附录二:应急演练表填写样例
演练项目名称 信息篡改事件 应用系统名称 xx门户网站 事件描述 IP地址为10.1.230.63的IIS WEB服务器的页面被篡改。 赵xx,13601234567,xx公司(第三应急处理人员 方代维厂商); 王五,13901234567,业务支撑中心。 应急处理时间 2012-8-15 14:45—16:30 14:47,应急处理人将事件内容电话上报给业务支撑中心领导、网络与信息事件上报过程 安全办公室 14:50,网络与信息安全办公室将事件内容电话上报给集团、省管局。 14:45—14:50,管理员收到网站监控软件告警,页面被篡改。按照应急预案进行处置和响应,使用在【XX位置】备份的原始页面,替换被篡改的页面,实现系统的临时恢复,告警消失。 14:50— 16:00,利用计算机管理功能,查看系统帐号,并检查10.1.230.63服务器日志,持续监控服务器登陆情况,及时发现再次的异常登录攻击行为。 14:50—16:00,分析IIS Web应用日志,发现存在sql注入漏洞的页面应急处理过程 conn.asp。登录web应用防火墙10.1.230.50开启安全策略,同时对conn.asp进行修复,加入过滤代码。使用阿D注入检测工具进行验证,问题解决。 15:00—16:00,进行深入风险检查。使用任务管理器,查找恶意进程;使用Netstat.exe命令行实用工具,显示 TCP 和 UDP 的所有打开的端口;使用webshell扫描清理工具查找后门程序。发现windows\\system32目录下sethc.exe,并删除。 16:00- 16:20,查看网站监控软件的告警状况,确认网站已经安全。 遭到SQL注入攻击,事件结果是10.1.230.63服务器网站页面被篡改。 事件原因分析及后续建议 对网站的代码进行代码审核,找到存在sql注入漏洞的页面conn.asp,进行了代码修改,删除后门程序,系统恢复。 后续考虑对该网站进行安全加固,例如删除Wscript.Shell组件,避免黑客使用webshell执行DOS命令等。 16:25,将事件处理结果电话上报给业务支撑中心领导、网络与信息安全办公室。 16:30网络与信息安全办公室将事件处理结果电话上报给集团公司、省管局。 事件处理结果上报 注:关于安全事件上报参见十八大保障应急预案、安全事件管理细则。
6
附录三:应急处理措施参考 1、 信息篡改事件应急处理措施
1) 进行系统临时性恢复,迅速恢复系统被篡改的内容。
2) 必要时,将发生安全事件的设备脱网,做好安全审计及系统恢复准备。
3) 必要时,将遭受攻击的主机上系统日志、应用日志等导出备份,并加以分析判断。 4) 分析web应用日志,确认有无恶意文件上传、跨站脚本、SQL注入的非正常查询。 5) 分析主机系统日志,确认主机上有无异常权限用户非法登陆,并记录其IP地址、登陆时间等信息。例如对UNIX:
? 使用w命令查看utmp日志,获得当前系统正在登录帐户的信息及来源 ? 使用last命令查看wtmp日志,获得系统前N次登录记录
? Su命令日志记录了每一次执行su命令的动作:时间日期、成功与否、终端设备、用户ID等。有些UNIX具有单独的su日志,有些则保存在syslog中。
? Cron日志记录了定时作业的内容,通常在/var/log/cron或默认日志目录中一个称为cron的文件里
6) 分析系统目录以及搜索整盘近期被修改的和新创建的文件,查找是否存在可疑文件和后门程序。例如对UNIX:
? find /etc –ctime n –print在/etc查找n天以前文件状态被修改过的所有文件 ? find /etc –mtime n –print在/etc查找n天以前文件内容被修改过的所有文件 7) 分析系统服务,检查有无新增或者修改过的服务,有无可疑进程,有无可疑端口。例如对UNIX:
? Netstat –an列出所有打开的端口及连接状态 ? sof –i只显示网络套接字的进程 ? Ps –ef会列出系统正在运行的所有进程 8) 使用第三方检查工具检查是否存在木马后门程序;
9) 结合上述日志审计,确定攻击者的方式、入侵后所获得的最大管理权限以及是否对被攻击服务器留有后门程序。
10) 通过防火墙或网络设备策略的配置严格限制外网恶意地址对该服务器的远程登录及访问请求。
? netscreen防火墙:
7
set policy id * top from untrust to trust \外部ip\ ? cisco防火墙:
I.标准访问控制列表
access-list list-number {deny | permit} source [source-wildcard] [log] II.扩展访问控制列表
access-list list-number {deny | permit} protocol source source-wildcard source-qualifiers
destination destination-wildcard destination-qualifiers [ log | log-input]
11) 对web服务软件和数据库进行安全配置; 12) 对存在问题的web页面代码进行安全修改;
13) 如果攻击者放置了后门、木马等恶意程序,建议对主机重新安装操作系统,并恢复数据库系统,对系统进行加固;
14) 恢复业务数据,进行业务测试,确定系统完全恢复后系统上网运行。
2、 病毒/蠕虫/恶意代码事件应急处理措施
2.1内部事件
1) 定位事件的源头
? 通过防病毒管理中心,可以监控到哪些设备和哪些类型病毒爆发的状况。 ? 通过网络流量分析系统(tcpdump、sniffer等),对网络数据包分析、网络连接分析,即定位事件的源头。
? 查看重要主机的日志,检查主机是否受到蠕虫病毒的入侵或者是否感染蠕虫病毒。 2) 隔离主机:在确认有主机感染蠕虫之后,将被感染主机隔离,以免其进一步扩散,并根据需要启动备用主机以保持业务连续性。
3) 在问题终端或主机上,确定病毒、蠕虫、恶意代码的特征:进程、端口等。对UNIX,
Netstat –an列出所有打开的端口及连接状态 Lsof –i只显示网络套接字的进程 Ps –ef会列出系统正在运行的所有进程
8
4) 清除病毒、蠕虫、恶意代码,一般先停止恶意进程,同时将其相关文件和注册表项删除。对UNIX,
Kill 停止进程 Rm –f 删除文件
5) 如果人工无法清除,则需要防病毒系统厂商提供针对该病毒的专杀工具,使用专杀工具来清除病毒。当本单位技术力量无法完成时,应及时寻求专业病毒服务厂商支持。 6) 升级所有终端、主机防病毒系统的特征库到最新版本,确认蠕虫、病毒被彻底清除。 7) 如果出现难以快速清除的病毒、蠕虫、恶意代码等,建议重新安装操作系统。 8) 对各主机进行加固,保证不会再次感染。
9) 利用终端安全管理系统,对所有终端自动同步补丁,使全网终端的补丁能够及时地更新。
10) 恢复主机系统的运行,如果启动了备用主机,应切换到原来的主机。 11) 恢复终端的正常使用。
2.2外部事件
当系统外部网站遭受病毒、蠕虫、恶意代码攻击时,可能会以网络连接、邮件、文件传输等形式试图感染到系统内部。当此类攻击发生时:
1) 通过网络流量分析系统(tcpdump、sniffer等),分析代码网络数据包特征,确定恶意代码利用的端口及IP。
2) 在防火墙设置acl规则,过滤相关的IP和端口。
? netscreen防火墙:
set policy id * top from untrust to trust \外部ip\
3) 同时根据恶意代码的利用机理,在主机层面做一定防范,比如安装补丁、修改配置、做访问控制等。
3、 DOS攻击事件应急处理措施
3.1由内部发起
当内部主机被入侵后,如果放置了拒绝服务攻击程序,被黑客用来对其他系统发动拒绝
9
服务攻击:
1) 通过网络流量分析软件(tcpdump、sniffer等),分析数据包特征。 2) 通过流量分析,确定对外发包的被控主机,条件允许将其断网隔离。
3) 调整防火墙或网络设备访问控制ACL策略,严格限制该机器的对外继续发包。
? netscreen防火墙:
set policy id * top from untrust to trust \外部ip\ ? cisco防火墙
I.标准访问控制列表
access-list list-number {deny | permit} source [source-wildcard] [log] II.扩展访问控制列表
access-list list-number {deny | permit} protocol source source-wildcard source-qualifiers
destination destination-wildcard destination-qualifiers [ log | log-input]
4) 检查并确认被控主机上的恶意进程或恶意程序。对UNIX,
Netstat –an列出所有打开的端口及连接状态 Lsof –i只显示网络套接字的进程 Ps –ef会列出系统正在运行的所有进程
5) 清除恶意进程,一般先关闭进程,然后删除其相关文件。对UNIX,
Kill 停止进程 Rm –f 删除文件
6) 必要情况下,重新安装系统,对系统进行安全加固,重新恢复业务系统,上线运行。
3.2由外部发起 - 利用主机漏洞
外部破坏者利用主机操作系统的漏洞发起对系统的拒绝服务攻击。对此, 1) 如果系统服务无法正常响应,迅速切换到备用系统。
2) 通过防火墙或网络设备配置访问控制列表,过滤DoS发起源的连接。
? netscreen防火墙:
set policy id * top from untrust to trust \外部ip\ ? cisco防火墙
I.标准访问控制列表
10
安全事件应急演练的方案.doc
