宁波市某公司的网络商城,10月7日上午 10:36时发现主页被修改,客户订单数据丢失的情况。鉴于安全和保密的考虑,病毒代码和入侵脚本名称都已更改,更详细的内容我们在这里不便公布。
�P�K�O$y1p�D�y0
�c�@*M;a�z�V)U�Y%Q0
13:28,管理员通过MSN联系到我,经询问得知:网站已经从9月30号的备份中恢复,但10月1日至10月6日长假期间的客户订单数据全部丢失。 由于IDS为发现任何异常,我们花了5天的时间尝试了各种方法,才恢复了10月1日至10月6日的系统日志和部分客户订单。
IXPUB技术博客
l9@�K�Q![
IXPUB技术博客�W�^7M,c:a
从日志分析中我们发现,原来黑客的入侵行为早在9月22日就开始了,黑客利用某个病毒的后门程序,将一个名字为“ok.asp”的脚本上传到一个很深的目录中,只是当时没有进行攻击。10月7日上午发生的修改主页事件只是黑客入侵后的破坏实施而已。
IXPUB技术博客�K1o�M�e"x;u
IXPUB技术博客%l5M'x#N([�c�H
网络安全中最容易出现的“亡羊补牢”故事正发生在这家网站身上。以上述事件为例,客户订单是“羊”,我们的数据备份和其他安全措施是“补牢的方法”,但羊都已经死了,我们再如何如何的进行弥补,羊也不会活了。那么,这个入侵事件时如何发生的呢?
IXPUB技术博客3Z;A)M&?�s2G*^�b
&p1h�H
L&e8V0
【知识链接:安全事件的类型】
IXPUB技术博客0v#m0n�f W�C�Z
;B�|5d"W q0?0
网络安全专家们一直想拥有一套安全管理工具应对所有的安全事件,但至今为止是无法实现的。这是因为安全事件发生的方式多种多样,所以想要制定一个具体的综合流程来处理每一个安全事件是不切实际的。下面是几种常见的安全事件:
IXPUB技术博客�d0@ _�\+c�e�Z�{
$f/M�e8b
K�T0
·拒绝服务攻击:一种攻击,通过消耗资源的方式来阻止和破坏对网络、系统或应用经过授权的使用。
IXPUB技术博客�S'z
V)Y�X�j�z4W"[1P
�j3H�|�e�s4x�b$c!t0
·恶意代码:能够感染主机的病毒、蠕虫、特洛伊木马或其它基于代码的恶意实体。
3f!t4L�x;L
^0
�y�M�R.x�U-v0
·未经授权访问:一个人在未经允许的情况下通过逻辑的或物理的方式访问网络、系统、应用、数据或、其它资源。
IXPUB技术博客�{�@5w0i$Q7l z�_�z
�m4t�}�I"Q�T.~)l�B
e0
·使用不当:用户违反可接受计算资源使用政策。
*W,Z�t�\.|�g+k0
#p
?�{!M'I�t�W�F1c�h0
最后一个是复合型安全事件。有些安全事件可以对应以上多个分类,一个单一安全事件中包含两种或是两种以上的入侵和破坏行为,上述案例正是一个复合型安全事件。
IXPUB技术博客�X5h�~�Y a�x%n0D
事件调查与分析
IXPUB技术博客�k/b'Q8C&r*^)g!E2p�H
�T4f�f�_1s�s(G�@3r0
被篡改网页的网站由多个管理员负责,其中一个的网管员疏忽,最终导致了数据的丢失。
-J�F�W�]:Y�z�n0
�r*J)N9@'g4s�{
E�U�O0
·事件调查
IXPUB技术博客�}�x�t
r�b t�K.q6P v
IXPUB技术博客)^,@�E'@�t$h
这个管理员在服务器上调试程序故障,但遇到了一些问题。为了尽快地解决故障,管理员开启了防火墙中服务器网段可以主动访问外网的权限。他在一个不知名的网站上发现了和故障相关的信息,非常庆幸的利用Google找到答案的同时,他点击了这个网页,但意想不到的事情发生了:这个网页中嵌入了木马病毒,导致服务器被感染。
IXPUB技术博客:c
\
I�X;K9a+d�j(r/x
�H�g*d�Y�A�F�a%B x0
由于之前防火墙为开启DMZ区向外主动访问的权限,防毒软件报警,但无法清除和隔离病毒文件,管理员迅速升级防病毒程序,病毒库升级完成,病毒被隔离。
�v"|3C)k:g�w0
IXPUB技术博客,G�s5W�F�W(O
·事件分析
�q)y/[7v;D;@0
IXPUB技术博客6i�|+@6J:r"o
在这位网络管理员操作之前,公司的服务器是安全的。因为禁止了服务器主动向外部网络发起链接。但他开启了这个权限之后,并利用服务器的IE访问外部网站是危险的,这是导致整个安全体系崩溃的开始。经过后来恢复的日志,我们发现那个ok.asp文件就是病毒未查杀之前被木马程序主动下载到服务器Web站点中的。通过杀毒软件隔离区的恢复,我们发现木马程序还包含了一个邮件发送程序段,服务器信息被木马发送到一个
xxxx@xxxxadad.com的邮件地址中。
�|�\,T
y5K%V'w�w0
安全建议
�K�Q�R:f�P�C3d0
IXPUB技术博客 {�v)})a,Y'K7q
在对客户数据充分恢复的前提下,我建议这家公司网络部门采用如下策略:
IXPUB技术博客
k�J�V�F V
IXPUB技术博客.E!\�h�s9t+L*}
1. 加强公司管理员网络安全方面的培训,如:感染病毒后应切断网络连接。
~5@#J"?�b0
IXPUB技术博客�B�e�j Y�J�{
2. 重新制定公司网络管理方法,进入机房和远程管理服务器时都应登记并获得主管批准。
�D;\�x�J*x�m+u)_0
�w5b�{)A9k:F�G0
3. 加强密码管理,如:防火墙密码、服务器密码应有专人负责,并将保存密码的文档也设置访问权限。
�Y l"_#f;s�c3f�k0
j)O�Q)B!A+E�L�a�p&?0
4. 建立DMZ服务器区防毒体系,可以手工下载病毒库更新服务器或者建立专用防毒服务器,允许Web服务器与防毒服务器通信,随时保持更新。
�H�A�l�H'S�O3z8O0
IXPUB技术博客�v�e:W0j/o'v$i
5. 修改备份系统策略,将每周备份调整成每日备份,备份时间可选择凌晨2:00~3:00。
$r�w�k-b�C0
2z8e�D�a-o�c/G�|#H�t0
6. 不要过分依赖IDS,应建立服务器日志报警机制。
IXPUB技术博客�q&R'E%f(W([6~
�J�b:x�F�A�T�o�A0
7. 病毒感染和系统文件日志都应转移至其他服务器,以免被黑客删除。
m2l�Z
w�P0
关于病毒的反思
�l�{%G#h"o G8H0
IXPUB技术博客+j
Q*^:o�b�Z.L H+^
企业利用网络环境的各种应用使得整个企业业务获得更大的效能,如这个案例中的在线订购系统。而在另一方面,来自网络的各种恶意行为也在威胁这些应用服务的运行。至今为止,计算机病毒仍旧是引起安全问题的罪魁祸首。网络环境日新月异,我们发现计算机所面临的安全威胁也已经发生了翻天覆地的变化。大家都有一个公认的事实,造成最大经济损失的外部安全威胁并不是传统的计算机病毒,而是以盗用计算机资源进行非法活动和以窃取企业信息为目的的间谍软件等恶意软件。
IXPUB技术博客�V�g�[�i,?�N
�t.S�c
Q�F+k;v�u#g,^0
现在的病毒在行为方式和作用条件上正在体现出高度混合化的特征。大量的病毒会尝试从多种渠道突破安全防御,并且对目标系统产生多种破坏作用。更有甚者,一些病毒会根据收集的系统环境信息,自主的决定如何操作目标系统、确定防毒系统的版本信息及漏洞,停止防毒系统的运行。
�n�F
u�k�z5u�?!x�g0
8Q0s�Y�{�_�p�w/y8{�t0
混合威胁是新型的安全攻击,主要表现为一种病毒与黑客程序相结合的新型蠕虫病毒,借助通过多种途径和技术潜入企业的网络。网管员在防毒意识上需要做到“防毒先堵漏洞”、“防毒更要防黑”的观念。只有对企业系统内的漏洞、易攻击点逐一消除、加固,才能切断病毒来源;只有保证每一次对服务器的日常维护都科学合理,此能抵御黑客程序的攻击,才能让病毒无可乘之机。
