由于時間比較緊,年底業務比較多在此很多朋友想要了解我們Sine安全對于滲透測試安全檢測以及應急響應的具體操作實踐過程,對于漏洞發生問題的根源和即時的處理解決修補網站漏洞的響應時間進行全面的了解和預防,使公司組建一個更加專業的安全部門來阻擋黑客的攻擊和入侵!
6.7.1. 常見入侵點
Web入侵
高危服務入侵
6.7.2. 常見實現
6.7.2.1. 客戶端監控
監控敏感配置文件
常用命令ELF文件完整性監控
ps
lsof
…
rootkit監控
資源使用報警
內存使用率
CPU使用率
IO使用率
網絡使用率
新出現進程監控
基于inotify的文件監控
6.7.2.2. 網絡檢測
基于網絡層面的攻擊向量做檢測,如Snort等。
6.7.2.3. 日志分析
將主機系統安全日志/操作日志、網絡設備流量日志、Web應用訪問日志、SQL應用訪問日志等日志集中到一個統一的后臺,在后臺中對各類日志進行綜合的分析。
應急響應
6.8.1. 響應流程
6.8.1.1. 事件發生
運維監控人員、客服審核人員等發現問題,向上通報
6.8.1.2. 事件確認
判斷事件的嚴重性,評估出問題的嚴重等級,是否向上進行匯報等
6.8.1.3. 事件響應
各部門通力合作,處理安全問題,具體解決階段
6.8.1.4. 事件關閉
處理完事件之后,需要關閉事件,并寫出安全應急處理分析報告,完成整個應急過程。
6.8.2. 事件分類
病毒、木馬、蠕蟲事件
Web服務器入侵事件
第三方服務入侵事件
系統入侵事件
利用Windows漏洞攻擊操作系統
網絡攻擊事件
DDoS / ARP欺騙 / DNS劫持等
6.8.3. 分析方向
6.8.3.1. 文件分析
基于變化的分析
日期
文件增改
最近使用文件
源碼分析
檢查源碼改動
查殺WebShell等后門
系統日志分析
應用日志分析
分析User-Agent,e.g. awvs / burpsuite / w3af / nessus / openvas
對每種攻擊進行關鍵字匹配,e.g. select/alert/eval
異常請求,連續的404或者500
md5sum 檢查常用命令二進制文件的哈希,檢查是否被植入rootkit
6.8.3.2. 進程分析
符合以下特征的進程
CPU或內存資源占用長時間過高
沒有簽名驗證信息
沒有描述信息的進程
進程的路徑不合法
dump系統內存進行分析
6.8.3.3. 網絡分析
防火墻配置
DNS配置
路由配置
6.8.3.4. 配置分析
查看Linux SE等配置
查看環境變量
查看配套的注冊表信息檢索,SAM文件
內核模塊
6.8.4. Linux應急響應
6.8.4.1. 文件分析
最近使用文件
find / -ctime -2
C:\Documents and Settings\Administrator\Recent
C:\Documents and Settings\Default User\Recent
%UserProfile%\Recent
系統日志分析
/var/log/
重點分析位置
/var/log/wtmp 登錄進入,退出,數據交換、關機和重啟紀錄
/var/run/utmp 有關當前登錄用戶的信息記錄
/var/log/lastlog 文件記錄用戶最后登錄的信息,可用 lastlog 命令來查看。
/var/log/secure 記錄登入系統存取數據的文件,例如 pop3/ssh/telnet/ftp 等都會被記錄。
/var/log/cron 與定時任務相關的日志信息
/var/log/message 系統啟動后的信息和錯誤日志
/var/log/apache2/access.log
apache access log
/etc/passwd 用戶列表
/etc/init.d/ 開機啟動項
/etc/cron* 定時任務
/tmp 臨時目錄
~/.ssh
6.8.4.2. 用戶分析
/etc/shadow 密碼登陸相關信息
uptime 查看用戶登陸時間
/etc/sudoers sudo用戶列表
6.8.4.3. 進程分析
netstat -ano 查看是否打開了可疑端口
w 命令,查看用戶及其進程
分析開機自啟程序/腳本
/etc/init.d
~/.bashrc
查看計劃或定時任務
crontab -l
netstat -an / lsof 查看進程端口占用
6.8.5. Windows應急響應
6.8.5.1. 文件分析
最近使用文件
C:\Documents and Settings\Administrator\Recent
C:\Documents and Settings\Default User\Recent
%UserProfile%\Recent
系統日志分析
事件查看器 eventvwr.msc
6.8.5.2. 用戶分析
查看是否有新增用戶
查看服務器是否有弱口令
查看管理員對應鍵值
lusrmgr.msc 查看賬戶變化
net user 列出當前登錄賬戶
wmic UserAccount get 列出當前系統所有賬戶
本節重點講解了滲透測試中的檢測入侵手段以及應急響應的處理解決方案,如果有想要更深入的了解項目上線前的滲透測試服務可以去看看專業的網站安全公司來處理解決,國內做的比較專業的如Sinesafe,啟明星辰,綠盟等等都是比較不錯的網絡安全維護公司。
我們專注高端建站,小程序開發、軟件系統定制開發、BUG修復、物聯網開發、各類API接口對接開發等。十余年開發經驗,每一個項目承諾做到滿意為止,多一次對比,一定讓您多一份收獲!