《互联网安全攻防分析【行业培训】》由会员分享,可在线阅读,更多相关《互联网安全攻防分析【行业培训】(77页珍藏版)》请在金锄头文库上搜索。
1、互联网安全攻防案例分析与互联网安全攻防案例分析与网络安全技术网络安全技术主讲:郭亮主讲:郭亮安全服务部安全服务部中国电信集团系统集成公司中国电信集团系统集成公司1专业课件了解互联网安全现状,增强防范意识;了解互联网安全现状,增强防范意识;了解目前互联网常见的安全攻击技术手段,了解目前互联网常见的安全攻击技术手段,提高安全事件判别能力;提高安全事件判别能力;了解互联网安全管理与维护的定义和内容;了解互联网安全管理与维护的定义和内容;掌握安全管理与维护的基本能力,能提升掌握安全管理与维护的基本能力,能提升日常性的管理和维护工作水平。日常性的管理和维护工作水平。学习目标学习目标2专业课件议程议程u安
2、全攻防案例分析安全攻防案例分析u当前黑客与网络安全事件的特点u网络安全事件攻防案例分析u常见网络安全技术常见网络安全技术u全网防御技术u黑客侦查与追踪技术uDDoS防御技术uSQL 注入/XSS 跨站脚本u日常安全维护日常安全维护u应急处理方法应急处理方法3专业课件当前黑客与网络安全事件的特点当前黑客与网络安全事件的特点u黑客可以轻易地施行跨网、跨国攻击黑客可以轻易地施行跨网、跨国攻击u复合趋势复合趋势u攻击往往通过一级或者多级跳板进行攻击往往通过一级或者多级跳板进行u大规模事件出现日益频繁大规模事件出现日益频繁u传播速度越来越快传播速度越来越快u对终端的攻击比率越来越高对终端的攻击比率越来越
3、高u攻击事件的破坏程度在增加攻击事件的破坏程度在增加4专业课件当前黑客与网络安全事件的特点当前黑客与网络安全事件的特点u黑客可以轻易地施行跨网、跨国攻击黑客可以轻易地施行跨网、跨国攻击u攻击、入侵工具和工具包数量大量增加,可轻易从互联网上获取,使用操作更加简单方便u具有安全知识和”专业”的人员的数量在增加u复合趋势复合趋势u黑客、病毒和垃圾邮件技术整合在一个蠕虫当中u黑客组合攻击开始出现u攻击往往通过一级或者多级跳板进行攻击往往通过一级或者多级跳板进行u黑客技术水平在增强u有组织、有计划犯罪事件再增加,防止追查5专业课件当前黑客与网络安全事件的特点当前黑客与网络安全事件的特点u大规模事件出现日
4、益频繁大规模事件出现日益频繁u大规模网络蠕虫事件(“冲击波”、“震荡波”、红色代码F变种等)u大量垃圾邮件的出现u传播速度越来越快传播速度越来越快u利用系统漏洞,进行自动扫描u由于浏览网页或查看E-Mail而受到感染或攻击uDDoS攻击6专业课件当前黑客与网络安全事件的特点当前黑客与网络安全事件的特点u对终端的攻击比率越来越高对终端的攻击比率越来越高u网上游戏、网上银行和电子商务的增加u针对终端设计的黑客工具和木马u补丁与升级不够及时u缺乏安全防范意识u攻击事件的破坏程度在增加攻击事件的破坏程度在增加7专业课件典型网络安全案件分析典型网络安全案件分析木马与“网银大盗”匿名电子邮件转发溢出攻击与
5、DCOM RPC漏洞NetBios与IPCARP欺骗DDoS攻击SQL注入8专业课件木马与木马与“网银大盗网银大盗”u冰河冰河 国产木马,有G_Client.exe,G_server.exe二个文件。客户端界面9专业课件木马与木马与“网银大盗网银大盗”u“网银大盗” 网上银行构架10专业课件木马与木马与“网银大盗网银大盗”u“网银大盗”u网银大盗网银大盗II(Troj_Dingxa.A )u现象盗取网上银行的帐号、密码、验证码等。盗取网上银行的帐号、密码、验证码等。盗取网上银行的帐号、密码、验证码等。盗取网上银行的帐号、密码、验证码等。生成文件:%System%下,svch0stexe修改注册
6、表:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun下创建:svch0st.exe=%System%svch0st.exetaskmgr.exe=%System%svch0st.exe11专业课件木马与木马与“网银大盗网银大盗”u网银大盗网银大盗II(Troj_Dingxa.A )u原理木马程序,非主动传播,主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时,间接感染用户电脑u解决办法1、终止病毒进程svch0st.exe2、注册表修复3、删除病毒释放的文件svch0st.exe4、配置防火墙和边界路由器1
7、2专业课件木马与木马与“网银大盗网银大盗”u“网银大盗”案例13专业课件多媒体木马多媒体木马Internet种了木马的电脑传送信息黑客摄像头语音设备Google Search “inurl:ViewerFrame?Mode=” .http:/210.134.20.21/ViewerFrame?Mode=Motion&Language=114专业课件匿名电子邮件转发匿名电子邮件转发u漏洞名称:漏洞名称:Exchange Server匿名转发漏洞匿名转发漏洞u原理15专业课件匿名电子邮件转发匿名电子邮件转发u案例案例深圳市二十多个邮件服务器Internet某数据中心台湾日本16专业课件匿名电子邮件
8、转发匿名电子邮件转发u造成危害u网络堵塞u给利用于反动宣传uu正常邮件服务器被正常邮件服务器被正常邮件服务器被正常邮件服务器被RBLRBL组织封闭组织封闭组织封闭组织封闭u解决方法u打补丁u关闭该服务或端口25,11017专业课件溢出攻击与溢出攻击与DCOM RPC漏洞漏洞u溢出攻击原理18专业课件溢出攻击与溢出攻击与DCOM RPC漏洞漏洞uDCOM RPC DCOM RPC 漏洞原理漏洞原理19专业课件溢出攻击与溢出攻击与DCOM RPC漏洞漏洞u造成的危害造成的危害-冲击波冲击波20专业课件MY DOOM案例分析案例分析u邮件蠕虫邮件蠕虫:MY DOOMu现象通过电子邮件附件传播,设定向
9、和发起DDoS攻击u原理21专业课件ARP 欺骗欺骗1.ARP 地址解析协议ARP协议定义了两类基本的消息:1) 请求信息:包含自己的IP地址、硬件地址和请求解析的IP地址;2) 应答信息:包含发来的IP地址和对应的硬件地址。22专业课件ARP 欺骗欺骗2 2、原理、原理23专业课件ARP 欺骗欺骗3.防范ARP欺骗的方法u交换机控制u路由器隔离u防火墙与代理服务器24专业课件DDoS攻击攻击u原理原理25专业课件DDoS攻击方法攻击方法u死亡之死亡之ping (ping of death)u泪滴(泪滴(teardrop)uUDP洪水(洪水(UDP flood)uSYN洪水(洪水(SYN fl
10、ood)uLand攻击攻击uSmurf攻击攻击uFraggle攻击攻击26专业课件常用常用DDoS攻击工具攻击工具uThankgoduSYN Flooderu独裁者独裁者uTrinoouTFN2KuStacheldraht27专业课件SQL注入注入vWeb攻击模拟演示5IDS 交换机防火墙Web服务器DB服务器3Select * from product where id =9714AK47AK47M188M188DBS003DBS003typetypeDevicenameDevicenameDeviceNoDeviceNo正常访问流程正常访问流程28专业课件SQL注入注入vWeb攻击模拟演示
11、SQLSQL注入攻击流程注入攻击流程580端口HTTP请求2http:/192.168.3.25/web/n2/productview.asp?id=97;drop%20table%20dbappsecurity_new-IDS交换机防火墙Web服务器DB服务器3Select * from product where id =97Drop table dbappsecurity_new1AK47AK47M188M188DBS003DBS003typetypeDevicenameDevicenameDeviceNoDeviceNo4命令已执行成功29专业课件常见网络安全技术常见网络安全技术u全网
12、防御技术u黑客侦查与追踪技术uDDoS防御技术u应用层攻击防御(SQL 注入、XSS脚本)30专业课件 黑客侦查与追踪技术黑客侦查与追踪技术uu黑客侦查与追踪系统黑客侦查与追踪系统31专业课件黑客侦查与追踪系统黑客侦查与追踪系统u系统组成 1、现场勘查分析、现场勘查分析 2、服务器监控、服务器监控 3、远程追踪、远程追踪分析控制软件分析控制软件服务监控软件服务监控软件远程追踪探头远程追踪探头32专业课件黑客侦查与追踪系统黑客侦查与追踪系统u原理原理33专业课件黑客侦查与追踪系统黑客侦查与追踪系统u远程追踪34专业课件DDoS攻击防御技术攻击防御技术u当前当前DDoS防御技术防御技术uSYN代理
13、uSYN网关uDDoS防御网关防御网关35专业课件DDoS攻击防御方法攻击防御方法uSYN中继(代理)u工作原理工作原理HostFWFWserverserver36专业课件SYN中继(代理)1) H1) HFWFW2) H2) HSYN/ACKSYN/ACKFWFW3) H3) HACKACKFWFWFWFWS S4)4)FWFWS SFWFWS SSYNSYNSYN/ACKSYN/ACKACKACK5)5)6)6)SYNSYN37专业课件SYN中继(代理)u存在问题存在问题 FWFW必须建立一个很大的链表来储存所有必须建立一个很大的链表来储存所有必须建立一个很大的链表来储存所有必须建立一个很
14、大的链表来储存所有SYNSYN请求,当请求,当请求,当请求,当有大量的有大量的有大量的有大量的SYNSYN攻击包到来,攻击包到来,攻击包到来,攻击包到来,FWFW一样会崩溃。一样会崩溃。一样会崩溃。一样会崩溃。 保护了服务器,堵死了防火墙保护了服务器,堵死了防火墙保护了服务器,堵死了防火墙保护了服务器,堵死了防火墙38专业课件DDoS攻击防御方法攻击防御方法uSYN网关网关u工作原理HostFWFWserverserver39专业课件SYN网关H HFWFWS SFWFWS S1 1)2 2)SYNSYNSYNSYNSYN/ACKSYN/ACKH HFWFWS S3 3)H HFWFWS S4
15、 4)FWFWS S5 5)SYN/ACKSYN/ACKACKACKACKACKACKACKRSTRST40专业课件SYN网关 快速将连接试呼从快速将连接试呼从S S待办队列移开,避免服务器待办队列移开,避免服务器待办队待办队列堵塞列堵塞 定时器超时后,向定时器超时后,向S S发送连接发送连接RSTRST(复位)取消。(复位)取消。u存在问题 A A、占用服务器缓冲、占用服务器缓冲 B B、防火墙同样要储存、防火墙同样要储存SYNSYN请求链接,攻击强烈请求链接,攻击强烈时,同样会堵死防火墙时,同样会堵死防火墙41专业课件DDoS防御技术防御技术u防火墙、防火墙、DDoSDDoS防御网关对抗防
16、御网关对抗DDOSDDOS攻击的三层攻击的三层防御措施防御措施(一)(一)(一)(一)连接指纹鉴别连接指纹鉴别连接指纹鉴别连接指纹鉴别(二)自适应(二)自适应(二)自适应(二)自适应“催命催命”算法算法(三)(三)恶性服务请求攻击的防御恶性服务请求攻击的防御恶性服务请求攻击的防御恶性服务请求攻击的防御42专业课件连接指纹鉴别工作原理HostFWFWserverserver0 0积累识别技术积累识别技术积累识别技术积累识别技术, ,属国际专利属国际专利属国际专利属国际专利43专业课件连接指纹鉴别工作原理H HFWFW1 1、工作原理、工作原理、工作原理、工作原理H HFWFWH HFWFWFWF
17、WH HFWFWH HSYN/ACKSYN/ACKFWFWH HSYNSYNSYN/ACK(sn)SYN/ACK(sn)ACK(SN+1)ACK(SN+1)SYNSYNACKACK(SN(SN指纹验证指纹验证指纹验证指纹验证) )44专业课件连接指纹鉴别工作原理A、SN序列号形成算法 SN=f SN=f (源、目标(源、目标(源、目标(源、目标IPIP,源、目标端口,其它信息,秘密,源、目标端口,其它信息,秘密,源、目标端口,其它信息,秘密,源、目标端口,其它信息,秘密字)字)字)字)B、只有当主机H回答包所携带的SN号经验证合法后,才须建立连接代理。2 2、优点、优点 由于在未确认由于在未确
18、认由于在未确认由于在未确认SYNSYN请求的合法性前,无须建立请求的合法性前,无须建立请求的合法性前,无须建立请求的合法性前,无须建立连接队列,所以这种方法具备以下优点:连接队列,所以这种方法具备以下优点:连接队列,所以这种方法具备以下优点:连接队列,所以这种方法具备以下优点:A A、防火墙无须耗费内存资源、防火墙无须耗费内存资源B B、没有缓冲溢出的危险、没有缓冲溢出的危险C C、在、在NATNAT模式下不占用防火墙的连接数模式下不占用防火墙的连接数45专业课件自适应“催命”算法u针对性针对性针对通过高层编程(固定)进行的攻击,如针对通过高层编程(固定)进行的攻击,如socketsocket
19、编程中的编程中的“ “connect”connect”函数。这种攻击也能通过防火墙函数。这种攻击也能通过防火墙的指纹合法性认证而建立起连接。但该攻击的效率较的指纹合法性认证而建立起连接。但该攻击的效率较低,同时占用黑客大量主机资源。低,同时占用黑客大量主机资源。u工作原理工作原理防火墙中建立每条连接都有一个连接超时值防火墙中建立每条连接都有一个连接超时值AgeAge(又叫(又叫生命期),一般每半秒钟减一,防火墙会监控系统建生命期),一般每半秒钟减一,防火墙会监控系统建立的连接数量,按一定算法算出(加快了)的递减步立的连接数量,按一定算法算出(加快了)的递减步长长STEPSTEP,降低某些可疑连
20、接的生命期,加快这些连接,降低某些可疑连接的生命期,加快这些连接超时。超时。46专业课件恶性服务请求攻击的防御uu针对性针对性针对性针对性 一般一般SQLSQL数据库访问会占用服务器较多资源,黑客会分析数据库访问会占用服务器较多资源,黑客会分析webweb页面上耗费资源的分支请求,编写程序不停调用该分页面上耗费资源的分支请求,编写程序不停调用该分支请求,造成支请求,造成SQLSQL服务器响应不过来。服务器响应不过来。uu工作原理工作原理工作原理工作原理 给管理员一个配置接口,管理员自己可以配置一些针对给管理员一个配置接口,管理员自己可以配置一些针对性统计策略,当在一定时间内某性统计策略,当在一
21、定时间内某IPIP使用某使用某SQLSQL语句数量超语句数量超过某一阀值时,防火墙会拒绝该过某一阀值时,防火墙会拒绝该IPIP的访问。的访问。47专业课件其它措施其它措施u对于一些固定对于一些固定IPIP的恶性攻击防火墙会对该的恶性攻击防火墙会对该IPIP进行进行自动锁定,超过一定时间,一般为自动锁定,超过一定时间,一般为180180秒后再进秒后再进行开锁。行开锁。某集团内网黑客黑客FWFWserverserverDDOS网关48专业课件应用层攻击防御应用层攻击防御vvWEBWEB应用安全概述应用安全概述应用安全概述应用安全概述 针对针对WEBWEB攻击攻击 风险的产生风险的产生 跨站脚本攻击
22、跨站脚本攻击 SQLSQL注入攻击注入攻击49专业课件针对针对WEB的攻击的攻击Web ServerWeb Server身份认证数据字典权限/角色敏感信息系统文件获取缓冲区溢出DOS攻击DB ServerDB Server应用层攻击应用层攻击应用层攻击应用层攻击普通防火墙普通防火墙普通防火墙普通防火墙+ IDS + IDS 束手无策束手无策束手无策束手无策防火墙防火墙50专业课件Web风险的产生风险的产生攻击结果攻击结果泄漏客户敏感数据,例如网银账号,手机通话记录等。篡改数据,发布虚假信息或者进行交易欺诈。使WEB网站成为钓鱼攻击的平台,将攻击扩大到所有访问WEB应用的用户。例如:网银成为了钓
23、鱼的场所,那么其危害和影响是不言而喻的。拒绝服务,利用应用的弱点,造成拒绝服务,影响业务的正常运作风险的产生风险的产生80%基于WEB的应用或多或少都存在安全问题,其中很大一部分是相当严重的问题防火墙、IDS或者使用SSL协议对此毫无用处不仅仅是开放在Internet的Web存在风险更多的ERP/CRM/MSS系统也都使用了Web应用程序51专业课件跨站脚本攻击简介跨站脚本攻击简介(1)vv由于由于WEBWEB应用程序没有对用户的输入进行严格的过滤和转应用程序没有对用户的输入进行严格的过滤和转换,就导致在返回页面中可能嵌入恶意代码。远程攻击者换,就导致在返回页面中可能嵌入恶意代码。远程攻击者可
24、以利用这些漏洞在用户浏览器会话中执行任意可以利用这些漏洞在用户浏览器会话中执行任意HTMLHTML和和脚本代码。跨站脚本执行漏洞的攻击效果需要借助第三方脚本代码。跨站脚本执行漏洞的攻击效果需要借助第三方网站来显现,因此这种攻击能在一定程度上隐藏身份网站来显现,因此这种攻击能在一定程度上隐藏身份52专业课件跨站脚本攻击简介跨站脚本攻击简介(2)vv什么是跨站脚本攻击什么是跨站脚本攻击vvXSSXSS又叫又叫CSS(CrossSiteScript)CSS(CrossSiteScript),跨站脚本攻击。它指,跨站脚本攻击。它指的是恶意攻击者往的是恶意攻击者往WebWeb页面里插入恶意页面里插入恶意
25、htmlhtml代码,当用户代码,当用户浏览该页之时,嵌入其中浏览该页之时,嵌入其中WebWeb里面的里面的htmlhtml代码会被执行,代码会被执行,从而达到恶意用户的特殊目的。从而达到恶意用户的特殊目的。vvXSSXSS属于被动式的攻击,因为其被动且不好利用,所以许属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。多人常呼略其危害性。 53专业课件跨站脚本攻击简介跨站脚本攻击简介(3)vv跨站攻击的危害跨站攻击的危害vv为了搜集用户信息,攻击者通常会在有漏洞的程序中插为了搜集用户信息,攻击者通常会在有漏洞的程序中插入入 JavaScriptJavaScript、VBScri
26、ptVBScript、 ActiveXActiveX或或FlashFlash以欺骗用户以欺骗用户vv窃取窃取 CookieCookievv劫持帐户劫持帐户 vv执行执行 ActiveXActiveXvv执行执行 FlashFlash内容内容 vv强迫您下载软件强迫您下载软件vv对硬盘和数据采取操作对硬盘和数据采取操作 直接影响:利用该漏洞可以欺骗信任此网站的用户去执行任意的恶意代码或者转向其他恶意URL。潜在影响:导致网站用户对网站的信任度降低。安全安全风险风险54专业课件跨站脚本攻击简介跨站脚本攻击简介(4)vv由于由于XSSXSS漏洞很容易在大型网站中发现,在黑客圈内它漏洞很容易在大型网站
27、中发现,在黑客圈内它非常流行。非常流行。FBI.govFBI.gov、CNN.comCNN.com、TT、EbayEbay、 YahooYahoo、AppleApple、MicrosoftMicrosoft、ZdnetZdnet、WiredWired、NewsbytesNewsbytes都有这样那样的都有这样那样的XSSXSS漏洞。漏洞。vv在商业产品中,平均每个月能够发现在商业产品中,平均每个月能够发现10-2510-25个个XSSXSS漏洞漏洞vv常见存在漏洞的页面常见存在漏洞的页面vv搜索引擎返回结果页面根据用户输入。搜索引擎返回结果页面根据用户输入。 vv登录页,登录页, 存储用户帐户
28、在数据库、存储用户帐户在数据库、 CookieCookie等和以后写入等和以后写入用户名出客户端。用户名出客户端。 vvWebWeb表单处理信用卡信息。表单处理信用卡信息。 55专业课件SQL注入攻击简介注入攻击简介技术技术概述概述就攻击技术本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者编程中的漏洞,当攻击者能操作数据,向应用程序中插入一些SQL语句时,SQLInjection攻击就发生了。实际上,SQLInjection攻击是存在于常见的多连接的应用程序中的一种漏洞,攻击者通过在应用程序预先定义好的SQL语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询,篡
29、改和命令执行。就风险而言,SQLInjection攻击也是位居前列,和缓冲区溢出漏洞相比,其优势在于能够轻易的绕过防火墙直接访问数据库,甚至能够获得数据库所在的服务器的系统权限。在Web应用漏洞中,SQLInjection漏洞的风险要高过其他所有的漏洞。安全安全风险风险56专业课件SQL注入攻击简介注入攻击简介攻击特点攻击特点攻击的广泛性:由于其利用的是SQL语法,使得攻击普遍存在;攻击代码的多样性:由于各种数据库软件及应用程序有其自身的特点,实际的攻击代码可能不尽相同;影响范围影响范围数据库:MS-Sql Server、Oracle、Mysql、DB2、Informix等所有基于SQL语言标
30、准的数据库软件;应用程序:ASP、PHP,JSP、CGI、CFM等所有应用程序;57专业课件SQL注入攻击注入攻击(3)Web服务器身份认证信息权限/角色敏感应用数据系统级文件存取缓冲区溢出DOS攻击数据字典DB服务器SQL注入攻击示意注入攻击示意58专业课件WEB应用深度防御应用深度防御v实时告警实时告警59专业课件1、建立整体监控管理系统2、关注你负责的系统 把所管理的网站系统(或者监控系统)设为浏览器的首页,每天至少看三次你所管理的系统,残酷地说,管理员没有节假日,因为节假日恰恰是攻击的高发时段。日常安全维护日常安全维护60专业课件3、定期、定期备备份数据份数据库库和供下和供下载载的文档
31、的文档定期备份数据库和上传的文件,如果不是很经常更新,访问量不大,大概每周备份一次,反之每天一次,不要怕麻烦,这个制度很有必要。日常安全维护日常安全维护61专业课件4、经常用FTP登陆,查看上传目录下的文件格式上传目录下不应该有asp,cer,cdx,com,exe,bat之类的文件.一般情况下,允许上传的文件格式有:图片文件:JPG,GIF,BMP,PNG,PSD,WMF,PCXOFFICE文档:DOC,XLS,PPT,MDB文本文件:TXT,RTF压缩文件:RAR,ZIP,ISO日常安全维护日常安全维护62专业课件5、掌握最新的补丁以及漏洞信息经常关注官方网站的补丁发布,及时修改。这里推荐
32、一个带漏洞搜索引擎的漏洞公布网址:http:/bct.org/日常安全维护日常安全维护63专业课件6、设设置足置足够够强强壮的密壮的密码码管理的帐号密码应与管理员个人常用的不同,以防他人从别处得到网站的密码。如果有多个管理员,要保证所有人的密码都是“健壮的”,即不能像“123456”这样容易猜测,必须是数字、字母和符号的组合。这点很重要,不然所有的安全措施都是徒劳!日常安全维护日常安全维护64专业课件日常安全维护日常安全维护一、部署专用网络安全设备一、部署专用网络安全设备:防火墙防火墙 漏洞扫描漏洞扫描 入侵检入侵检测系统测系统 Anti DDoS 、 流量监控流量监控二、网站系统的专用保护方
33、法二、网站系统的专用保护方法 v本地和远程:本地监控、远程建立统计监控平台;本地和远程:本地监控、远程建立统计监控平台;v定时和触发:根据等级设定触发时间;定时和触发:根据等级设定触发时间; v比较方法比较方法 :文件大小、数字签名;:文件大小、数字签名;v恢复方式:本地恢复、远程恢复;恢复方式:本地恢复、远程恢复;v备份库的安全备份库的安全 :隐藏备份库;:隐藏备份库;三、网站保护的缺陷三、网站保护的缺陷 v保护软件通常都是针对静态页面而保护软件通常都是针对静态页面而设计设计,而现在动态页面占据的范围越,而现在动态页面占据的范围越来越大,尽管本地监测方式可以检测脚本文件,但对脚本文件使用的数
34、据库来越大,尽管本地监测方式可以检测脚本文件,但对脚本文件使用的数据库却无能为力。却无能为力。 65专业课件应急处理方法应急处理方法应急事件处理应急事件处理 四四 步曲步曲1 1、先找专家、先找专家 2 2、立刻恢复、立刻恢复 3 3、分析源头、分析源头 4 4、修补漏洞、修补漏洞66专业课件1、先找专家、先找专家 a、联系专业安全服务单位、联系专业安全服务单位 b、联系专业安全组织、联系专业安全组织 2、立刻恢复、立刻恢复 用备份文件替换被篡改的文件,同时注意保存证据 下载被黑的网站以保存相关证据。然后用平时备份的资 料替代被篡改的数据,及时恢复系统功能,最大限度降低不良影响。 (主要指网站
35、系统)应急处理方法应急处理方法67专业课件3、分析源头、分析源头 查看监控系统的分析报告,事件终端设备日志。 4、修补漏洞、修补漏洞 根据发现的问题,修补漏洞,一定要记得事后加强监控。应急处理方法应急处理方法68专业课件TIPs1、文件时间一致原则、文件时间一致原则 简单的说就是保持大部分文件的上传时间一致(数据库之类频繁读写的文件除外)。具体做法是一次上传所有文件,这里建议就算修改了一个文件也重新上传一下所有网页,这样做主要是方便查找木马。应急处理方法应急处理方法69专业课件TIPs2 2、文件对比法、文件对比法 这里介绍一个简单的文件对比工具Beyond Compare应急处理方法应急处理
36、方法70专业课件应急处理方法应急处理方法71专业课件应急处理方法应急处理方法72专业课件应急处理方法应急处理方法73专业课件TIPs3 3、软件测试法、软件测试法某些“傻瓜化的”黑客工具能提供一个初步的测试,比如Domain3.2软件的使用十分简单,比如上传漏洞,只要填入上传文件的地址就可以了应急处理方法应急处理方法74专业课件SQLSQL注入检测注入检测软件检测结果仅供参考,并不能保证绝对没有问题软件检测结果仅供参考,并不能保证绝对没有问题软件检测结果仅供参考,并不能保证绝对没有问题软件检测结果仅供参考,并不能保证绝对没有问题应急处理方法应急处理方法75专业课件TIPs4、系统漏洞修复后,如需保留旧版,要记得删除旧、系统漏洞修复后,如需保留旧版,要记得删除旧版的后台。版的后台。现在搜索引擎的技术已十分成熟,别有用心的人很容易找到这些薄弱点进行破坏。应急处理方法应急处理方法76专业课件Q/Aguolianglinuxchina.orgCnnog.org / Nsp-secMP:1391060193977专业课件
