Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

疫情期间网站被攻击 利用日志对入侵痕迹溯源

当前环境下的趋势导向,疫情期间的影响,发现病毒时,利用各种手段开展筛选,最终找到源头开展控制或消除;那么,当网络处于攻坚战时,攻击可追溯性是安全事件中事件后响应的重要组成部分。利用对受伤者资产和局域网流量的深入分析,能够在一定程度上还原攻击者的攻击路径和攻击战术,有助于修补漏洞和风险,避免二次事件的发生。进攻知识能够转化为防守优势。如果我们能够积极主动、可预测,我们就能更好地控制后果。


思维,在追溯的过程中,除了相关的技术手段,还要确认一个整体的思维。对不正常点开展整体深入分析,根据实际环境给出几个可能的方案。俗话说,有备无患。深入分析经常出现的问题和可能出现的错误,不断设计和改进。也有一些检测设备的部署,异常情况经常发生,很容易被用户察觉的例子如下:网页被篡改,链接到暗链,Web文件丢失。数据库被篡改,可用性受到web系统异常操作的影响,web用户密码被篡改。主机有不正常操作反应,文件被加密,主机系统出现其他用户。主机流量层存在大量不正常流量。根据用户的站点情况,往往需要做一些信息收集工作,比如不正常时间点(非常重要)、不正常服务器的主要业务情况、一般的网络拓扑是否在DMZ区域、是否能够利用公网浏览、打开了哪些端口、是否打了补丁、使用了什么样的web技术、最近是否有改动、是否有安全设备等。


根据收集到的信息,我们经常能够得出几个可能性。漏洞很多,有些漏洞不能及时修补。是否应该规避风险,应该采取什么策略?一个web应用器公网可以用暗链浏览事件使用框架类,所以一开始能够怀疑是命令执行漏洞;如果一个公网服务器没有打补丁,没有防火墙保护,管理员密码是P@sswrod,那么暴力破解成功的可能性很大;接下来的工作主要是收集各种数据来证明这个猜想。


Web系统,一般一般web类的安全事件在web系统日志中能够找到一些线索。毕竟不是每个黑客都能做清系统日志这种事。几个多见中间件的系统日志如下:apache的系统日志路径一般配置在httpd.conf的目录或者在/var/log/http中。默认情况下,IIS的系统日志位于系统目录下日志文件下的目录中。tomcat通常位于Tomcat安装目录中的系统日志文件夹下。Nginx系统日志一般配置在nginx.conf或vhostconf文件中。系统日志通常以日期命名,方便后续审计人员和安全人员深入分析。想要尽最大努力的工人必须首先磨利他们的工具。一般系统日志量比较大。网上还有很多系统日志检测工具。个人不喜欢用主工具或者记事本++和升华文本来跟进收集到的信息,比如时间点。利用深入分析时间点前后的请求系统日志,通常能够发现一些不正常。

分享: