您可能会问的任何其他网站管理员,谁是新手阶段以外的人,都同意他的头等大事将始终是确保其网站的安全。但是,黑客可以利用的漏洞利用和工具数量如此之多,并且软件技术发展如此之快,以致您很有可能(可能)遇到被黑的网站。

解决此类事件时,准备简短的任务清单以在恢复过程中执行将很有帮助。以正确的顺序执行正确的事情对于最大化成功和完全恢复的机率以及减轻未来事件的发生至关重要。

您的待办事项清单

您的待办事项列表将包含两种任务类型:准备任务和操作任务。准备任务完全不会改变您的网站或任何相关或基础组件。

必须清楚地了解这一点,因为您首选的第一个操作必须确保黑客没有办法继续访问系统;更改网站的任何其他操作都可能在阻止其访问之前提醒黑客​​已发现他,并且您不想触发该黑客造成更多损失或掩盖其踪迹。

请记住:事件一旦发生,不仅必须将其视为修复的原因,而且还应将其视为强化和保护的动机。

  • 准备:反应计划
  • 准备:战斗表
  • 行动:使系统脱机
  • 准备:将系统克隆到测试平台或登台服务器
  • 准备:扫描您的网站中的漏洞;识别并确认可疑入侵点
  • 行动:修复漏洞
  • 行动:使网站的固定版本恢复在线;只要有可能,您都应该将网站的清理版本重新部署到干净的OS / Web服务器设置中
  • 准备:监视新的和改进的网站
  • 准备:为未来事件制定反应计划。

准备:反应计划

保持冷静和专注,并确认事件可能是在一段时间之前发生的; 30秒后还是15分钟后反应都没关系。

一旦您的网站被黑客入侵,花几分钟的时间思考问题以充分利用事件是绝对必要的。花时间写下您需要采取的所有步骤:

  • 保留网站及其底层数据的当前状态,以便为您提供最佳机会,以最终了解如何实施违规行为
  • 避免进行快速更改,以提醒黑客掩盖其踪迹或造成更多损失
  • 收集管理网站和相关组件所需的信息和工具。

准备:战斗表

如果您要参加战斗,则必须确保您的军械库内装有完整的武器库。基本上,这意味着手头有:

  • 访问您的网站的详细信息和相对凭据
  • 任何配置文件的文件名和路径,其中可能包含控制对网站本身或与您的网站连接或集成的其他系统的访问的信息,例如:
    • 数据库访问详细信息和凭据
    • 第三方系统集成详细信息以及相对凭据或API密钥或安全令牌
  • 访问网站基础操作系统或平台的详细信息和相对凭据
  • 如果要管理基础硬件,请访问“ lights-out”访问工具(DRAC,ILO,KVM,本地或远程控制台等)的访问详细信息和凭据。
  • 为您提供Web服务器和任何基础层的任何供应商的电话号码,电子邮件地址和支持门户信息,包括任何相关的标识令牌或PINs电话号码,您将使用的开发人员资源的电子邮件地址,以进行任何最终的代码更改或您网站的其他程序修复。

行动:使系统脱机

您的第一个操作应该是使系统脱机。这样做的好处是:

  • 限制黑客可能在您的网站上造成的任何其他损害
  • 防止黑客掩盖他的踪迹或隐藏任何可能导致您回到他或他的方法或两者兼而有之的证据
  • 防止您的系统对其他人造成额外损害,或防止访问或破坏其他网站上的数据或脚本(垃圾邮件, 跨站脚本, 等等)。

在使系统脱机之前,请确保您已仔细编辑战表,其中包含所有必需的信息,即使您已脱机,也可以继续访问系统。

准备:将系统克隆到TestBed或登台服务器

您的某些调查任务将涉及在您的网站上运行测试,以了解可在何处以及如何进行渗透(因此,用了“ pen test”和“笔测试”)。其中一些测试可能具有攻击性,并可能损坏网站或其基础数据,或者在这种情况下,可能会破坏黑客在系统上留下的任何假象,从而可能导致您识别其身份或方法论或两者。

为了消除这些风险的影响,您将系统克隆到完全独立的测试平台或登台服务器上。反过来,该测试平台也必须与任何公共IP地址空间隔离,以确保无法从外部访问您的克隆系统,并且您的克隆系统本身不能访问或影响第三方。任何用于测试克隆系统的系统都将连接到与克隆相同的专用IP地址空间,以运行测试。

准备:扫描您的网站中的漏洞

在测试台中填充了网站和相关组件的克隆后,即可安全地测试系统。

通常,您会使用两种方法同时运行:

  • 扫描整个网站以查找所有可能的入口点
  • 查找此事件的特定切入点。

使用自动化扫描您的整个网站

调查的第一个渠道是使用系统审核方法–使用信誉良好的 Web漏洞扫描程序,在克隆的测试床上启动扫描,该扫描应执行以下操作:

  • 识别Web服务器和相关软件的配置错误
  • 旧的和已知的易受攻击的软件版本(网络服务器软件 和操作系统补丁(典型的可疑对象)
  • 不安全的安全访问方法(例如,弱密码或密码机制)
  • 对文件系统位置的不当访问(例如目录可见性和权限问题)
  • …还有大量的特定测试,用于寻找特定的已知漏洞。

该扫描仪将为您提供您的网站容易受到的漏洞列表。此类扫描可能会花费大量时间,尤其是对于大型和复杂的网站。您可以利用这段“等待”时间来…

手动寻找入口点

找到触发此事件的实际进入点至关重要。即使您要从备份中进行完全还原以消除黑客造成的任何损害,也只能合理地假设黑客可以非常迅速地重新使用相同的车辆。

在哪里看?这不是一个详尽的列表,实际上,随着您的经验不断增长,并且对所管理的特定系统有了更深入的了解,您将能够为您的需求构建更全面,更具体的列表。但是,下面的列表提供了一个可用的起点。请记住,此特定列表的调查操作是在真实的Web服务器上执行的,而不是在测试平台上执行的,因此暂时将操作限制在调查和信息收集上非常重要–请勿在此之前进行任何更改存在。

  • 获取正在运行的进程的列表,并查找可疑的正在运行的应用程序或服务
    • 如果您以前有一个清洁清单可以与此进行比较,将非常有帮助
    • 识别可疑运行程序的文件路径可能有助于您识别入口点
    • 识别正在运行可疑程序的用户,或者拥有该程序的用户或组,可以帮助您识别入口点。
  • 如果您的系统已被黑客入侵,则黑客很有可能在系统中引入了新文件或更改了现有文件
    • 如果您知道对系统的最后一次更改的日期,则可以简单地检查系统上的所有文件,以查找上次更改后已被修改或创建的文件;
    • 如果您的Web服务器的文件系统是静态的,则将其与先前记录的文件系统转储进行比较可能会很有用;如果您还没有,那么您的最终审查可能需要考虑此步骤,以解决将来围绕网站安全性而制定的任何政策
    • 如果尚未安装,则可以考虑将软件部署到Web服务器,该服务器定期根据已知的干净文件系统列表(通常称为基准)检查文件系统内容;这个概念称为HIDS,或基于主机的入侵检测系统;您可以先阅读有关AIDE,syschangemon,Mugsy和Samhain的信息,作为在Web服务器上实现的开源工具的开始选择
    • 检出拥有已创建或修改的文件的用户或组,因为这可能有助于识别入口点
    • 仔细检查创建或修改的文件的内容;添加或更改的内容可能有助于您识别犯罪者和/或他的方法,或者可能有助于您了解您的网站是否被用作对其他第三方网站发起攻击的平台
  • 查看由操作系统,Web服务器软件以及您的网站也使用的任何其他软件(例如数据库服务器)生成的日志文件。

希望您对日志文件,正在运行的进程和异常的文件系统内容进行的艰苦调查将使您能够确定入口点

将手动结果与自动结果进行比较

如果您确定了一个或多个可疑入口点,那么将您的发现与自动Web漏洞扫描所识别的漏洞列表进行比较可能会很有趣并且具有指导意义。

行动:修复漏洞

使用从手动调查文件,进程和日志中获得的信息,以及由Web漏洞扫描程序编译的(希望简短)漏洞列表,现在可以继续实施代码改进或服务器更新,并进行强化以防止此类情况的发生。重复发生的事件,并弥补任何其他弱点,通常会使您的网站更安全。简要总结一下:

  • 停止任何外国程序
  • 删除所有无关的文件或可执行文件
  • 用新版本或已清理版本替换更改的文件和数据集。

这看起来似乎很明显,但是至关重要的是,检查通过重复自动扫描实现的所有修补程序,从而确认这些修补程序实际上是有效的。

行动:使您的固定网站在线

现在已经停止并消除了可疑文件和进程,并确保了入口点的安全,您可以使网站恢复在线状态。

如果您对完全遏制并逆转黑客的工作有任何疑问,则应部署新的Web服务器主机,并将经过清理的网站和辅助组件重新部署到该新主机上。

准备:监视您的网站

您的网站已备份并正在运行。但是,不要呼吸太轻松,因为您需要确保修复有效。特别是,您应该设计某种方式(例如,通过监视日志消息),以使黑客的预警系统试图通过与刚解决的事件相同的访问向量进入系统。

如果黑客确实设法重新进入,则说明您没有正确识别入口点,或者您没有识别所有入口点,或者修复不充分;在任何情况下,您都需要重复此过程以再次从此最新的黑客事件中恢复。

准备:未来事件的反应计划

从此事件中完全恢复并完成与该事件有关的所有任务后,应重新访问此部分,查看为此事件制定的反应计划,并使用它为以后的任何事件建立恢复过程。

这将使您更有效地处理下一个事件。

 

 

Source://www.acunetix.com/blog/