大慶網站安全(quán)服務

目前越來越多的服務器被入侵，以及攻擊事件頻頻的發生，像數據被竊取，數據庫被篡改，用戶數據被脫褲，網站被強制跳轉到惡意網站上，網站在(zài)百度的快照被劫持，等等的攻擊症狀層出不窮，當我們的服務器被攻擊，被黑的時候我們**時間該怎麽去處理解決呢？如何排查服務器被入侵攻擊的痕迹呢？是否有應急處理方案，在(zài)不影響網站訪問的情況下，很多客戶出現以上攻擊情況的時候，找到我們SINE安全(quán)來處理解決服務器被攻擊問題，我們sine安全(quán)工程師總結了一套自有的辦法，分享給大家，希望大家能在(zài)**時間解決掉服務器被黑的問題。有些客戶遇到這種情況，**時間想到的就是先把服務器關機，通知機房拔掉電源，有的是直接先關閉網站，這些措施隻能先解決目前的問題，解決不了問題的根源，所以遇到服務器被攻擊的情況，我們應該詳細的檢查日志，以及入侵痕迹，溯源，查找漏洞，到底是哪裏導緻的服務器被入侵攻擊。
首先我們應該從以下方面入手：檢查服務器的進程是不是有惡意的進程，以及管理員賬号是否被惡意增加，對服務器的端口進行查看，有沒(méi)有開啓多餘的端口，再一個(gè)對服務器的登陸日志進行檢查，服務器的默認開啓啓動項，服務以及計劃任務，檢查網站是否存在(zài)木馬後門，以及服務器系統是否中病毒。如何查看進程？打開服務器，在(zài)cmd命令下輸入tasklis，或者是右鍵任務管理器來進行查看進程，點顯示所有用戶的進程就可以，我們綜合的分析，根據這個(gè)内存使用較大，CPU占用較多來初步的看下，哪些進程在(zài)不停的使用，就能大概判斷出有沒(méi)有異常的進程，一般來說加載到進程的都是系統後門，查看到進程詳細信息使用PID來查看，再用命令findstr來查找進程調用的文件存放在(zài)哪裏。截圖如下：
接下來就是查看系統是否存在(zài)其他惡意的管理員賬号,cmd命令下輸入net user就會列出當前服務器裏的所有賬号，也可以通過注冊表去查看管理員賬号是否被增加，注冊表這裏是需要在(zài)命令中輸入regedit來打開注冊表，找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names可以看到所有的賬号名字。截圖如下：
端口方面的檢查，比如一些客戶服務器經常遭受攻擊像3306數據庫端口，21FTP端口，135,445端口，1433sql數據庫端口，3389遠程桌面端口，是否是對外開放，如果這些端口對外開放，很有可能利用漏洞進行攻擊，入侵，還有弱口令賬号密碼，有些數據庫的root賬号密碼爲(wéi)空，以及FTP可以匿名連接，都可以導緻服務器被入侵。有些密碼還是123456,111111等等。遠程桌面的端口要修改掉，盡可能的防止攻擊者利用****的手段對服務器進行登陸。可以對遠程登陸這裏做安全(quán)驗證，限制IP，以及MAC，以及計算機名，這樣大大的加強了服務器的安全(quán)。還要對服務器的登陸日志進行檢查，看下日志是否有被清空的痕迹，跟服務器被惡意登陸的日志記錄，一般來說很多攻擊者都會登陸到服務器，肯定會留下登陸日志，檢查事件682就可以查得到。接下來要對服務器的啓動項，服務以及計劃任務進行檢查，一般攻擊者提權入侵服務器後，都會在(zài)服務器裏植入木馬後門，都會插入到啓動項跟計劃任務，或者服務當中去，混淆成系統服務，讓管理員無法察覺，使用msconfig命令對服務器進行查看。注冊表這裏要檢查這幾項：HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\commandHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\*重要的是對服務裏的網站代碼進行安全(quán)檢測，對比之前網站的備份文件，看下有沒(méi)有多出一些可疑的代碼文件，圖片格式的可以忽略，主要是一些asp，aspx，php，jsp等腳本執行文件，對代碼查看是否含有eval等特殊字符的一句話木馬webshell,還有些base64加密的文件，都有可能是網站木馬文件，網站的首頁代碼，标題描述，是否被加密，一些你看不懂的字符，這一般是網站被入侵了，一步一步導緻的服務器被攻擊。
整體上的服務器被入侵攻擊排查就是上面講到的，還有一些是服務器安裝的軟件，以及環境，像apache,strust2，IIS環境漏洞，都會導緻服務器被入侵，如果網站被篡改，一定要檢查網站存在(zài)的漏洞，是否存在(zài)sql注入漏洞，文件上傳漏洞，XSS跨站漏洞，遠程代碼執行漏洞，從多個(gè)方向去排查服務器被入侵攻擊的問題。如果對服務器不是太(tài)懂，可以找專業的網絡安全(quán)公司去處理，國内sinesafe,啓明星辰，綠盟，都是比較不錯的，以上就是我們日常處理客戶服務器總結的一套自有的方法去排查，找問題，溯源追蹤，徹底的防止服務器繼續被黑，将損失降到*低。每個(gè)客戶的服務器安裝的環境不一樣，以及代碼如何編寫的，根據實際情況來排查解決問題。
在(zài)研發人員眼中，編碼開發的目的是實現相關功(gōng)能邏輯可用，無明顯功(gōng)能 bug。而實際上，在(zài)安全(quán)人員眼中，很多這樣看似沒(méi)有功(gōng)能問題的代碼，卻可以利用來進行安全(quán)漏洞攻擊。雖然這在(zài)很多研發人員眼中是看似天方夜譚，但很不幸，通過以往的無數重大安全(quán)事件的驗證，這個(gè)事實客觀存在(zài)。

由于攻擊也在(zài)進化，所以要定期檢查滲透測試。要保持OpenVAS和Metasploit等工具的更新，而且它們可以使用的攻擊庫也在(zài)穩步增長。
上述三類(lèi)安全(quán)漏洞，無一例外是在(zài)代碼功(gōng)能正常的前提下進行的，可見功(gōng)能可用不代表安全(quán)可靠。而爲(wéi)解決這些問題，更多的是需要在(zài)研發過程中各環節介入安全(quán)能力，實現對上述各類(lèi)漏洞的上線前檢出以及修複，降低項目上線安全(quán)隐患。
需求和架構階段：基于業務場景的威脅建模 (STAC)，以威脅建模賦能方式教會需求分析和架構審計人員對項目内場景潛在(zài)場景風險進行識别和剝離，通過威脅建模針對性提出安全(quán)方案，用于後續研發等環節的解決或規避。
企業應該将賦能服務貫穿需求分析、架構設計、研發、測試回歸以及發布叠代全(quán)流程，通過賦能将專業安全(quán)能力賦予研發各環節人員，并在(zài)各環節提供不同工具(STAC、SAST、IAST、常态化安全(quán)運營)使賦能知識真實應用落地，*終以統一平台(tái)展示、分析、回歸、閉環安全(quán)問題，并向***提供 SIEM，根據各流程頻現的漏洞類(lèi)型、研發人員知識盲區等再次提供針對性培訓，*終針對性制定規章制度，實現制度精準逆推落地。



http://www.qdshtddzkj.com