[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三)
目录
一、应急响应是 安全相关岗位的 必问知识点
我们根据客户的描述,进行判断:
二、那么什么应急响应呢 ???
计算机网络安全事件应急响应:
常见的恶意行为:
应急响应意义:
三、应急响应基本流程:
1. 总体来说:
表现—>收集—>攻击—>追查—>修复:
表现:(发现异常)
收集:(收集信息)
攻击:(模拟攻击)
追查:
修复:
2. 实际工作中的具体流程(五阶段)
保护阶段:
分析阶段:
复现阶段:
3. 做应急响应必备知识点:
4. 做应急响应准备工作:
5. 有明确信息网站被入侵:
6. 无明确信息网站被入侵:
7. 应急响应常见分析方法:
四、工作中分析流程(重点):
由于第四部分篇幅过长,于下一篇文章详细介绍
文章分享
一、应急响应是 安全相关岗位的 必问知识点
通常以场景题的形式出现,如:
新建的服务器正在受到暴力破解,你该怎么协助他,你上服务器后该怎么做?
服务器受到攻击,你的解决思路是什么?
服务器在上午10点出现异常,你该怎么处理?
等等的问题......
我们根据客户的描述,进行判断:
1. 异常时间是否已知
2. 攻击类型类型是否已知
3. 攻击位置是否已知
4. 是否发现后门文件
如果客户没有描述出来,我们也可以进行询问
二、那么什么应急响应呢 ???
应急响应:通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。
计算机网络安全事件应急响应:
对象是指针对计算机或网络所存储、传输、处理的信息的安全事件
主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。
按照计算机信息系统安全的三个目标,可以把安全事件定义为破坏信息或信息处理系统CIA的行为。
常见的恶意行为:
1.破坏保密性的安全事件:比如入侵系统并读取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等;
2.破坏完整性的安全事件:比如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马(如BackOrifice2K)、计算机病毒(修改文件或引导区)等;
3.破坏可用性(战时最可能出现的网络攻击)的安全事件:比如系统故障、拒绝服务攻击、计算机蠕虫(以消耗系统资源或网络带宽为目的)等。但是越来越多的人意识到,CIA界定的范围太小了,比如以下事件通常也是应急响应的对象:
4.扫描:包括地址扫描和端口扫描等,为了侵入系统寻找系统漏洞。
5.抵赖:指一个实体否认自己曾经执行过的某种操作,比如在电子商务中交易方之一否认自己曾经定购过某种商品,或者商家否认自己曾经接受过订单。
6.垃圾邮件骚扰:垃圾邮件是指接收者没有订阅却被强行塞入信箱的广告、政治宣传等邮件,不仅耗费大量的网络与存储资源,也浪费了接收者的时间。
7.传播色情内容:尽管不同的地区和国家政策不同,但是多数国家对于色情信息的传播是限制的,特别是对于青少年儿童的不良影响是各国都极力反对的。
8.愚弄和欺诈:是指散发虚假信息造成的事件,比如曾经发生过几个组织发布应急通告,声称出现了一种可怕的病毒“Virtual Card for You”,导致大量惊惶失措的用户删除了硬盘中很重要的数据,导致系统无法启动。
应急响应意义:
1. 未雨绸缪:即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施;
2. 亡羊补牢:即在事件发生后采取的措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,比如发现事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
三、应急响应基本流程:
1. 总体来说:
表现—>收集—>攻击—>追查—>修复:
表现:(发现异常)
1. 网站部分:篡改、丢失乱码
2. 文件部分:丢失、篡改、泄露
3. 系统部分:系统卡顿、CPU爆满、服务宕机
4. 流量部分:大量数据包、陌生外部连接、网速网络卡顿
5. 第三方服务部分:服务异常、运行异常
收集:(收集信息)
1. 操作系统:linux、windows、mac
2. 具体收集内容:对外服务、开放端口、系统版本、网络环境、漏洞情况、软件平台、口令整理、有无防护
攻击:(模拟攻击)
1. web攻击:漏洞攻击、结合攻击、流量攻击
2. 第三方攻击:数据库、远程网站、服务平台
3. 操作系统攻击:权限提升、内网渗透、远程漏洞
追查:
日志分析、后门分析、流量分析、脚本软件分析、模拟渗透分析
修复:
根据攻击手段,进行相应的修复
2. 实际工作中的具体流程(五阶段)
保护阶段,分析阶段,复现阶段,修复阶段,建议阶段
目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。
保护阶段:
客户反应出现问题的时候第一时间保护法案现场(一般就是直接断网)(需询问客户是否可以)
(防止攻击者持续渗透)(及时备份之前的东西)
分析阶段:
自己分析攻击行为,找到攻击漏洞
复现阶段:
复现攻击者行为(漏洞复现)(复现有助于对当前环境安全性的理解和检测)
修复阶段:(临时解决)
处理发现的攻击行为,防止服务器再次受到同类威胁
建议阶段:(根本上解决)
防止漏洞再次被攻击给出相应的合理解决方案
3. 做应急响应必备知识点:
1.熟悉常见的WEB安全攻击技术
2.熟悉相关日志启用及存储查看等 (常见中间件日志iis apache nginx tomcat…)
大部分是查看属性 或者配置文件 获取日志文件(工作中网上查找就可以了)
3.熟悉日志中记录数据分类及分析等
4. 做应急响应准备工作:
1.收集目标服务器各类信息
2.部署相关分析软件及平台等(本地部署相应的分析软件或平台 把日志文件放上去自动分析 再配上人工分析 就可以很快掌握到攻击的事件)
3.整理相关安全渗透工具指纹库(和WAF拦截工具原理一样)(根据特征(指纹)拦截)
4.针对异常表现第一时间触发思路(客户告诉我的相关信息要有思路解决)
从表现预估入侵面及权限面进行排查
5. 有明确信息网站被入侵:
基于时间 基于操作 基于指纹 基于其他
告诉你什么时间出现异常,就可以筛选时间 减少看垃圾日志浪费的时间
客户告诉你他的数据库崩了(数据更改了) 数据库安全问题
修改了哪个网站 就会想到要是你来攻击你会怎么入手 连接会用哪些工具(软件就有指纹) 就可以直接在日志中定位这个指纹 就可以第一时间找到攻击者攻击的数据包在哪
6. 无明确信息网站被入侵:
1.WEB漏洞-检查源码类别及漏洞情况
2.中间件漏洞-检查对应版本及漏洞情况
3.第三方应用漏洞-检查是否存在漏洞应用
4.操作系统层面漏洞-检查是否存在系统漏洞
5.其他安全问题(口令,后门等)-检查相关应用口令及后门扫描
不知道干嘛,不知道有什么危害 只知道有异常
这个时候我们就要排查:
可能是网站自身的问题,可能是中间件上面的问题,服务器上安装的第三方软件的问题,操作系统方面,其他问题:如弱口令,网页源码中带有后门等
7. 应急响应常见分析方法:
指纹库搜索,日志时间分析,后门追查分析,漏洞检查分析等
四、工作中分析流程(重点):
日志分析、后门分析、流量分析、脚本软件分析、模拟渗透分析
由于第四部分篇幅过长,于下一篇文章详细介绍
文章分享
网络篇
[ 网络模型篇 ]大白话告诉你什么是OSI七层模型
[ 网络协议篇 ] TCP三次握手四次挥手深度解析
[ 网络模型篇 ]大白话告诉你什么是OSI七层模型
[ 网络协议篇 ] 一篇文章让你掌握神秘的 ACL
[ 网络协议篇 ] 一篇文章让你掌握神秘的 NAT
[ 网络协议篇 ] 一篇文章让你掌握神秘的 DHCP(一)
[ 网络协议篇 ] 一篇文章让你掌握神秘的 DHCP(二)
linux篇
[ linux ] 工作中常用的防火墙操作
[ linux ] 压缩文件和文件解压缩你都了解吗?
[ linux ] vim 编辑器的三种模式介绍
[ linux ] 你真的熟悉 linux 目录操作吗 ?
[ linux ] 你真的熟悉 linux 文件操作吗 ?
应急响应篇
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三)
闲聊篇
[ 闲聊篇 ] 大白话告诉你如何预防“人肉”?
[ 程序员那些事 ]程序员会修电脑?程序员到底是干嘛的?
[ 程序员那些事 ]程序员下班后从不关电脑 ?
[ 电脑维修那些事 ] 一招教你自己解决电脑蓝屏
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)相关推荐
- 网络安全应急响应----4、DDoS攻击应急响应
文章目录 一.DDoS攻击简介 二.DDoS攻击方法 1.消耗网络带宽资源 1.1.ICMP Flood (ICMP洪水攻击) 1.2.UDP Flood (UDP洪水攻击) 2.消耗系统资源 2.1 ...
- 网络安全应急响应----6、挖矿攻击应急响应
文章目录 一.挖矿木马简介 1.挖矿流程 2.挖矿木马的传播方式 二.常见的挖矿木马 三.挖矿木马应急响应方法 3.1.隔离被感染的服务器/主机 3.2.确认挖矿进程 3.3.系统排查 3.3.1.判 ...
- 【安全服务】应急响应1:流程、排查与分析
目录 一.应急响应流程 1 准备阶段 2 检测阶段 3 抑制阶段 4 根除阶段 5 恢复阶段 6 总结阶段 现场处置流程 二.系统排查 1.系统信息 2.用户信息 3 启动项 4 任务计划 5 其他: ...
- Linux服务器被入侵后的排查思路(应急响应思路)
目录 Linux-暴力破解.替换ps命令并留存后门事件复现 一.事件背景 二.应急响应过程 排查crontab后门 排查是否有命令被替换 响应过程回顾 三.事件还原 查看后门 排查安全日志 Linux ...
- p74 应急响应-winlinux 分析后门勒索病毒攻击
数据来源 操作系统(windows,linux)应急响应: 常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等) 常见分析:计算机账户,端 ...
- window操作系统服务器应急响应流程
常见的应急响应事件分类: web 入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS 攻击.DNS 劫持.ARP 欺骗 针对常见的攻击事件,结合工作 ...
- 一次SSH爆破攻击haiduc工具的应急响应
一.概述 2022年3月底,在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具. 二.检测定位阶段工作说明 2.1.异常现象确认 服务器被植 ...
- 一次短信验证码攻击的应急响应
前言 前段时间客户现场被攻击,客户找到了公司,公司找到了我,于是有了这一次的应急响应,因为第一次搞,所以记录一下整个过程. 一.要做什么 刚开始不知道干啥,非常迷茫,通过老大的教导,事后总结了下面几条 ...
- DDOS攻击应急响应指南
DDOS攻击应急响应指南 1.初步预判 2.问题排查 3.临时处置方法 4.研判溯源 5.清除加固 1.初步预判 查看防火墙.流量监控设备.网络设备等是否出现安全告警或大量异常数据包 查看是否存在特定 ...
最新文章
- 你是合格的程序员吗?(欢迎大家自测)
- 通过Spring Integration消费Twitter Streaming API
- jquery ajax post请求连续多个问号特殊数据异常问题
- 读书笔记-说服力 让你的PPT会说话
- FLEX:target和currentTarget属性的区别
- 格力手机没有放弃!将跟上5G和柔性屏的大势
- oracle12C 创建用户学习
- Nginx的集群以及负载均衡
- 【数学逻辑思维】好玩的数独游戏(高难度版)——003
- css设置格子背景,跟本子一样
- 索引是什么,如何实现?
- 关于触控板失灵的问题
- 软考中级【数据库系统工程师】第1章:计算机系统知识,自学软考笔记,备考2022年5月份软考,计算机硬件系统CPU组成指令寄存器组总线输入输出的程序控制方式计算机体系结构与存储系统加密技术流水线技术
- 服务器win10系统怎样共享,win10系统开启局域网共享
- 说说三菱PLC控制系统的几种故障多发点
- 纳什均衡(Nash equilibrium)
- Oracle-存储过程、存储函数、触发器
- GPS卫星定位车辆监控系统
- MATLAB二值图连通域快速标记算法
- 全方位检测外径轧钢测径仪
热门文章
- vue-axios的安装及四个常见方法
- 单机游戏的各种游戏类型的经典
- 十年前的经典日剧,悠长假期
- java通过视频URL获取视频时长,无需下载视频,修复jave在linux上的bug
- Ubuntu 18.04安装Node.js最新版
- 用英文单词模拟数字计算c语言,英文单词模拟数学运算问题
- 基于卷积神经网络的人脸识别(自我拍摄获取数据集)
- DUBBO bug ServiceAnnotationBeanPostProcessor:No Spring Bean annotating Dubbo‘s @Service
- LQ 关于 关于信标灯系统价格问题的回复
- Error creating bean with name 'sessionFactory' defined in class path resource [applicationContext.xm