热门课程

免费试听

上课方式

开班时间

当前位置: 首页 -   文章 -   新闻动态 -   正文

网站闪退,安全运维工程师是怎么做的?

知了堂姐
2024-07-09 11:12:24
0
我们常说,细节决定成败。在现今企事业单位的安全运维过程中,也不乏这样的实例。如某用户的网络管理员反映互联网上的门户网站不时出现闪断现象,即使是在非业务繁忙时段,也会出现这种现象,但由于一、两分钟后就会自行恢复,他认为有可能是运营商链路的切换所至,并没有在意。
通过分析客户闪断时间段前后的网站服务器日志、防火墙日志,发现闪断前的流量较大,更可疑的是大量的数据包是由网站服务器主动向外网地址20、21端口(多用于FTP)发送的,而不是网站访问流量。经该用户确认,门户网站的业务主要是信息发布,不存在为用户提供下载等需要对外发送数据的业务。根据经验,可以怀疑这台网站服务器已经遭到了入侵。通过分析发现这些数据包主要发送到两个可疑地址,定位地址后,于是在日志中开始捕捉这两个地址的行为,希望能有所收获。果然,在大约一个半月前的网站日志中,发现其中一个183.129.155.XX的地址对网站进行了大量的攻击探测行为(包括SQL注入探测、文件上传等)。并发现攻击者上传了一个oy.asp.txt的变异木马,通过日志验证该上传行为返回200,并在网站应用目录里找到了对应的木马。接下来通过安全检测发现该网站应用层存在严重的安全漏洞,包括SQL注入、XSS跨站、敏感信息的泄露,并能上传shell脚本,黑客绕过传统的防御设备针对应用漏洞进行攻击,通过提权拿到网站服务器的权限,再利用内网嗅探,拿到其它服务器权限并收集自己感兴趣的数据,再通过网站服务器发送给自己。
至此,已经大致确定了攻击行为的时间点、源地址、攻击的途径和手段,进行了必要的取证,并通过对木马的清除、漏洞的修复和复测,暂时解决了问题,但大量的数据外泄已经为客户带来了巨大的损失。回想起整件事,发现安全问题只是源于定位网站系统的闪断现象,这是很多管理员在安全运维过程中经常遇到也会经常忽略的问题,然而就是这样一个细节,背后隐藏着大问题。同时,这件事中的几个细节,也值得我们反思:
如果黑客经验更丰富,对IP地址进行伪装,对自己的操作日志进行修改和删除,将给我们后期的分析和取证带来极大的难度。
如果管理员没有在网站服务器开启必要的审计策略,记录相关的日志,如果我们没有对闪断情况提出质疑,我们可能至今还不知道发生过什么。
安全运维过程中存在各式各样的安全问题,任何一个细节,往往决定着结果。然而对客户而言,多数企业由于受到人员编制、资金投入、技术能力等条件的限制,无法保障在安全运维工作方面的资源投入,这给企业信息安全保障体系的运行造成了负面影响。
抓住细节,把握细节
为了帮助客户解决安全运维方面遇到的问题,天融信安全云服务中心(前“天融信安全运维中心”)经过十年的探索与发展,总结了一套面向不同行业的安全运维服务体系。
事前
通过规范运维体系,制定运维相关的安全制度、安全规范,从“人”的角度提出管理办法。
通过安全风险评估,渗透测试,主动发现信息系统中存在的安全隐患,包括网络区域划分、主机系统、应用、数据库等,及时对漏洞进行修复并提供修复后的复测,确保安全风险得到有效控制。
开启必要的日志审计策略,并对日志进行转存及备份,确保出现安全事件后有据可循。
事中
通过7*24小时不间断的安全审计,建立业务系统与安全设备之间的关联分析,及时发现潜在的安全威胁,出现违规操作实时告警,通过人工验证保证预警的准确性,并提供解决建议,协助用户阻断攻击行为。
事后
发生安全问题后,配合客户进行响应与处置,包括安全事件的定位、取证,追溯并解决问题,修复漏洞后进行验证,并更新必要的安全策略。
大家都在看

前端开发需要学什么?前端主要学什么?

2024-07-09 浏览次数:0

软件测试培训机构哪家好?软件测试培训班怎么选

2024-07-09 浏览次数:0

学前端去哪个培训机构?成都前端培训机构怎么选?

2024-07-09 浏览次数:0

成都学网络安全培训班的学费要多少钱?

2024-07-09 浏览次数:0

知了汇智“AIGC&GPT师资培训”报名启动!

2024-07-09 浏览次数:0

大厂必问的10个Java经典面试题,不能错过!

2024-07-09 浏览次数:0
最新资讯
网站闪退,安全运维工程师是怎么... 通过分析客户闪断时间段前后的网站服务器日志、防火墙日志,发现闪断前的流量较大,更可疑的是大量的数据包...