安全事件應(yīng)急響應(yīng)

及分析目錄1)安全事件響應(yīng)概述及流程介紹2)網(wǎng)站篡改事件響應(yīng)與分析3)數(shù)據(jù)泄露事件響應(yīng)與分析4)日志安全分析實戰(zhàn)（上機實驗）5)數(shù)據(jù)恢復實戰(zhàn)（上機實驗）1）安全事件響應(yīng)概述

及流程介紹什么是突發(fā)事件中斷正常運作的程序并使系統(tǒng)突然陷入某種級別危機的事件。計算機入侵，拒絕服務(wù)攻擊，信息泄露等。什么是應(yīng)急響應(yīng)信息安全應(yīng)急響應(yīng)是對危機信息安全的事件做出及時、準確的響應(yīng)處理，綜合利用檢測、抑制、根除、恢復等手段，杜絕危害的進一步蔓延擴大，保證系統(tǒng)能夠提供正常服務(wù)。應(yīng)急響應(yīng)概述漏洞發(fā)布到攻擊出現(xiàn)的時間越來越短Witty蠕蟲事件、MS08-067花樣翻新，防不勝防尼姆達蠕蟲：通過email、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播變種速度令人驚嘆黑客：從單打獨斗到“精誠”合作Botnet攻擊程序日益自動化、并唾手可得為什么需要應(yīng)急響應(yīng)確認與排除突發(fā)事件是否發(fā)生收集與突發(fā)事件有關(guān)的信息提供有價值的報告和建議使損失最小化支持民事或刑事訴訟保護由法律或者正常規(guī)定的隱私權(quán)應(yīng)急響應(yīng)的目的第一階段：準備——讓我們嚴陣以待第二階段：確認——對情況綜合判斷第三階段：封鎖——制止事態(tài)的擴大第四階段：根除——徹底的補救措施第五階段：恢復——備份，頂上去！第六階段：跟蹤——還會有第二次嗎應(yīng)急響應(yīng)的一般階段HandlingtheIncident恢復Recovery根除Eradication發(fā)現(xiàn)Identification預防Preparation控制Containment跟蹤FollowupAnalysisIncidentResponseLifeCycle預防為主幫助服務(wù)對象建立安全政策幫助服務(wù)對象按照安全政策配置安全設(shè)備和軟件掃描，風險分析，打補丁如有條件且得到許可，建立監(jiān)控設(shè)施第一階段——準備建立事件報告的機制和要求建立事件報告流程和規(guī)范IntranetPhoneEmailWho?What?When?Where?How?ReportingMechanisms確定事件的責任人指定一個責任人全權(quán)處理此事件給予必要的資源確定事件的性質(zhì)誤會？玩笑？還是惡意的攻擊/入侵？影響的嚴重程度預計采用什么樣的專用資源來修復？第二階段——確認即時采取的行動防止進一步的損失，確定后果確定適當?shù)姆怄i方法咨詢安全策略確定進一步操作的風險損失最小化可列出若干選項，講明各自的風險，由服務(wù)對象選擇第三階段——封鎖長期的補救措施確定原因，定義征兆分析漏洞加強防范修復隱患修改安全策略第四階段——根除被攻擊的系統(tǒng)由備份來恢復作一個新的備份把所有安全上的變更作備份服務(wù)重新上線持續(xù)監(jiān)控第五階段——恢復關(guān)注系統(tǒng)恢復以后的安全狀況，特別是曾經(jīng)出問題的地方建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果追蹤來源，建立基線庫調(diào)查取證第六階段——跟蹤外部原因攻擊類型拒絕服務(wù)：SYN-flood、UDP-flood、ccDNS欺騙：DNSpoisonARP欺騙：arp病毒問題分析抓包分析：wireshark簡單命令：nslookup、arp解決辦法封攻擊者IP原因追查內(nèi)部原因攻擊類型系統(tǒng)被入侵，入侵者已獲取部分權(quán)限或已完全控制系統(tǒng)。問題分析系統(tǒng)或應(yīng)用程序存在漏洞解決辦法恢復系統(tǒng)查找原因清除后門修補漏洞原因追查2）網(wǎng)絡(luò)流量異常事件

響應(yīng)與分析網(wǎng)絡(luò)流量異常事件網(wǎng)絡(luò)流量異常針對協(xié)議的攻擊針對帶寬的流量攻擊其他拒絕服務(wù)攻擊響應(yīng)策略查看關(guān)鍵網(wǎng)絡(luò)設(shè)備，對網(wǎng)絡(luò)流量做端口鏡像查看IDS等安全設(shè)備的事件記錄對流量鏡像進行人工分析，判斷異常數(shù)據(jù)包通過網(wǎng)絡(luò)協(xié)議分析設(shè)備進行流量分析修改安全設(shè)備防護策略，對可疑流量包做丟棄處理對針對協(xié)議的攻擊限制其使用帶寬。。。193）網(wǎng)站篡改事件響應(yīng)與分析網(wǎng)站頁面覆篡改案例21篡改事件犯處置流程安全事芹件發(fā)生停止網(wǎng)站院服務(wù)上報相關(guān)趕領(lǐng)導日志分析可疑文絨件及可疑用娛戶分析漏洞掃描呼與安全測桌試安全整策改上線前屑測試22篡改事件騙分析過程日志分夠析（系統(tǒng)量日志、遼中間件廳日志、妻應(yīng)用系頑統(tǒng)日志…）可疑文件丟分析、清撕除（木馬文慚件、后門么程序、攻滔擊測試文毛件…）可疑用戶菌清除（操作傷系統(tǒng)用厘戶、應(yīng)起用系統(tǒng)盾用戶…）安全事件騰整體分析（攻擊來抖源、造成栽危害、攻倘擊途徑…）23審核日志泄：系統(tǒng)日宇志應(yīng)用日志安全性坦日志W(wǎng)eb日志FTP日志數(shù)據(jù)庫希日志查看攻擊則者遺留痕劣跡分析入侵挪原因并彌汽補漏洞日志審籮核分析網(wǎng)瘦站系統(tǒng)貿(mào)日志，衡一般IIS日志和Apa蘋che日志等均塌有web訪問詳細壯記錄，若吐日志在系驢統(tǒng)中已被洲刪除，應(yīng)于通過日志屯服務(wù)器或拌者日志審狼計系統(tǒng)查猛看日志。牛日志分析坡有以下方豆式：分析安全都事件發(fā)生啊時間段內(nèi)爛的日志信草息，查看諸是否有異盲常訪問（滋如網(wǎng)站掃大描日志、稿上傳頁面吊日志、管塊理員登陸全頁面訪問鞠日志等）以遭篡逢改或者鉤掛暗鏈頌的頁面堤名稱為愈關(guān)鍵字汁，搜索甘日志內(nèi)棄容，判診斷是否翁存在管駱理員IP之外的訪觸問地址。概若存在，舞則應(yīng)以此恢地址為關(guān)屈鍵字做進婦一步分析圓，判斷攻攀擊者的攻搭擊方式和變路徑。若網(wǎng)站彩已被上跨傳木馬五，則查莊看日志剃中對該蒜木馬的冊訪問記無錄，進匪而根據(jù)技此木馬輩來源IP地址為童關(guān)鍵字將做進一擺步分析贏。25WEB日志IIS日志在%sys禮temr萌oot%柴\sys案tem3糕2\lo剖gfil喝es下相應(yīng)棕子目錄粉中日志分遵析WEB日志格距式日期和揪時間默認采綿用格林局威治時胳間，比另北京時推間晚8小時客戶端策地址服務(wù)器顧地址服務(wù)器膠端口方法（GET、POS掩T、PUT、DELE咱TE等）URI資源協(xié)議狀態(tài)請求成功欲，200-晚299臨時資恢源，300開-30建7請求錯典誤，400拆-49商9服務(wù)器趨端內(nèi)部云錯誤，500-俘599日志分析WEB日志(SQL注入示例)200希9-1蕩0-1戶31卡5:1襲6:4鹽21北0.1鳥0.1浙0.2冒27愈GET高/l轉(zhuǎn)ist狹.as耕pi歐d=1兄9%2填0an展d%2威0us霉er>朗0|1桂3|8費004窮0e0收7|[豆Mic肢ros得oft思][O湊DBC在_SQ騙L_S設(shè)erv神er_冒Dri椅ver買][S帳QL_歐Ser圈ver示]將_nv陜arc材har饒_值_'a洗rti竿cle傅_us贈er'胸_轉(zhuǎn)換為鑒數(shù)據(jù)類愁型為_in曠t_的列時產(chǎn)發(fā)生語滿法錯誤喝。80剩-1累0.1潑0.1書0.3姥4M通ozi形lla譯/4.冶0+日志分析WEB日志(路徑掃趁描示例)200穗9-1位0-1懲31垃5:2日0:4葵41敘0.1漏0.1引0.2濁27辨GET慚/a濟dmi勻n_m在ain藥.as前p-燃80兼-沾10.宿10.護10.霜34芒Moz童ill撞a/4弦.0遇404疲0儉22009佳-10-敵131粉5:20憑:44歐10.1釀0.10貧.227像GET疤/ad革mint絹ab.a菜sp-賴80隱-10芽.10.泊10.3瘦4Mo撤zill拿a/4.沿040蹤蝶40楚2200垮9-1菊0-1玻31勇5:2偏0:4浮41達0.1堡0.1預0.2田27某GET塞/c蘿oun星t.a兄sp明-8岸0-周10朱.10撥.10捏.34秋Mo塌zil引la/界4.0抄40瘡40傘22009避-10-啞131積5:20咱:44廳10.1蹄0.10味.227隸GET手/ro襯ot.a例sp-燙80豪-10惜.10.器10.3戶4Mo繁zill教a/4.修040響40恢2200顛9-1面0-1違31紛5:2讀0:4跑41議0.1狗0.1紐奉0.2遷27閣GET兩/h支tdo電cs.春asp粘-烘80潑-1存0.1濾0.1揭0.3傷4M末ozi矛lla啊/4.騙04姜04女022009菊-10-配131跪5:20蒸:44餅10.1孟0.10款.227游GET算/lo設(shè)gin/任logi壯n.as斗p-戒80-盤10.色10.1下0.34輔Moz還illa頃/4.0聽404休03200吊9-1惑0-1牲31哀5:2繳0:4爛41畢0.1張0.1碑0.2柜27廁GET宣/d爽vbb寇s/p轎ost爽_up嗓loa請d.a則sp瘡-8爬0-始10宏.10洋.10尤.34辣Mo半zil委la/暈4.0積40仙40赤3200舞9-1昂0-1幼31洪5:2能0:4扣41載0.1唱0.1蝕0.2眨27安GET耳/d捕el.弱asp坡-千80肯-1彎0.1糠0.1毀0.3駛4M患ozi馬lla搶/4.竿04霧04羅02200墻9-1醫(yī)0-1李31閉5:2獻0:4衡41扎0.1站0.1僅0.2招27蠶GET飽/o保k_p足ass葡.as屋p-崗80副-膝10.抬10.旬10.泊34捐Moz揀ill氧a/4傘.0密404淺0若2200靜9-1界0-1六31盈5:2導0:4勞41坐0.1亦0.1鬧0.2蒜27坦GET么/u殺ser嬌/lo霉gou舍t(yī).a恢sp濁-8妹0-軍10枯.10謹.10爺.34道Mo拐zil灶la/室4.0羅40槐40挽32009芹-10-浙131突5:20盯:44碑10.1零0.10燙.227叔GET大/up團date性.asp說-8晌0-粥10.1保0.10屈.34進Mozi恰lla/句4.0逗404檔022009印-10-比131節(jié)5:20盈:44吐10.1譯0.10偵.227訂GET依/ad乓mind惑el.a橋sp-再80嶺-10顆.10.荷10.3再4Mo輛zill孝a/4.據(jù)040柄40本2200鐘9-1現(xiàn)0-1戴31琴5:2守0:4領(lǐng)41凝0.1墳0.1知0.2盟27猛GET強/a碼dmi崇n_d司ele紫te.夜asp緩-醒80瞧-1像0.1友0.1翠0.3甜4M瓜ozi爪lla潮/4.密04杠04觸0日志分析可疑賬號使用net回user查看可疑賬緩戶分析較低級后部門：添加燙系統(tǒng)帳號斃；添加其拾他服務(wù)帳俱號（FTP，數(shù)據(jù)庫猛）；二進制后底門：反向基連接型普越通后門；氏動態(tài)鏈接嗚庫后門；配置型后繡門：隱藏私賬號和克算隆帳號網(wǎng)頁型后婦門：webs胳hell可疑文件炒分析隱藏賬號形如hack屑$的隱藏壟賬號，霉不能使驕用net胸us廈er查看賬戶后欠門可疑進溪程二進制崗后門可疑端口授和服務(wù)二進制后肢門啟動項HKEY起_LOC高AL_M毒ACHI推NE\S符OFTW籍ARE\衣Micr旨osof皆t\Wi符ndow獎s\Cu逢rren的tVer旺sion截\RunHKE岔Y_L糾OCA且L_M艷ACH切INE撲\SO某FTW浙ARE愚\Mi賭cro繡sof搞t\W鈔ind辱ows精\Cu享rre好ntV是ers駁ion籃\Ru蝴nOn室ceHKEY發(fā)_LOC胳AL_M鳥ACHI系NE\S陣OFTW成ARE\矛Micr皺osof貿(mào)t\Wi準ndow茂s\Cu區(qū)rren竄tVer掙sion碎\Run挽Once散ExHKEY每_LOC朵AL_M車ACHI參NE\S幸OFTW冶ARE\姑Micr像osof蛋t\Wi闖ndow魚s\Cu醉rren展tVer知sion蓋\Pol筆icie騰es\R帖un回收站根目錄溜下隱藏膝的Recy洗cler目錄用戶刪網(wǎng)除的文碗件在以勒其自身SID為基礎(chǔ)壩命名的遺子目錄兵中臨時文移件夾C:\D槐ocum毫ents滋and綠Set唇ting死s\De齒faul衛(wèi)tUs驅(qū)er\L拌ocal透Set狡ting局s\te票mp計劃任貧務(wù)使用at命令查旨看文件后寫門曾經(jīng)存醒在的帳港戶HKE家Y_L懼OCA瓶L_M晚ACH寸INE臨\SO摘FTW材ARE變\Mi擦cro叔sof次t\W半ind機ows資NT取\Cu造rre嘗ntV穗ers畝ion槽\Pr朝ofi湯leL房誠ist曾經(jīng)安裝廢過的軟件HKE饞Y_L僻OCA森L_M戰(zhàn)ACH堪INE療\SO紗FTW摟ARE帝\Mi雄cro樸sof饅t\W所ind六ows教\Cu賺rre挪ntV稱ers購ion臣\Un就ins牲tal午l操作記錄紹分析4）數(shù)據(jù)律泄露事餐件響應(yīng)屯與分析信息泄超露安全螺事件38201詳1年北京市《7萬高考像生個人原信息網(wǎng)灘上被叫繁賣》，考生以到及家長電廉話、住址丸、姓名等培隱私信息哪被網(wǎng)上售致賣。市教階委工作人禁員表示，渾曾多次要耕求學校保辱護學生及啞家長的隱煙私，不排棍除是黑客竊窄取了考削生信息。數(shù)據(jù)泄買露事件霞分析過才程分析過程框，類似篡懲改事件日志分析可疑賬牢戶分析可疑文止件分析判斷攻擊敘者獲取數(shù)裹據(jù)的攻擊湖來源、嘗城試方法等還需要塘什么?漏洞檢體測39漏洞檢贈測11）弱漫口令檢替測網(wǎng)站系嫁統(tǒng)、操輩作系統(tǒng)套、數(shù)據(jù)腦庫系統(tǒng)茂是否存糕在弱口邀令或者狐可進行乞口令暴礦力破解2）網(wǎng)獨站系統(tǒng)墾漏洞檢嬌測網(wǎng)站系統(tǒng)寨是否存在SQL注入漏洞數(shù)據(jù)庫文塵件是否可明繞過驗證耀通過網(wǎng)站殺訪問獲取網(wǎng)站系統(tǒng)恭是否存在循命令執(zhí)行怖、任意文敢件遍歷、壇文件上傳妹等漏洞40漏洞檢艙測23）主煩機漏洞借檢測操作系障統(tǒng)是否陣存在嚴粒重漏洞主機是觀否與其城他系統(tǒng)澇有網(wǎng)絡(luò)蔑隔離，貼是否可洞通過網(wǎng)沉絡(luò)嗅探囑的方式窗獲得數(shù)勾據(jù)數(shù)據(jù)庫蟻系統(tǒng)是偽否存在攝嚴重漏傾洞數(shù)據(jù)庫系等統(tǒng)是否可尖由任意地祝址遠程連全接415）日志安膠全分析實銅戰(zhàn)上機實砍驗-日淡志安全晉分析實閑戰(zhàn)43實驗?zāi)繕耍毫私鈱W(wǎng)沒站攻擊安燒全事件進蛋行日志分州析的方法獲取攻擊翁者的攻擊炮路徑、利昂用方式、蛇上傳木馬兼等信息實驗環(huán)境：客戶端粒主機：Win岸dow泥sX較p服務(wù)端惠主機：wind儉ows鉤serv詢er2予003/左2008WEB中間件仆：IIS工具：無實驗步驟查看IIS屬性，打睜開IIS日志文慢件夾打開最捕近日期寺的IIS日志查找被攻裹擊頁面關(guān)岡鍵字找到對固應(yīng)來源IP分析該IP所訪問訪的地址繼頁面，腹判斷攻撕擊行為剃及路徑六、利用談方法、利上傳木懂馬等內(nèi)職容上機實不驗-日志安由全分析案實戰(zhàn)6）數(shù)據(jù)諸恢復實省戰(zhàn)數(shù)據(jù)恢復往技術(shù)及工胖具數(shù)據(jù)恢種復技術(shù)系統(tǒng)中收已刪除奸的數(shù)據(jù)戶并沒有胖真正的鞭“清除逼”，通達過數(shù)據(jù)負恢復工牲具仍能例夠找回廉數(shù)據(jù)或街者文件糊。數(shù)據(jù)恢復消工具Dat肺ar仇eco打ver語yWin六hex上機實驗仁-數(shù)據(jù)恢疫復實戰(zhàn)47實驗?zāi)扛顦耍毫私鈹?shù)據(jù)贈恢復方法實驗環(huán)移境：客戶端忠主機：Wind談ows牛Xp服務(wù)端螺主機：wind土ows痛serv樣er2椒003/釋2008工具：winh啄ex上機實驗箱-數(shù)據(jù)恢迷復實戰(zhàn)實驗步低驟1）查看IIS日志，發(fā)識現(xiàn)日志已佳被刪除2）通過數(shù)速據(jù)恢復工競具win滿hex查看已寇刪除文篇件3）查看忘已刪除積的日志很信息4）查看追上傳后釘已刪除茫的木馬解文件謝謝謝謝觀賞教育信格息安全鍛等級保趁護測評趟中心電話：010-呈6609背7376耍66膊0920珠43網(wǎng)址：htt撒p:/尼/ce任pin曬g.m悼oe.透edu技.cn郵箱：den蛛gba耳o@m寺oe.襲edu媽.cn9、靜夜至四無鄰爐，荒居灰舊業(yè)貧券。。4月-辮234月-所23Frid犧ay,魔Apri棚l28凍,20統(tǒng)2310、雨中巾黃葉樹著，燈下唉白頭人柴。。10:毅28:江1110:膏28:棒1110:咬284/2逼8/2側(cè)023宣10速:28炭:11蛙AM11、以我獨系沈久，愧結(jié)君相見頻娃。。4月-2糕310:享28:怪1110:2樓8Apr語-2328-拾Apr尾-2312、故人爬江海別寒，幾度盼隔山川俱。。10:藍28:瘦1110:車28:異1110:私28Frid噴ay,巷Apri著l28咽,20剛2313、乍見擴翻疑夢承，相悲枯各問年掏。。4月-2短34月-2瘦310:代28:挺1110:2稠8:11Apr今il弓28,恰20歲2314、他鄉(xiāng)視生白發(fā)蹲，舊國極見青山懷。。28淋四月囑202屬310:沫28:國11鴉上午10:2福8:114月-啄2315、比不谷了得就趟不比，撿得不到烈的就不托要。。。四月個2310:遺28派上午4月-2友310:童28Apr伐il終28,閱20按2316、行動出餡成果，工址作出財富駁。。2023獲/4/2恢810俯:28:繭1110:2害8:1128尤Apr貴il戲202密317、做前落，能夠亂環(huán)視四鈴周；做族時，你辛只能或貍者最好嘩沿著以省腳為起菠點的射光線向前誼。。10:2編8:11缸上午10:2央8上午10:垃28:太114月-施239、沒有失稼敗，只有運暫時停止知成功！。4月-2仁34月-部23Fri喇day毅,A綁pri惠l2說8,植202圾310、很多事沃情努力了蟲未必有結(jié)憐果，但是限不努力卻里什么改變份也沒有。獵。10:2父8:1110:瞧28:酒1110:顆284/28寸/202秤310虹:28:譯11A是M11、成功考就是日篇復一日厘那一點賴點小小勸努力的角積累。姑。4月-2悠310:2氣8:1210:2硬8Apr朽-2328-A機pr-2懸312、世間成旺事，不求送其絕對圓討滿，留一嶼份不足，浩可得無限持完美。。10:2怎8:1210:2傲8:1210:2介8Fri草day沈,A住pri刃l(wèi)2撿8,陽202霉313、不知香雅積寺，數(shù)辰里入云峰逮。。4月-2蠻34月-死2310:斥28:間1310:滋28:游13Apr外il桑28,安20蘿2314、意志堅搜強的人能輔把世界放騰在手中像董泥塊一樣璃任意揉捏段。28穴四月鄙202術(shù)310:鵲28:跑13攻上午10:濃28:岡134月-2刪315、楚塞虧三湘接棕，荊門保九派通掠。。。四月喂2310:2召8上午4月-2東310:全28Apr矩il篩28,秤20威2316、少年胳十五二哈十時，里步行奪愚得胡馬背騎。。202盯3/4陽/28寇10顆:28默:1310:粥28:正1328A夕pril郵202晝317、空山亂新雨后吸，天氣芝晚來秋