突發(fā)事件響應(yīng)計(jì)劃有效地保護(hù)網(wǎng)頁(yè)

一個(gè)簡(jiǎn)單的網(wǎng)頁(yè)毀損會(huì)顯示出一個(gè)詳盡的突發(fā)事件響應(yīng)計(jì)劃多么的有價(jià)值！ 被黑掉的經(jīng)驗(yàn)類似于得到了一個(gè)少的可憐的收入，至少，這是最近我從自己的一個(gè)網(wǎng)頁(yè)被人涂改破壞后學(xué)習(xí)到的感受。

果真，我們的調(diào)查發(fā)現(xiàn)被毀損的服務(wù)器上運(yùn)行著一個(gè)沒有打補(bǔ)丁的PHP論壇程序，黑客使用PHP exploit留下了一條短的、友好的信息標(biāo)明他曾經(jīng)占領(lǐng)過這個(gè)領(lǐng)地。雖然這是一個(gè)相對(duì)較小的事件，但它強(qiáng)調(diào)了有一個(gè)有準(zhǔn)備的、明智的突發(fā)事件響應(yīng)計(jì)劃是多么的重要。

有個(gè)諺語(yǔ)說的很對(duì)：不到危急時(shí)刻，沒有人會(huì)看到一項(xiàng)策略的價(jià)值。 信息響應(yīng)（IR）計(jì)劃給出了我們的立即響應(yīng)、調(diào)查分析和恢復(fù)的過程，它們就像在我們手中互相交叉的三環(huán)，為了保證其成功，我們必須做到以下幾個(gè)方面： 服務(wù)器隔離 這是一臺(tái)相當(dāng)重要的服務(wù)器，因此我們必須保證其安裝性，并將其從網(wǎng)絡(luò)中隔離。

我們?cè)诜?wù)器和外部網(wǎng)絡(luò)之間通過防火墻規(guī)則來攔截攻擊行為，然后我們就可以關(guān)閉響應(yīng)的交換機(jī)端口，將服務(wù)器隔離。一旦隔離完成，我們就可以暫停記錄發(fā)現(xiàn)的時(shí)間，這將發(fā)現(xiàn)黑客以及黑客所進(jìn)行的行為，這也是為法庭分析和可能的訴訟行為提供證據(jù)的重要步驟。

黑客跟蹤

黑客沒有刪除日志，因此我們花很短的時(shí)間就發(fā)現(xiàn)黑客多次使用一個(gè)固定的腳本嘗試攻擊PHP。我們真正想知道的是黑客是否得到了root用戶的權(quán)限，或者他使用此服務(wù)器作為墊腳石對(duì)其它系統(tǒng)進(jìn)行攻擊。

對(duì)重要文件的CRC校驗(yàn)告訴我們，它們并沒有被更改和損壞，在內(nèi)存中也沒有可疑的進(jìn)程運(yùn)行。我們檢查了論壇程序供應(yīng)商的站點(diǎn)，的確，在攻擊發(fā)生前的一周，供應(yīng)商已經(jīng)發(fā)表了有關(guān)此漏洞的聲明，并且已經(jīng)推出了補(bǔ)丁程序。這就沒有問題了――一個(gè)星期的時(shí)間對(duì)黑客來說已經(jīng)足夠了。

我們震驚于在我們的IDS日志中沒有發(fā)現(xiàn)PHP攻擊的證據(jù)，我們的IDS供應(yīng)商告訴我們，在下一次計(jì)劃中的簽名更新之前，簽名將有大約兩星期的使用時(shí)間。也就使說，在漏洞和攻擊被發(fā)現(xiàn)，和IDS簽名變得可用之前，有三個(gè)星期的缺口。

響應(yīng)和恢復(fù)我們的突發(fā)事件響應(yīng)策略是，不管事件的嚴(yán)重性如何（不留下冒險(xiǎn)的機(jī)會(huì)），任何被破壞的機(jī)器都要重新再建。系統(tǒng)根據(jù)一般可接受的指南進(jìn)行安全方面的設(shè)置和鞏固，我們還通過漏洞掃描器掃描機(jī)器的弱點(diǎn)以檢查我們的工作。

當(dāng)然，我們還通過攻擊軟件檢測(cè)相似的機(jī)器。 總結(jié)教訓(xùn) 我們從此次事件中總結(jié)出了經(jīng)驗(yàn)教訓(xùn)：確信你的系統(tǒng)管理員跟上了最新的補(bǔ)丁（每個(gè)月一次是不夠的），并且經(jīng)常查看日志（一周一次也遠(yuǎn)遠(yuǎn)不夠）。

安全管理員必須知道各臺(tái)機(jī)器都安裝了什么軟件，以便他們能夠提防相關(guān)的漏洞和弱點(diǎn)。不要依靠任何唯一的IDS供應(yīng)商，因?yàn)楹灻麑?duì)第一防御范圍來說可能到達(dá)的太晚?？紤]在面向公眾的服務(wù)器上實(shí)施Tripwire（一個(gè)入侵檢測(cè)系統(tǒng)），監(jiān)視重要文件屬性的改變。

突發(fā)事件響應(yīng)策略的實(shí)時(shí)性要在最后關(guān)頭保持住，以適應(yīng)當(dāng)前系統(tǒng)的要求。讓大家知道在緊急狀態(tài)下應(yīng)該做什么，這樣才能保證補(bǔ)救措施的順利實(shí)行。

【編輯推薦】

1. 初級(jí)黑客的兩個(gè)技術(shù)分析
2. 危險(xiǎn)：提防正在攻擊的黑客
3. 新浪“微博蠕蟲”系黑客惡作劇
4. 你應(yīng)知道的十二個(gè)名揚(yáng)的白帽黑客
5. 黑客快速入侵你的電腦，神不知鬼不覺
6. 蘋果公司服務(wù)器遭攻擊 黑客宣傳“純屬為了娛樂”