网站漏洞渗透测试 应急修复防护方案
发布时间:2022-07-26 10:49:18 所属栏目:经验 来源:互联网
导读:由于时间比较紧,年底业务比较多在此很多朋友想要了解我们Sine安全对于渗透测试安全检测以及应急响应的具体操作实践过程,对于漏洞发生问题的根源和即时的处理解决修补网站漏洞的响应时间进行全面的了解和预防,使公司组建一个更加专业的安全部门来阻挡黑客的攻
|
由于时间比较紧,年底业务比较多在此很多朋友想要了解我们Sine安全对于渗透测试安全检测以及应急响应的具体操作实践过程,对于漏洞发生问题的根源和即时的处理解决修补网站漏洞的响应时间进行全面的了解和预防,使公司组建一个更加专业的安全部门来阻挡黑客的攻击和入侵! 6.7.1. 常见入侵点 Web入侵 高危服务入侵 6.7.2. 常见实现 6.7.2.1. 客户端监控 监控敏感配置文件 常用命令ELF文件完整性监控 ps lsof … rootkit监控 资源使用报警 内存使用率 CPU使用率 IO使用率 网络使用率 新出现进程监控 基于inotify的文件监控 6.7.2.2. 网络检测 基于网络层面的攻击向量做检测,如Snort等。 6.7.2.3. 日志分析 将主机系统安全日志/操作日志、网络设备流量日志、Web应用访问日志、SQL应用访问日志等日志集中到一个统一的后台,在后台中对各类日志进行综合的分析。 应急响应 6.8.1. 响应流程 6.8.1.1. 事件发生 运维监控人员、客服审核人员等发现问题,向上通报 6.8.1.2. 事件确认 判断事件的严重性,评估出问题的严重等级,是否向上进行汇报等 6.8.1.3. 事件响应 各部门通力合作,处理安全问题,具体解决阶段 6.8.1.4. 事件关闭 处理完事件之后,需要关闭事件,并写出安全应急处理分析报告,完成整个应急过程。 6.8.2. 事件分类 病毒、木马、蠕虫事件 Web服务器入侵事件 第三方服务入侵事件 系统入侵事件 利用Windows漏洞攻击操作系统 网络攻击事件 DDoS / ARP欺骗 / DNS劫持等 6.8.3. 分析方向 6.8.3.1. 文件分析 基于变化的分析 日期 文件增改 最近使用文件 源码分析 检查源码改动 查杀WebShell等后门 系统日志分析 应用日志分析 分析User-Agent,e.g. awvs / burpsuite / w3af / nessus / openvas 对每种攻击进行关键字匹配,e.g. select/alert/eval 异常请求,连续的404或者500 md5sum 检查常用命令二进制文件的哈希,检查是否被植入rootkit 6.8.3.2. 进程分析 符合以下特征的进程 CPU或内存资源占用长时间过高 没有签名验证信息 没有描述信息的进程 进程的路径不合法 dump系统内存进行分析 6.8.3.3. 网络分析 防火墙配置 DNS配置 路由配置 6.8.3.4. 配置分析 查看Linux SE等配置 查看环境变量 查看配套的注册表信息检索,SAM文件 内核模块 6.8.4. Linux应急响应 6.8.4.1. 文件分析 最近使用文件 find / -ctime -2 C:Documents and SettingsAdministratorRecent C:Documents and SettingsDefault UserRecent %UserProfile%Recent 系统日志分析 /var/log/ 重点分析位置 /var/log/wtmp 登录进入,退出,数据交换、关机和重启纪录 /var/run/utmp 有关当前登录用户的信息记录 /var/log/lastlog 文件记录用户最后登录的信息,可用 lastlog 命令来查看。 /var/log/secure 记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp 等都会被记录。 (编辑:鞍山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
