阿里云優(yōu)惠券 先領券再下單

由于時間比較緊,年底業(yè)務比較多在此很多朋友想要了解我們Sine安全對于滲透測試安全檢測以及應急響應的具體操作實踐過程,對于漏洞發(fā)生問題的根源和即時的處理解決修補網站漏洞的響應時間進行全面的了解和預防,使公司組建一個更加專業(yè)的安全部門來阻擋黑客的攻擊和入侵!

6.7.1. 常見入侵點

Web入侵

高危服務入侵

6.7.2. 常見實現

6.7.2.1. 客戶端監(jiān)控

監(jiān)控敏感配置文件

常用命令ELF文件完整性監(jiān)控

ps

lsof

…

rootkit監(jiān)控

資源使用報警

內存使用率

CPU使用率

IO使用率

網絡使用率

新出現進程監(jiān)控

基于inotify的文件監(jiān)控

6.7.2.2. 網絡檢測

基于網絡層面的攻擊向量做檢測，如Snort等。

6.7.2.3. 日志分析

將主機系統(tǒng)安全日志/操作日志、網絡設備流量日志、Web應用訪問日志、SQL應用訪問日志等日志集中到一個統(tǒng)一的后臺，在后臺中對各類日志進行綜合的分析。

應急響應

6.8.1. 響應流程

6.8.1.1. 事件發(fā)生

運維監(jiān)控人員、客服審核人員等發(fā)現問題，向上通報

6.8.1.2. 事件確認

判斷事件的嚴重性，評估出問題的嚴重等級，是否向上進行匯報等

6.8.1.3. 事件響應

各部門通力合作，處理安全問題，具體解決階段

6.8.1.4. 事件關閉

處理完事件之后，需要關閉事件，并寫出安全應急處理分析報告，完成整個應急過程。

6.8.2. 事件分類

病毒、木馬、蠕蟲事件

Web服務器入侵事件

第三方服務入侵事件

系統(tǒng)入侵事件

利用Windows漏洞攻擊操作系統(tǒng)

網絡攻擊事件

DDoS / ARP欺騙 / DNS劫持等

6.8.3. 分析方向

6.8.3.1. 文件分析

基于變化的分析

日期

文件增改

最近使用文件

源碼分析

檢查源碼改動

查殺WebShell等后門

系統(tǒng)日志分析

應用日志分析

分析User-Agent，e.g. awvs / burpsuite / w3af / nessus / openvas

對每種攻擊進行關鍵字匹配，e.g. select/alert/eval

異常請求，連續(xù)的404或者500

md5sum 檢查常用命令二進制文件的哈希，檢查是否被植入rootkit

6.8.3.2. 進程分析

符合以下特征的進程

CPU或內存資源占用長時間過高

沒有簽名驗證信息

沒有描述信息的進程

進程的路徑不合法

dump系統(tǒng)內存進行分析

6.8.3.3. 網絡分析

防火墻配置

DNS配置

路由配置

6.8.3.4. 配置分析

查看Linux SE等配置

查看環(huán)境變量

查看配套的注冊表信息檢索，SAM文件

內核模塊

6.8.4. Linux應急響應

6.8.4.1. 文件分析

最近使用文件

find / -ctime -2

C:\Documents and Settings\Administrator\Recent

C:\Documents and Settings\Default User\Recent

%UserProfile%\Recent

系統(tǒng)日志分析

/var/log/

重點分析位置

/var/log/wtmp 登錄進入，退出，數據交換、關機和重啟紀錄

/var/run/utmp 有關當前登錄用戶的信息記錄

/var/log/lastlog 文件記錄用戶最后登錄的信息，可用 lastlog 命令來查看。

/var/log/secure 記錄登入系統(tǒng)存取數據的文件，例如 pop3/ssh/telnet/ftp 等都會被記錄。

/var/log/cron 與定時任務相關的日志信息

/var/log/message 系統(tǒng)啟動后的信息和錯誤日志

/var/log/apache2/access.log

apache access log

/etc/passwd 用戶列表

/etc/init.d/ 開機啟動項

/etc/cron* 定時任務

/tmp 臨時目錄

~/.ssh

6.8.4.2. 用戶分析

/etc/shadow 密碼登陸相關信息

uptime 查看用戶登陸時間

/etc/sudoers sudo用戶列表

6.8.4.3. 進程分析

netstat -ano 查看是否打開了可疑端口

w 命令，查看用戶及其進程

分析開機自啟程序/腳本

/etc/init.d

~/.bashrc

查看計劃或定時任務

crontab -l

netstat -an / lsof 查看進程端口占用

6.8.5. Windows應急響應

6.8.5.1. 文件分析

最近使用文件

C:\Documents and Settings\Administrator\Recent

C:\Documents and Settings\Default User\Recent

%UserProfile%\Recent

系統(tǒng)日志分析

事件查看器 eventvwr.msc

6.8.5.2. 用戶分析

查看是否有新增用戶

查看服務器是否有弱口令

查看管理員對應鍵值

lusrmgr.msc 查看賬戶變化

net user 列出當前登錄賬戶

wmic UserAccount get 列出當前系統(tǒng)所有賬戶

本節(jié)重點講解了滲透測試中的檢測入侵手段以及應急響應的處理解決方案,如果有想要更深入的了解項目上線前的滲透測試服務可以去看看專業(yè)的網站安全公司來處理解決,國內做的比較專業(yè)的如Sinesafe,啟明星辰,綠盟等等都是比較不錯的網絡安全維護公司。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！