当前位置:   article > 正文

《网络安全应急响应技术实战指南》知识点总结(第7章 网页篡改网络安全应急响应)_网络安全类型 网页篡改

网络安全类型 网页篡改

一、网页篡改概述

网页篡改,即攻击者故意篡改网页上传的报文,通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行。

1、网页篡改事件分类

明显式(炫耀自己的技术技巧)和隐藏式(植入诈骗等非法信息链接,再通过灰色、黑色产业链牟取非法利益)

网页篡改方法分为文件操作类(攻击者用自己的web网页文件在没有授权的情况下替换web服务器上的网页,或在web服务器上创建未授权的网页)和内容修改类(对web服务器上网页的内容增删改等非授权操作)

2、网页篡改原因

1)攻击者获取经济利益

2)攻击者展现能力,损坏他人形象

3)通过网页篡改,实现后续其他攻击
如网页挂马、水坑攻击、网络钓鱼。

3、网页篡改攻击手法

主要攻击手法:利用网站漏洞实现对网站主机的控制并篡改网页。

4、网页篡改检测技术

1)外挂轮询技术

2)核心内嵌技术

3)事件触发技术

5、网页篡改防御方法

1)将服务器安全补丁升级到最新版

2)封闭未使用但已经开放的网络服务端口及未使用的服务

3)使用复杂的管理员密码

4)网站程序应设计合理并注意安全代码的编写
在书写代码时,要注意对输入的串进行约束,过滤可能产生攻击的字符串,特殊权限页面要添加身份验证代码。

5)设置合适的网站权限
网站目录文件权限的设置原则:仅分配只写权限的目录文件,其他均为只读权限。

6)防止ARP欺骗的发生
安装arp防火墙,并手动绑定网关mac地址等。

6、网页篡改管理制度

1)网站数据备份

2)安全管理制度

3)应急响应处置措施

二、常规处置方法

1、隔离被感染的服务器/主机

主要的隔离方法:
1)物理隔离:断网或断电,关闭服务器/主机的无线网络,蓝牙连接,禁用网卡,并拔掉服务器/主机上的所有外部存储设备等。

2)对访问网络资源的权限进行严格的认证和控制。常见方法:加策略和修改登录密码

2、排查业务系统

对局域网内的其他机器进行排查,检查核心业务是否受到影响,生产线是否受到影响,并检查备份系统是否植入后门。

3、确定漏洞源头、溯源分析

确定源头:在服务器文件中全盘搜索恶意关键字,如威尼斯、澳门等。

溯源分析:查看服务器/主机中保留的日志信息和样本信息。

4、恢复数据和业务

1)使用专业的木马查杀工具进行全盘查杀

2)有备份文件就直接还原,没有的话将被篡改前后的文件一并进行检查,确认是否有黑链。

5、后续防护建议

1)对网站进行定期的渗透测试

2)使用网站监测工具进行7*24小时监测

三、错误处置方法

确定网页被篡改后,只用备份文件恢复,没有做进一步排查。可能会导致又一次被入侵。

四、常用工具

1、日志分析工具

2、网站监控工具

五、技术操作指南

1、初步预判

1)业务系统某部分网页出现异常字词

2)网站出现异常图片、标语等。

2、系统排查

网页被篡改是需要相应权限才能执行的,而获取权限主要有三种方法:
1)通过非法途径购买已经泄露的相应权限的服务器账号
2)使用恶意程序进行暴力破坏
3)入侵网站服务器

系统排查如下:

1)异常端口、进程排查
(1)检查端口连接情况,判断是否有远程连接、可疑连接。
(2)查看可疑的进程及其子进程。重点关注没有签名验证信息的进程,没有描述信息的进程,进程的属主、路径是否合法,以及cpu或内存资源长期占用过高的进程。

2)可疑文件排查
多数的网页篡改是利用漏洞上传webshell文件获取权限的,因此可用D盾进行扫描。

3)可疑账号排查
查看服务器是否有弱密码;查看是否存在新增、隐藏账号

4)确认篡改时间

3、日志排查

1)系统日志
Windows系统
(1)系统:查看是否有异常操作
(2)安全:查看各种类型的登录日志、对象访问日志
(3)应用:如哪个应用程序出现崩溃情况

2)web日志
通过web日志可以清楚的知道用户的IP地址、何时使用的操作系统、使用什么浏览器访问了网站的哪个页面、是否访问成功等。
Windows系统
(1)查找IIS日志,常见的IIS日志放在目录“C:\inetub\logs\LogFiles”下
(2)查找与文件篡改时间相关的日志,查看是否存在异常文件访问
(3)若存在异常文件访问,确认是正常文件还是后门文件

3、数据库日志

4、网络流量排查

通过流量监控系统,筛选出问题时间线内所有该主机的访问记录,提取IP地址。

5、清除加固

1)对被篡改网页进行下线处理
2)被篡改的内容少,手动进行修改恢复;较多的话建议使用网站定期备份的数据进行恢复
3)对网站进行每日异地备份
4)备份和删除全部发现的后门,完成止损
5)通过在access.log中搜索可以ip地址的操作记录,可判断入侵方法,修复漏洞。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/一键难忘520/article/detail/969317
推荐阅读
相关标签
  

闽ICP备14008679号