網(wǎng)絡(luò)電視臺安全事件應(yīng)急預(yù)案

1、網(wǎng)絡(luò)電視臺重點(diǎn)宣傳保障期網(wǎng)站安全事件應(yīng)急處理預(yù)案2013-01-181 目的本文以網(wǎng)絡(luò)電視臺互聯(lián)網(wǎng)站系統(tǒng)現(xiàn)狀出發(fā)，結(jié)合目前網(wǎng)絡(luò)安全狀況的分析，建立本預(yù)案用以處理可能發(fā)生的網(wǎng)絡(luò)安全事件。本預(yù)案以安全事件已發(fā)現(xiàn)和確認(rèn)為背景，重在安全事件發(fā)生后的處理。2 范圍本應(yīng)急預(yù)案適用于網(wǎng)絡(luò)電視臺系統(tǒng)，網(wǎng)絡(luò)電視臺系統(tǒng)面臨的主要安全風(fēng)險有以下三種：l 信息篡改：針對網(wǎng)絡(luò)電視臺服務(wù)器，未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件，例如網(wǎng)頁篡改等導(dǎo)致的信息安全事件。l 拒絕服務(wù)：包括從外部發(fā)起，針對網(wǎng)絡(luò)電視臺的拒絕服務(wù)攻擊，也包括網(wǎng)絡(luò)電視臺內(nèi)部被非法控制的主機(jī)，作為傀儡機(jī)發(fā)起的拒絕服務(wù)。l

2、惡意代碼攻擊：指病毒或者網(wǎng)絡(luò)蠕蟲，其表現(xiàn)形式為，網(wǎng)絡(luò)電視臺內(nèi)主機(jī)遭受惡意代碼破壞或從外網(wǎng)發(fā)起對網(wǎng)絡(luò)電視臺的蠕蟲病毒感染。3 信息篡改事件是指未經(jīng)授權(quán)將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件。3.1 緊急處理措施1、 進(jìn)行系統(tǒng)臨時性恢復(fù)，迅速恢復(fù)系統(tǒng)被篡改的內(nèi)容；2、 嚴(yán)格監(jiān)控對系統(tǒng)的業(yè)務(wù)訪問以及服務(wù)器系統(tǒng)登陸情況，確保對再次攻擊的行為能進(jìn)行檢測；使用事件查看器查看系統(tǒng)安全日志，獲得當(dāng)前系統(tǒng)正在登錄帳戶的信息及來源使用事件查看器查看系統(tǒng)安全日志，獲得系統(tǒng)前n次登錄記錄3、 將發(fā)生安全事件的設(shè)備脫網(wǎng)，做好安全審計(jì)及系統(tǒng)恢復(fù)準(zhǔn)備；4、 在必要情況下，將遭受攻擊的主機(jī)上系統(tǒng)日志、

3、應(yīng)用日志等導(dǎo)出備份，并加以分析判斷。3.2 抑制處理1、 分析日志(系統(tǒng)安全日志，windows防火墻日志等)，確認(rèn)主機(jī)上有無異常權(quán)限用戶非法登陸，并記錄其ip地址、登陸時間等信息；使用事件查看器查看系統(tǒng)安全日志，獲得當(dāng)前系統(tǒng)正在登錄帳戶的信息及來源使用事件查看器查看系統(tǒng)安全日志，獲得系統(tǒng)前n次登錄記錄應(yīng)用日志記錄了定時作業(yè)的內(nèi)容，通常在默認(rèn)日志目錄中一個文件里2、 分析系統(tǒng)目錄以及搜索整盤近期被修改的和新創(chuàng)建的文件，查找是否存在可疑文件和后門程序；3、 分析系統(tǒng)服務(wù)，有無新增或者修改過的服務(wù)；檢查有無可疑進(jìn)程；檢查有無可疑端口；netstat an列出所有打開的端口及連接狀態(tài)netstat

4、i只顯示網(wǎng)絡(luò)套接字的進(jìn)程任務(wù)管理器會列出系統(tǒng)正在運(yùn)行的所有進(jìn)程4、 使用第三方rootkit檢查工具（如chkrootkit）檢查是否存在rootkit性質(zhì)后門程序；5、 結(jié)合上述日志審計(jì)，確定攻擊者的方式、以及入侵后所獲得的最大管理權(quán)限和是否對被攻擊服務(wù)器留有后門程序3.3 根除1、 部署網(wǎng)頁防篡改軟件1. 在主web服務(wù)器上部署監(jiān)控端，通過事件觸發(fā)+文件驅(qū)動保護(hù)的方式，對web服務(wù)目錄提供實(shí)時保護(hù)，禁止在主服務(wù)器上對監(jiān)控目錄進(jìn)行任何寫操作。2. 在備份web服務(wù)器上部署server端以及控制臺，將主服務(wù)器上web服務(wù)的相關(guān)目錄全部拷貝在備份web服務(wù)器上。所有的維護(hù)操作均在備份服務(wù)器上進(jìn)行

5、，并實(shí)時同步到主web服務(wù)器上3. 對數(shù)據(jù)庫的保護(hù)通過專門的iissec模塊進(jìn)行防護(hù)。此模塊部署在主web服務(wù)器上，主要防護(hù)數(shù)據(jù)庫讀取，數(shù)據(jù)交互等動態(tài)信息。4. 系統(tǒng)上網(wǎng)運(yùn)行。4 拒絕服務(wù)攻擊拒絕服務(wù)攻擊事件是指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段，以大量消耗信息系統(tǒng)的cpu、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運(yùn)行為目的的信息安全事件。拒絕服務(wù)發(fā)起時往往表現(xiàn)為cpu、內(nèi)存、帶寬等的高利用率，同時由于攻擊手法和形式的多樣性，造成對攻擊形式攻擊特征分析帶來一定的難度。當(dāng)此類攻擊發(fā)生后，可根據(jù)如下幾種歸類，確認(rèn)和處理此類安全事件。4.1 由外部發(fā)起外部破壞者發(fā)起對網(wǎng)絡(luò)電視臺的拒絕

6、服務(wù)攻擊。4.1.1 系統(tǒng)漏洞類此類攻擊利用的軟件或者操作系統(tǒng)的漏洞，比如最新公布了一個apache某一模塊存在拒絕服務(wù)漏洞，當(dāng)這一模塊接受了一個特殊構(gòu)造的數(shù)據(jù)包時，會造成apache服務(wù)停止響應(yīng)。 利用主機(jī)漏洞1、 如果系統(tǒng)服務(wù)無法正常響應(yīng)，迅速切換到備用系統(tǒng)；2、 通過防火墻或網(wǎng)絡(luò)設(shè)備配置訪問控制列表，過濾dos發(fā)起源的連接。3、 確認(rèn)造成系統(tǒng)cpu、內(nèi)存占用高的進(jìn)程或者應(yīng)用。4、 確認(rèn)系統(tǒng)存在的漏洞，根據(jù)漏洞信息和安全建議采取相應(yīng)的控制措施；安裝相應(yīng)的補(bǔ)丁修復(fù)程序，5、 修復(fù)漏洞后切換到原運(yùn)行系統(tǒng)。 利用網(wǎng)絡(luò)設(shè)備漏洞1、 如果系統(tǒng)服務(wù)無法正常響應(yīng)，迅速切換到備

7、用系統(tǒng)；2、 利用防火墻或網(wǎng)絡(luò)設(shè)備配置acl，過濾dos發(fā)起源的連接3、 確認(rèn)當(dāng)前ios版本，確認(rèn)此版本是否存在dos的漏洞4、 根據(jù)漏洞信息和相應(yīng)安全建議采取相應(yīng)的控制措施，安裝相應(yīng)的補(bǔ)丁修復(fù)程序。5、 切換到主系統(tǒng)。4.1.2 網(wǎng)絡(luò)協(xié)議類協(xié)議類攻擊是以發(fā)起大量連接或數(shù)據(jù)包為基礎(chǔ)，造成被攻擊方連接隊(duì)列耗盡或cpu、內(nèi)存資源的耗盡。此類攻擊為最常見。比如：syn flood。1、 通過網(wǎng)絡(luò)流量分析軟件，確定數(shù)據(jù)包類型特征，比如利用的是udp、tcp還是icmp協(xié)議2、 在防火墻配置訪問控制策略。3、 可以通過電信運(yùn)營商noc中心協(xié)調(diào)相關(guān)機(jī)構(gòu)，對攻擊源地址進(jìn)行監(jiān)控處理。4.1.3 應(yīng)用類應(yīng)用類，

8、主要是指針對web服務(wù)發(fā)起的攻擊，表現(xiàn)在分布式的大量http請求，以耗盡web服務(wù)的最大連接數(shù)或者消耗數(shù)據(jù)庫資源為目的。比如：對某一大頁面的訪問或者對某一頁面的數(shù)據(jù)庫搜索。1、 通過網(wǎng)絡(luò)流量分析軟件，確定數(shù)據(jù)包類型特征，2、 在防火墻或網(wǎng)絡(luò)設(shè)備上配置訪問控制策略，限制或過濾發(fā)送源地址的訪問3、 可以通過電信運(yùn)營商noc中心協(xié)調(diào)相關(guān)機(jī)構(gòu)，對攻擊源地址進(jìn)行監(jiān)控處理。4.2 由內(nèi)部發(fā)起當(dāng)內(nèi)部主機(jī)被入侵后，如果放置了拒絕服務(wù)攻擊程序，被黑客用來對其他系統(tǒng)發(fā)動拒絕服務(wù)攻擊。4.2.1 緊急措施1、 通過網(wǎng)絡(luò)流量分析軟件（tcpdump、sniffer等），分析數(shù)據(jù)包特征。2、 通過流量分析，確定對外發(fā)包

9、的被控主機(jī)，條件允許將其斷網(wǎng)隔離。3、 調(diào)整防火墻或網(wǎng)絡(luò)設(shè)備訪問控制acl策略，嚴(yán)格限制該機(jī)器的對外繼續(xù)發(fā)包。4.2.2 抑制處理1、 檢查并確認(rèn)被控主機(jī)上的惡意進(jìn)程或惡意程序。2、 清除惡意進(jìn)程，一般先關(guān)閉進(jìn)程，然后刪除其相關(guān)文件。4.2.3 根除1、 選擇電信安全衛(wèi)士服務(wù)中的流量清洗服務(wù)子模塊。2、 重新恢復(fù)業(yè)務(wù)系統(tǒng)，上線運(yùn)行5 惡意代碼惡意代碼以病毒或蠕蟲最為常見。其中蠕蟲類攻擊，往往影響嚴(yán)重。5.1 內(nèi)部內(nèi)部惡意代碼，表現(xiàn)為網(wǎng)絡(luò)電視臺內(nèi)主機(jī)或者網(wǎng)絡(luò)上，存在惡意代碼。5.1.1 緊急處理1、 通過網(wǎng)絡(luò)流量分析軟件（tcpdump、sniffer等）確定惡意代碼源頭，即定位到哪個機(jī)房的哪臺

10、機(jī)器2、 必要情況下切換備機(jī)，斷網(wǎng)隔離。3、 通過在防火墻或網(wǎng)絡(luò)設(shè)備設(shè)置訪問控制策略，限制外部的訪問。5.1.2 抑制處理1、 在問題主機(jī)上，確定惡意代碼特征：進(jìn)程、端口等，通常以netstat naple 查看進(jìn)程和端口的綁定情況，分析出異常的端口或者進(jìn)程2、 清除惡意代碼，一般先停止惡意進(jìn)程，同時將其相關(guān)文件刪除5.1.3 根除1、 部署ips安全防護(hù)設(shè)備在web服務(wù)器和接入交換機(jī)之間部署入侵防護(hù)設(shè)備ips，主動監(jiān)測，實(shí)時阻斷惡意攻擊。2、 實(shí)現(xiàn)功能：進(jìn)行事前防護(hù)，最大程度減少威脅 實(shí)時阻斷各種攻擊行為，便于取證開放特定端口，方便異地備份控制備份服務(wù)器與主服務(wù)器之間通信，避免備份服務(wù)器被入

11、侵5.2 外部當(dāng)網(wǎng)絡(luò)電視臺外部網(wǎng)絡(luò)遭受惡意代碼（蠕蟲）攻擊時，此類惡意代碼可能會以網(wǎng)絡(luò)連接、郵件、文件傳輸?shù)刃问皆噲D感染到網(wǎng)絡(luò)電視臺內(nèi)部。當(dāng)此類攻擊發(fā)生時：1、 通過網(wǎng)絡(luò)流量分析軟件（tcpdump、sniffer等），分析代碼網(wǎng)絡(luò)數(shù)據(jù)包特征，確定惡意代碼利用的端口及ip2、 在防火墻設(shè)置acl規(guī)則，過濾相關(guān)的ip和端口3、 同時根據(jù)惡意代碼的利用機(jī)理，在主機(jī)層面做一定防范，比如安裝補(bǔ)丁、修改配置、做訪問控制等。6 附錄1. windows應(yīng)急處理參考列表windows應(yīng)急處理主要事項(xiàng)windows系統(tǒng)的入侵檢測方法主要包括：檢查所有相關(guān)的日志，檢查相關(guān)文件，鑒定未授權(quán)的用戶賬號或組，尋找異常

12、或隱藏文件，檢查系統(tǒng)的運(yùn)行的進(jìn)程，檢查系統(tǒng)開放的端口等?？梢圆捎檬止ず凸ぞ邫z查相結(jié)合的方式進(jìn)行。一、手工檢查與審計(jì)下面就各種檢查項(xiàng)目做一下詳細(xì)說明。1、檢查端口與網(wǎng)絡(luò)連接 netstat.exe 是一種命令行實(shí)用工具，可以顯示 tcp 和 udp 的所有打開的端口。 如果發(fā)現(xiàn)的已打開的端口無法識別，則應(yīng)對它們進(jìn)行調(diào)查以確定在該計(jì)算機(jī)上是否需要對應(yīng)的服務(wù)。如果不需要該服務(wù)，則應(yīng)禁用或刪除相關(guān)的服務(wù)以防止計(jì)算機(jī)在該端口上監(jiān)聽。 也可以通過該命令檢查有哪些相關(guān)的連接，也許惡意的連接就在這里。方法：netstat an（系統(tǒng)命令）（windows2003使用命令netstat ano可檢測出端口對應(yīng)的

13、進(jìn)程）netstat a（系統(tǒng)命令）（windows2003使用命令netstat ao可檢測出端口對應(yīng)的進(jìn)程）fport（第三方工具）木馬端口列表：/main.htm /threat/threat-ports.htm http:/www.chebucto.ns.ca/rakerman/port-table.html2、檢查賬戶安全服務(wù)器被入侵之后，通常會表現(xiàn)在系統(tǒng)的用戶賬戶上，我們可以在系統(tǒng)日志上察看相關(guān)的信息。除了察看事件日志外，也應(yīng)該檢查所有賬戶的信息，包括他們所屬的組。有些黑客入侵后常常將添加他

14、們自己的賬號，或者將那些偏僻的用戶修改了權(quán)限，從而方便他們以后再次入侵。方法：可以在“計(jì)算機(jī)管理”“用戶管理”中查看系統(tǒng)帳號?？梢允褂妹畈榭矗簄et user ；net localgroup administrators；可以cca.exe（第三方工具）檢查是否有克隆帳號的存在。3、查找惡意進(jìn)程可以通過以下工具和方法檢查系統(tǒng)運(yùn)行的進(jìn)程，找出異常的進(jìn)程。方法：任務(wù)管理器（系統(tǒng)工具）psinfo.exe（第三方工具） windows2000基本的系統(tǒng)進(jìn)程如下：smss.exe session manager 會話管理csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程 winlogon.exe 管理用戶登錄 s

15、ervices.exe 包含很多系統(tǒng)服務(wù) lsass.exe 管理 ip 安全策略以及啟動 isakmp/oakley (ike) 和 ip 安全驅(qū)動程序。(系統(tǒng)服務(wù)) svchost.exe 包含很多系統(tǒng)服務(wù) spoolsv.exe 將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù)) explorer.exe 資源管理器 internat.exe 輸入法 4、監(jiān)視已安裝的服務(wù)和驅(qū)動程序許多針對計(jì)算機(jī)的攻擊都是這樣實(shí)現(xiàn)的：攻擊安裝在目標(biāo)計(jì)算機(jī)上的服務(wù)，或者將有效的驅(qū)動程序替換為包含特洛伊木馬的驅(qū)動程序版本，以給予攻擊者訪問目標(biāo)計(jì)算機(jī)的權(quán)限。 1、通過服務(wù)控制臺查看服務(wù)。服務(wù) mmc 控制臺用于監(jiān)視本

16、地計(jì)算機(jī)或遠(yuǎn)程計(jì)算機(jī)的服務(wù)，并允許管理員配置、暫停、停止、啟動和重新啟動所有已安裝的服務(wù)。可使用此控制臺確定是否存在已配置為自動啟動的服務(wù)當(dāng)前未啟動的情況。2、通過注冊表項(xiàng)查看服務(wù)和驅(qū)動程序：待添加的隱藏文字內(nèi)容2hkey_local_machinesystemcurrentcontrolsetservices5、檢查注冊表的關(guān)鍵項(xiàng)：一般來說，木馬或者后門都會利用注冊表來再次運(yùn)行自己，所以，校驗(yàn)注冊表來發(fā)現(xiàn)入侵也是常用的手法之一。使用regedit注冊表編輯器可以查看注冊表。在注冊表里，我們著重要查看hkey_local_machinesoftwaremicrosoftwindowscurre

17、ntversion、hkey_current_usersoftwaremicrosoftwindowscurrentversion、hkey_users.defaultsoftwaremicrosoftwindowscurrentversion下面的子樹。特別是要查看 run, runonce, runonceex, runservices, 和 runservicesonce 文件夾，查找是否存在異常的條目。hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwinlogon也是需要檢查的地方。主要檢查內(nèi)容：shell項(xiàng)內(nèi)容正

18、常情況應(yīng)該為explorer.exe；userinit項(xiàng)內(nèi)容應(yīng)該為c:winntsystem32userinit.exe；檢查是否有增加的項(xiàng)目其內(nèi)容包括.exe .sys .dll 等各種可執(zhí)行文件。hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwinlogonnotify是否有異常的項(xiàng)。正常的項(xiàng)目主要有：crypt32chain, cryptnet, cscdll, sclgntfy, senslogn, wzcnotif.可能還會包括顯卡、防病毒等項(xiàng)。檢查類似txt等文本或其它后綴映射是否正常。hkey_local_m

19、achinesoftwaremicrosoftwindows ntcurrentversionimage file execution options，映像劫持主要是用來調(diào)試程序。通常此項(xiàng)下不應(yīng)設(shè)置任何子項(xiàng)、值。6、檢查所有相關(guān)的日志windows日志對于系統(tǒng)安全的作用是很重要的，網(wǎng)絡(luò)管理員應(yīng)該非常重視日志。windows的系統(tǒng)日志文件有應(yīng)用程序日志，安全日志、系統(tǒng)日志等等。可以通過“事件管理器”查看。建議日志的文件大小不小于100m。安全日志文件：%systemroot%system32configsecevent.evt 系統(tǒng)日志文件：%systemroot%system32configs

20、ysevent.evt 應(yīng)用程序日志文件：%systemroot%system32configappevent.evt7、檢查用戶目錄：檢查c:documents and settings目錄各用戶的目錄。主要檢查內(nèi)容：用戶最近一次的登陸時間；檢查用戶目錄下的文件內(nèi)容；檢查local settings目錄下的歷史文件（history）、臨時文件（temp）、訪問網(wǎng)頁的臨時文件（temporary internet files）、應(yīng)用數(shù)據(jù)文件（application data）等內(nèi)容。8、檢查文件系統(tǒng)檢查c: 、c: winnt、c: winntsystem 、c: winntsystem32、

21、c: winntsystem32dllcache、c: winntsystem32drivers、各個program files目錄下的內(nèi)容，檢查他們目錄及文件的屬性，若無版本說明，多為可疑文件；若某文件的建立時間異常，也可能是可疑的文件。維護(hù)一份文件和目錄的完整列表，定期地進(jìn)行更新和對比，這可能會加重過度操勞的管理員的負(fù)擔(dān)，但是，如果系統(tǒng)的狀態(tài)不是經(jīng)常變動的話，這是發(fā)現(xiàn)很多惡意行為蹤跡最有效的方法。9、環(huán)境變量右鍵點(diǎn)擊“我的電腦”-屬性-選擇“高級”-“環(huán)境變量”檢查內(nèi)容：temp變量的所在位置的內(nèi)容；后綴映射pathext是否包含有非windows的后綴；有沒有增加其他的路徑到path變量中；（對用戶變量和系統(tǒng)變量都要進(jìn)行檢查）10、檢查防病毒檢查防病毒系統(tǒng)是否正常工作、病毒庫是否正常更新、是否有異常的報警。11、檢查應(yīng)用檢查相關(guān)應(yīng)用的日志信息：interne