69久久精品无码一区二区|99在线精品免费视频九九视|亚洲中文字幕91视频|亚洲精品成人片在线观看

產(chǎn)品描述


目前越來越多的服務(wù)器被入侵,以及攻擊事件頻頻的發(fā)生,像數(shù)據(jù)被竊取,數(shù)據(jù)庫被篡改,用戶數(shù)據(jù)被脫褲,網(wǎng)站被強制跳轉(zhuǎn)到惡意網(wǎng)站上,網(wǎng)站在百度的快照被劫持,等等的攻擊癥狀層出不窮,當(dāng)我們的服務(wù)器被攻擊,被黑的時候我們**時間該怎么去處理解決呢?如何排查服務(wù)器被入侵攻擊的痕跡呢?是否有應(yīng)急處理方案,在不影響網(wǎng)站訪問的情況下,很多客戶出現(xiàn)以上攻擊情況的時候,找到我們SINE安全來處理解決服務(wù)器被攻擊問題,我們sine安全工程師總結(jié)了一套自有的辦法,分享給大家,希望大家能在**時間解決掉服務(wù)器被黑的問題。有些客戶遇到這種情況,**時間想到的就是先把服務(wù)器關(guān)機,通知機房拔掉電源,有的是直接先關(guān)閉網(wǎng)站,這些措施只能先解決目前的問題,解決不了問題的根源,所以遇到服務(wù)器被攻擊的情況,我們應(yīng)該詳細(xì)的檢查日志,以及入侵痕跡,溯源,查找漏洞,到底是哪里導(dǎo)致的服務(wù)器被入侵攻擊。
首先我們應(yīng)該從以下方面入手:檢查服務(wù)器的進程是不是有惡意的進程,以及管理員賬號是否被惡意增加,對服務(wù)器的端口進行查看,有沒有開啟多余的端口,再一個對服務(wù)器的登陸日志進行檢查,服務(wù)器的默認(rèn)開啟啟動項,服務(wù)以及計劃任務(wù),檢查網(wǎng)站是否存在木馬后門,以及服務(wù)器系統(tǒng)是否中病毒。如何查看進程?打開服務(wù)器,在cmd命令下輸入tasklis,或者是右鍵任務(wù)管理器來進行查看進程,點顯示所有用戶的進程就可以,我們綜合的分析,根據(jù)這個內(nèi)存使用較大,CPU占用較多來初步的看下,哪些進程在不停的使用,就能大概判斷出有沒有異常的進程,一般來說加載到進程的都是系統(tǒng)后門,查看到進程詳細(xì)信息使用PID來查看,再用命令findstr來查找進程調(diào)用的文件存放在哪里。截圖如下:
接下來就是查看系統(tǒng)是否存在其他惡意的管理員賬號,cmd命令下輸入net user就會列出當(dāng)前服務(wù)器里的所有賬號,也可以通過注冊表去查看管理員賬號是否被增加,注冊表這里是需要在命令中輸入regedit來打開注冊表,找到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names可以看到所有的賬號名字。截圖如下:
端口方面的檢查,比如一些客戶服務(wù)器經(jīng)常遭受攻擊像3306數(shù)據(jù)庫端口,21FTP端口,135,445端口,1433sql數(shù)據(jù)庫端口,3389遠(yuǎn)程桌面端口,是否是對外開放,如果這些端口對外開放,很有可能利用漏洞進行攻擊,入侵,還有弱口令賬號密碼,有些數(shù)據(jù)庫的root賬號密碼為空,以及FTP可以匿名連接,都可以導(dǎo)致服務(wù)器被入侵。有些密碼還是123456,111111等等。遠(yuǎn)程桌面的端口要修改掉,盡可能的防止攻擊者利用****的手段對服務(wù)器進行登陸??梢詫h(yuǎn)程登陸這里做安全驗證,限制IP,以及MAC,以及計算機名,這樣大大的加強了服務(wù)器的安全。還要對服務(wù)器的登陸日志進行檢查,看下日志是否有被清空的痕跡,跟服務(wù)器被惡意登陸的日志記錄,一般來說很多攻擊者都會登陸到服務(wù)器,肯定會留下登陸日志,檢查事件682就可以查得到。接下來要對服務(wù)器的啟動項,服務(wù)以及計劃任務(wù)進行檢查,一般攻擊者提權(quán)入侵服務(wù)器后,都會在服務(wù)器里植入木馬后門,都會插入到啟動項跟計劃任務(wù),或者服務(wù)當(dāng)中去,混淆成系統(tǒng)服務(wù),讓管理員無法察覺,使用msconfig命令對服務(wù)器進行查看。注冊表這里要檢查這幾項:HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\commandHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\*重要的是對服務(wù)里的網(wǎng)站代碼進行安全檢測,對比之前網(wǎng)站的備份文件,看下有沒有多出一些可疑的代碼文件,圖片格式的可以忽略,主要是一些asp,aspx,php,jsp等腳本執(zhí)行文件,對代碼查看是否含有eval等特殊字符的一句話木馬webshell,還有些base64加密的文件,都有可能是網(wǎng)站木馬文件,網(wǎng)站的首頁代碼,標(biāo)題描述,是否被加密,一些你看不懂的字符,這一般是網(wǎng)站被入侵了,一步一步導(dǎo)致的服務(wù)器被攻擊。
整體上的服務(wù)器被入侵攻擊排查就是上面講到的,還有一些是服務(wù)器安裝的軟件,以及環(huán)境,像apache,strust2,IIS環(huán)境漏洞,都會導(dǎo)致服務(wù)器被入侵,如果網(wǎng)站被篡改,一定要檢查網(wǎng)站存在的漏洞,是否存在sql注入漏洞,文件上傳漏洞,XSS跨站漏洞,遠(yuǎn)程代碼執(zhí)行漏洞,從多個方向去排查服務(wù)器被入侵攻擊的問題。如果對服務(wù)器不是太懂,可以找專業(yè)的網(wǎng)絡(luò)安全公司去處理,國內(nèi)sinesafe,啟明星辰,綠盟,都是比較不錯的,以上就是我們?nèi)粘L幚砜蛻舴?wù)器總結(jié)的一套自有的方法去排查,找問題,溯源追蹤,徹底的防止服務(wù)器繼續(xù)被黑,將損失降到*低。每個客戶的服務(wù)器安裝的環(huán)境不一樣,以及代碼如何編寫的,根據(jù)實際情況來排查解決問題。
在研發(fā)人員眼中,編碼開發(fā)的目的是實現(xiàn)相關(guān)功能邏輯可用,無明顯功能 bug。而實際上,在安全人員眼中,很多這樣看似沒有功能問題的代碼,卻可以利用來進行安全漏洞攻擊。雖然這在很多研發(fā)人員眼中是看似天方夜譚,但很不幸,通過以往的無數(shù)重大安全事件的驗證,這個事實客觀存在。
大慶網(wǎng)站安全服務(wù)
由于攻擊也在進化,所以要定期檢查滲透測試。要保持OpenVAS和Metasploit等工具的更新,而且它們可以使用的攻擊庫也在穩(wěn)步增長。
上述三類安全漏洞,無一例外是在代碼功能正常的前提下進行的,可見功能可用不代表安全可靠。而為解決這些問題,更多的是需要在研發(fā)過程中各環(huán)節(jié)介入安全能力,實現(xiàn)對上述各類漏洞的上線前檢出以及修復(fù),降低項目上線安全隱患。
需求和架構(gòu)階段:基于業(yè)務(wù)場景的威脅建模 (STAC),以威脅建模賦能方式教會需求分析和架構(gòu)審計人員對項目內(nèi)場景潛在場景風(fēng)險進行識別和剝離,通過威脅建模針對性提出安全方案,用于后續(xù)研發(fā)等環(huán)節(jié)的解決或規(guī)避。
企業(yè)應(yīng)該將賦能服務(wù)貫穿需求分析、架構(gòu)設(shè)計、研發(fā)、測試回歸以及發(fā)布迭代全流程,通過賦能將專業(yè)安全能力賦予研發(fā)各環(huán)節(jié)人員,并在各環(huán)節(jié)提供不同工具(STAC、SAST、IAST、常態(tài)化安全運營)使賦能知識真實應(yīng)用落地,*終以統(tǒng)一平臺展示、分析、回歸、閉環(huán)安全問題,并向***提供 SIEM,根據(jù)各流程頻現(xiàn)的漏洞類型、研發(fā)人員知識盲區(qū)等再次提供針對性培訓(xùn),*終針對性制定規(guī)章制度,實現(xiàn)制度精準(zhǔn)逆推落地。
大慶網(wǎng)站安全服務(wù)

-/gbadeeb/-

http://mmsped.com

產(chǎn)品推薦

泗阳县| 绥阳县| 马边| 新巴尔虎左旗| 定州市| 儋州市| 沙雅县| 衡水市| 长丰县| 高邮市| 新安县| 岐山县| 隆子县| 临沭县| 宜川县| 平谷区| 张家港市| 贞丰县| 汕尾市| 隆安县| 郁南县| 甘洛县| 古蔺县| 响水县| 海淀区| 交城县| 广昌县| 五台县| 衡南县| 灯塔市| 色达县| 错那县| 宝清县| 绥宁县| 宜宾市| 定州市| 柯坪县| 崇文区| 太康县| 益阳市| 水富县|