、计算机病毒(修改文件或引导区)等;
3.破坏可用性(战时最可能出现的网络攻击)的安全事件:比如系统故障、拒绝服务攻击、计算机蠕虫(以消耗系统资源或网络带宽为目的)等。但是越来越多的人意识到,CIA界定的范围太小了,比如以下事件通常也是应急响应的对象:
4.扫描:包括地址扫描和端口扫描等,为了侵入系统寻找系统漏洞。
5.抵赖:指一个实体否认自己曾经执行过的某种操作,比如在电子商务中交易方之一否认自己曾经定购过某种商品,或者商家否认自己曾经接受过订单。
6.垃圾邮件骚扰:垃圾邮件是指接收者没有订阅却被强行塞入信箱的广告、政治宣传等邮件,不仅耗费大量的网络与存储资源,也浪费了接收者的时间。
7.传播色情内容:尽管不同的地区和国家政策不同,但是多数国家对于色情信息的传播是限制的,特别是对于青少年儿童的不良影响是各国都极力反对的。
8.愚弄和欺诈:是指散发虚假信息造成的事件,比如曾经发生过几个组织发布应急通告,声称出现了一种可怕的病毒“Virtual Card for You”,导致大量惊惶失措的用户删除了硬盘中很重要的数据,导致系统无法启动。
应急响应意义:
1. 未雨绸缪:即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施;
2. 亡羊补牢:即在事件发生后采取的措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,比如发现事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
三、应急响应基本流程:
1. 总体来说:
表现—>收集—>攻击—>追查—>修复:
表现:(发现异常)
1. 网站部分:篡改、丢失乱码
2. 文件部分:丢失、篡改、泄露
3. 系统部分:系统卡顿、CPU爆满、服务宕机
4. 流量部分:大量数据包、陌生外部连接、网速网络卡顿
5. 第三方服务部分:服务异常、运行异常
收集:(收集信息)
1. 操作系统:linux、windows、mac
2. 具体收集内容:对外服务、开放端口、系统版本、网络环境、漏洞情况、软件平台、口令整理、有无防护
攻击:(模拟攻击)
1. web攻击:漏洞攻击、结合攻击、流量攻击
2. 第三方攻击:数据库、远程网站、服务平台
3. 操作系统攻击:权限提升、内网渗透、远程漏洞
追查:
日志分析、后门分析、流量分析、脚本软件分析、模拟渗透分析
修复:
根据攻击手段,进行相应的修复
2. 实际工作中的具体流程(五阶段)
保护阶段,分析阶段,复现阶段,修复阶段,建议阶段
目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。
保护阶段:
客户反应出现问题的时候第一时间保护法案现场(一般就是直接断网)(需询问客户是否可以)
(防止攻击者持续渗透)(及时备份之前的东西)
分析阶段:
自己分析攻击行为,找到攻击漏洞
复现阶段:
复现攻击者行为(漏洞复现)(复现有助于对当前环境安全性的理解和检测)
修复阶段:(临时解决)
处理发现的攻击行为,防止服务器再次受到同类威胁
建议阶段:(根本上解决)
防止漏洞再次被攻击给出相应的合理解决方案
3. 做应急响应必备知识点:
1.熟悉常见的WEB安全攻击技术
2.熟悉相关日志启用及存储查看等 (常见中间件日志iis apache nginx tomcat…)
大部分是查看属性 或者配置文件 获取日志文件(工作中网上查找就可以了)
3.熟悉日志中记录数据分类及分析等
4. 做应急响应准备工作:
1.收集目标服务器各类信息
2.部署相关分析软件及平台等(本地部署相应的分析软件或平台 把日志文件放上去自动分析 再配上人工分析 就可以很快掌握到攻击的事件)
3.整理相关安全渗透工具指纹库(和WAF拦截工具原理一样)(根据特征(指纹)拦截)
4.针对异常表现第一时间触发思路(客户告诉我的相关信息要有思路解决)
从表现预估入侵面及权限面进行排查
5. 有明确信息网站被入侵:
基于时间 基于操作 基于指纹 基于其他
告诉你什么时间出现异常,就可以筛选时间 减少看垃圾日志浪费的时间
客户告诉你他的数据库崩了(数据更改了) 数据库安全问题
修改了哪个网站 就会想到要是你来攻击你会怎么入手 连接会用哪些工具(软件就有指纹) 就可以直接在日志中定位这个指纹 就可以第一时间找到攻击者攻击的数据包在哪
6. 无明确信息网站被入侵:
1.WEB漏洞-检查源码类别及漏洞情况
2.中间件漏洞-检查对应版本及漏洞情况
3.第三方应用漏洞-检查是否存在漏洞应用
4.操作系统层面漏洞-检查是否存在系统漏洞
5.其他安全问题(口令,后门等)-检查相关应用口令及后门扫描
不知道干嘛,不知道有什么危害 只知道有异常
这个时候我们就要排查:
可能是网站自身的问题,可能是中间件上面的问题,服务器上安装的第三方软件的问题,操作系统方面,其他问题:如弱口令,网页源码中带有后门等
7. 应急响应常见分析方法:
指纹库搜索,日志时间分析,后门追查分析,漏洞检查分析等
四、工作中分析流程(重点):
日志分析、后门分析、流量分析、脚本软件分析、模拟渗透分析