网络安全应急响应技术实战
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

0.2 应急响应场景二

0.2.1 事件描述

某市公安局网监支队通过其部署的全市网站监测系统,发现该市A单位门户网站被黑客篡改,采用电话及邮件方式通知B安全公司进行应急处理。B安全公司接到通知后,立即安排工作人员与A单位进行沟通。

人员角色如下。

A单位网络安全负责人:张主任。

B安全公司项目经理:李经理,负责整个事件的处理及后续的项目跟进。

B安全公司安全工程师:王工,负责排查后门及漏洞。

0.2.2 电话沟通

李经理:您好,请问是A单位张主任吗?

张主任:是的,你是哪位?

李经理:我是B安全公司的项目负责人,我们接到市公安局通知,贵单位的网站被入侵了,让我们过去协助处理一下。

张主任:你能说说具体情况吗?

李经理:您打开门户网站就会看到网站页面显示已被黑客篡改了。

张主任:嗯,我已经确认了,我们应该怎么办呢?

李经理:张主任,我们通过网站监测平台已经对本次攻击事件进行了简单的溯源,黑客很可能是通过SQL注入漏洞对网站进行了攻击,同时上传了Webshell后门,具体情况还需要到现场确认一下。

张主任:好的,你们什么时间过来?

李经理:30分钟内到达。

张主任:好的,见面再详细沟通。

李经理:嗯,我们马上出发,请问贵单位的地址是北京路101号吗?

张主任:是的,你来了后可以直接上2楼,我的办公室在211。

李经理:好的,张主任再见。

张主任:再见。

0.2.3 现场沟通

李经理:张主任您好,我是B安全公司李经理,这位是我的同事王工,本次事件由我们两位来协助处理。

张主任:李经理、王工,你们好,非常感谢你们过来帮助我们处理这次事件。你能把这次事件的情况详细说明一下吗?

李经理:好的,今天我们接到市公安局网监支队的通知,贵单位的网站被篡改了。通过网站监测平台显示,网站存在SQL注入等漏洞。攻击者通过此类漏洞入侵了网站,并进一步控制了网站服务器。具体情况还需要登录服务器进行详细排查。

张主任:很好,那接下来怎么处理?需要我们怎么配合呢?

李经理:先要登录服务器进行排查,需要操作系统的用户名和密码,以及服务器的其他信息,如网站的存放路径、相关日志的存放路径等。同时,还希望张主任能帮我们填写授权书,在未授权的情况下,我们是不能直接操作服务器的。

张主任:好的,这些信息马上提供给你。请问这次处理有什么风险吗?

李经理:任何的操作都可能存在风险,但此次处理基本上不会存在大的风险。因为我们主要是进行一些排查工作,通过扫描服务器的恶意文件、查看服务器的进程、分析日志文件等操作进行溯源分析。如果我们要执行一些危险命令会跟您这边确认。过程中的所有操作都会保留记录,确保无风险。

张主任:嗯,可以,那抓紧时间处理吧。

0.2.4 技术排查

技术排查过程包括Webshell检测,排查操作系统关键内容,排查进程、网络连接及木马,分析操作系统日志,分析Web日志、安全设备日志……溯源追踪。

0.2.5 工作汇报

李经理:张主任,本次事件已经处理完毕,下面我就本次事件做个简单的汇报。

张主任:好的。

李经理:经过日志分析,本次事件主要是由SQL注入漏洞和Struts2命令执行漏洞引起的,攻击者通过漏洞上传了5个Webshell,并对网站多个页面进行了篡改。目前已对Webshell进行了清除,篡改的页面也都恢复了,但网站存在的漏洞还需要您这边来进一步处理。

张主任:怎样修复你说的这些漏洞呢?

李经理:关于漏洞的修复建议,我们会写一个详细的报告来协助处理,既可以通过代码层面修复,升级框架,也可以通过现有的安全设备来阻止攻击者的入侵。如果是代码级修复则需要网站开发商来一起参与,同时在安全设备上再配置阻断策略。

张主任:明白了,如果让开发商来修复,以后就不会再出现安全问题了吗?

李经理:也不一定,很多黑客手里都有0day漏洞,如Struts2框架,每隔一段时间就会爆出新的漏洞。

张主任:那以后应该怎么做才能让网络更安全?

李经理:网络安全不是一蹴而就的事情,建议分别从技术层面和管理层面两个方面入手。技术层面可以通过定期的安全检查、风险评估,发现当前网络中的安全隐患,同时配备一定数量的安全设备来加强网络的安全。管理层面可以制定相关的安全管理制度、工作流程及操作规范等,我们可以给出一份整体的安全解决方案。

张主任:好的,多谢。

李经理:我们还需要简单了解下贵单位当前的安全建设情况,如网络拓扑、管理制度、当前部署的安全设备,以及做过的安全服务。

张主任:嗯,我会安排人员跟你配合。

李经理:好的,再问一下,贵单位在网络安全方面的预算大约是多少?我们需要基于该预算出具一份详细的解决方案。

张主任:今年的预算还没有做,你可以先大体出具一个方案,再进行讨论。

李经理:好的,我回去后会立即整理,两天后发给您。

张主任:好的,感谢。