《信息安全应急响应系列之网站入侵分析.ppt》由会员分享,可在线阅读,更多相关《信息安全应急响应系列之网站入侵分析.ppt(45页珍藏版)》请在金锄头文库上搜索。
1、信息安全应急响应系列之 网站入侵分析,陈青民 2010年4月,内容回顾,1. 安全应急响应背景介绍,2. 网站被入侵事件的发现,3. 入侵手段分析及源地址追踪,4. 收尾及报告撰写,5. 典型案例分析,第一节:安全应急响应背景介绍,什么是应急响应,Emergency Response/Incident Response:安全人员在遇到突发事件后所采取的措施和行动。 突发事件:影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题。这里的“情况”包括常见的黑客入侵、信息窃取等,也包括拒绝服务攻击、网络流量异常等。 应急响应服务的目的是最快速度恢复系统,阻止和减小安全事
2、件带来的影响,在确保恢复的工作中,应急处理人员需要保存各种必要的证据,以方便日后追究责任 。,应急响应的发展背景,1988年11月发生的莫里斯蠕虫病毒事件(Morris Worm Incident)致使当时的互联网络超过10%的系统不能工作。基于该事件以及对安全应急响应认识的深入,卡内基梅隆大学的软件工程学院(SEI)向美国国防部高级研究项目处申请了资金,成立了计算机应急响应协调中心(CERT/CC),协调处理整个互联网的信息安全应急响应。,应急响应组织,美国 http:/www.cert.org/ 中国 http:/ 清华 http:/ 台湾省 http:/www.cert.org.tw/
3、欧洲 http:/ 新加坡 http:/www.singcert.org.sg/ 印尼 http:/www.paume.itb.ac.id/rahard/id-cert/ 瑞士 http:/www.switch.ch/cert/ 澳大利亚 http:/www.auscert.org.au/ 德国 http:/www.cert.dfn.de/eng/ 日本 http:/www.jpcert.or.jp/ 马来西亚 http:/www.mycert.mimos.my/ 韩国 http:/www.certcc.or.kr/ 墨西哥 http:/www.mxcert.org.mx/ 菲律宾 http:
4、/ 恢复业务 事件总结,手段分析 攻击者分析 宏观分析,发现,定位和分析,恢复,举报、主动搜 索、发现恶意代码,应急响应的形式,远程应急响应服务,本地应急响应服务,远程应急响应,客户通过电话、Email、传真等方式请求安全事件响应,应急响应组通过相同的方式为客户解决问题。 经与客户网络相关人员确认后,客户方提供主机或设备的临时支持账号,由应急响应组远程登陆主机进行检测和服务,问题解决后出具详细的应急响应服务报告。 远程系统无法登陆,或无法通过远程访问的方式替客户解决问题,客户确认后,转到本地应急相应流程,同时此次远程响应无效,归于本地应急响应类型。,本地应急响应服务,应急响应组在第一时间赶往客
5、户网络系统安全事件的事发地点,在现场为客户查找事发原因并解决相应问题,最后出具详细的应急响应服务报告。,应急响应的特点,技术复杂性与专业性 各种硬件平台、操作系统、应用软件 知识经验的依赖性 由IRT中的人提供服务,而不是一个硬件或软件产品 突发性强 需要广泛的协调与合作,第二节:网站被入侵事件的发现,网站入侵安全事件发现,用户报告 系统管理员检测,IDS报警(实时监控系统) 其它方式,入侵信息核实,被入侵站点网址 当前时间和日期 事件报告人 事件特性 事发时间 相关硬件和软件 相关人员联系方法,被入侵网站的现象,页面篡改 异常服务 非法账号 页面挂马,第三节:入侵手段分析及源地址追踪,技术装
6、备的准备,高端笔记本、大容量硬盘、接口转换器、各类线缆、数码相机,软件,文档,硬件,系统检查工具、硬盘镜像工具、网络监听工具,工具使用手册、应急响应流程文档、应急响应记录文档,数据收集,查看账户信息 查看系统日志 查看注册表(Windows) 查看网络连接状况 查看账户登录状况 搜索近期修改文件 查看网站日志 检查数据库修改情况,Windows下常用响应工具,网站恶意木马扫描器(Webshell Scanner),Linux下常用的响应工具,Grep命令的使用,查找一句话木马() 假设网站的目录为/app/website/,我们需要查看该目录下是否包含该形式的一句话木马文件: 方法1: $ g
7、rep -i r eval($_post /app/website/* 其中-i表示不区分大小写,-r表示搜索指定目录及其子目录 方法2: $find /app/website/ -type f|xargs grep eval($_post xargs 将find搜索出的文件名称变成 grep后面需要的参数,strace命令的使用,作用:跟踪程序执行时的系统调用和所接收的信号,通常的用法是strace执行一直到command结束。 示例: 用strace来调试apache的执行过程,比如apache的PID为3334,命令如下: #strace -p 3334 -e trace=open,re
8、ad apache在打开AllowOverride All时strace apache的进程会发现有很多open操作,apache需要遍历web目录下所有的目录查找.htaccess文件,当设置为none时open操作明显减少,可以结合压力测试看到效果。,数据分析,针对收集到的账户信息、文件修改情况、系统日志、网站日志等进行综合分析和归纳,确认是否存在以下情况: 系统含有非法账号 系统中含有异常服务程序 系统部分文件被篡改,或发现有新的文件 系统安全日志中有非正常登陆情况 网站日志中有非授权地址访问管理页面记录,数据分析,通过异常文件的创建和修改时间,一般可以判断攻击者对网站进行入侵的时间段;
9、 对异常服务或进程的追踪,可以查找恶意文件,确认攻击后的后门,以及攻击时间; 网站目录下的异常文件,对判断攻击手段具有参考意义; 网站访问日志可以对攻击手段、时间和攻击源地址的追踪提供有力的证据。 系统安全日志中的登录信息同样可以用于判断攻击者来源。,第四节:收尾及报告撰写,收尾工作,拷贝系统日志、网站访问日志、异常文件以及截图文件; 在得到客户许可的情况下,删除恶意程序、服务; 如有必要,对确认已删除非法文件的网站程序文件和数据库进行备份; 恢复网站业务正常运行; 锁定网站服务器。,报告的撰写,严格按照 BJCA安全服务记录单的模板进行应急响应报告的撰写; 报告中需客观描述客户的问题以及对我
10、方的需求; 描述分析过程,确保结论有据可查,配以截图等形式来展示; 提出有效的安全建议; 将报告提交给项目经理,项目经理有义务对报告进行审核,避免泄密或错别字等现象出现。,第五节:典型案例介绍,案例一:北京市XX局网站服务器被控制,问题: 北京市XX局工作人员被报告其服务器在对网络中的其他主机进行ARP攻击。登录到该服务器上,发现一个新的管理员用户,怀疑该服务器已经被恶意攻击者所控制。 客户要求我公司工程师查找服务器出现问题的原因,并找出黑客是如何攻击、并获取该服务器权限的,从而避免以后出现同样的问题。,分析过程,查看服务器进程信息,有许多xiao$的进程存在; 检查系统用户, 发现异常账号x
11、iao$,分析过程(续),查看服务器文件修改情况,发现许多黑客工具,分析过程(续),查看中间件配置文件 检查中间件的upload文件,分析过程(续),分析WebLogic日志,发现来自湖北省孝感市电信用户IP:58.51.146.5访问WebLogic控制台,并创建新的项目,结论,恶意攻击者(源IP地址为:58.51.146.5)利用WebLogic控制台默认管理员用户名和密码,增加了新的项目,生成了WebShell; 通过WebShell添加了新的管理员账号,进而获取服务器的控制权限; 恶意攻击者在登陆操作系统后,对服务器所在局域网进行了嗅探和ARP攻击,以及网络扫描攻击。,案例二:北京市X
12、X委网站页面被挂马,问题: 北京市XX委工作人员被报告其服务器页面存在被挂马的现象,访问指定页面时,被防病毒软件报警提示。 客户要求我公司工程师查被挂马问题的原因,并找出黑客是通过哪种漏洞实施的攻击,从而避免以后出现同样的问题。,分析过程,挂马页面分析:找出访问时被挂马页面中,网马的地址:,分析过程(续),对服务器网站目录中的这两个页面的源程序进行了检查,但在这两页面的源程序中未发现被篡改的情况出现,因此我们推测应为数据库挂马,即将网马的地址插入到数据库中,当访问动态页面并调用数据时将网马显示在访问的页面中。,分析过程(续),检查被挂马页面内容所在的数据库表内容,发现该表中所有内容都被写入了网
13、马地址,分析过程(续),IIS访问日志中,发现从11月28号到12月1号有大量针对该站点的注入攻击现象,源IP地址为:219.238.148.6。,分析过程(续),通过对注入攻击的16进制的内容进行还原,内容为:,dEcLaRe t vArChAr(255),c vArChAr(255) dEcLaRe tAbLe_cursoR cUrSoR FoR sElEcT a.nAmE,b.nAmE FrOm sYsObJeCtS a,sYsCoLuMnS b wHeRe a.iD=b.iD AnD a.xTyPe=u AnD (b.xTyPe=99 oR b.xTyPe=35 oR b.xTyPe=
14、231 oR b.xTyPe=167) oPeN tAbLe_cursoR fEtCh next FrOm tAbLe_cursoR iNtO t,c while(fEtCh_status=0) bEgIn exec(UpDaTe +t+ sEt +c+=rtrim(convert(vArChAr,+c+)+“,这些正是将网马地址插入到数据库中的操作,恶意攻击者通过这种方式来实现网页挂马。,declare t varchar(255),c varchar(255) declare table_cursor cursor for select a.name,b.name from sysobje
15、cts a,syscolumns b where a.id=b.id and a.xtype=u and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) open table_cursor fetch next from table_cursor into t,c while(fetch_status=0) begin exec(update +t+ set +c+=rtrim(convert(varchar,+c+)+“,结论,网站程序本身存在输入脚本过滤不严格的问题。通过对IIS访问日志分析,发现该网站近期一直被恶意攻击。恶意攻击者利用SQL注入漏洞,将网马地址写入到数据库中,在访问被挂马页面时网马地址被调用显示。 通过定位分析,可疑攻击IP地址为北京电信通的219.238.148.6。,内容回顾,1. 安全应急响应背景介绍,2. 网站被入侵事件的发现,3. 入侵手段分析及源地址追踪,4. 收尾及报告撰写,5. 典型案例分析,Blue,Gray,Red,Orange,Thank You! -以服务求生存,以创新求发展,攻防实验室:陈青民 邮箱: 电话:13910130917,
