应急响应所有流程
应急响应步骤: 一、 重点 一切考虑业务稳定
黑名单IP 限速 人机识别验证码
先启用运维应急预案,保证业务稳定运行 系统稳定(网络、系统文件、启动项、库、内存) 经验是不可替代的 以事件关联思维思考安全事故 所有操作必须有记录和时间
-
部署安全系统 所有主机时钟同步 服务器监控系统 系统日志系统 NIPS WAF HIDS 蜜罐 主机加固 数据库审计 NTA流量可视化 代码密钥泄露扫描 堡垒机 漏洞预警平台 SIEM
-
收到入侵告警 安骑士 蜜罐 NIDS DNS日志外联域名 数据库审计系统大量拖库日志 服务器崩溃或重启 客服接到黑客信息 服务器响应速度太慢 非工作时间链接服务器 异常网络流量,比如ping或扫描操作; 一批服务器被远程外联 文件完整性报警 客户数据流失 服务器发现文件被加密
-
信息收集 4小时内处理完成 对业务有什么影响 被入侵项目名称 大体架构 报警信息 受害主机数量 黑客域名、IP 安全系统的日志 木马样本 服务器是否能出网 是否统一管理入口(堡垒机) 对外开放端口 黑客所有行为记录 操作系统版本 补丁情况
-
入侵分析
情报威胁平台查看URL、病毒文件、IP、域名 定位黑客肉机,或第一入侵点 服务器外联哪个地址,黑客IP 分析入侵点,哪台机器最先被渗透 通过蜜罐看攻击源 查看所有安全设备的日志,定位攻击面 是否是办公网机器执行的操作 通过服务器所属组,是否云账号泄露 病毒分析 所有可能受攻击机器 预加载库配置文件是否被修改 动态链接库配置文件是否被修改 查看系统启动项 使用公司知识库参考以往类似案例
- 安全事故类型
被远控 木马植入 留后门 CPU飙高 异常流量 rootkit 挖矿 勒索病毒 sql拖库 web渗透 留黑页,网页挂马 webshell 云账号泄露 监守自盗 爆破 账密泄露 办公网被入侵 网络攻击 劫持 查看所有应用的爆破日志和登录日志,比如ssh和mysql,dns; 杀死恶意进程 查看动态链接库后门
- 快速应急方案
把黑客IP加入黑名单,直接给DD死,把应用切换走 禁止主动出网,阻断黑客远控行为 查对外的端口,如果有高危漏洞应用就加白名单 删除木马文件,杀死进程,如果rootkit就服务器下线 找到还能出网机器重点做安全加固 深度安全检测,不重要服务器直接下线 不允许直接访问服务器,防止正向shell,用代理即可 把黑客IP加入黑名单 查对外的端口,如果有高危漏洞应用就加白名单 禁止主动出网,阻断黑客远控行为 机器直接下线 看公开漏洞就行了,redis、mongodb、MySQL等 不允许直接访问服务器,防止正向shell,用代理即可 把黑客IP加入黑名单 在加一层云waf,只启用owasp防御功能 开发修改接口 给接口添加验证码做人机识别 ip每分钟限制访问10次同一接口 通过ngingx日志找到有漏洞的接口 查服务器上是否有木马和webshell "1. 找到日志,看哪台机器产生的,把关键字找到, 2. 去到文件里,确认真的被注入webshell,有很多是黑客的扫描日志 3. 立刻删除,去看从哪个接口进来的,根据webshell内容作为关键字全盘搜索,尤其是Java 日志 4. 找所有nginx 日志,找到这个请求接口,用ack命令,比grep 还好用 5. 确定具体的接口,让开发去修改过滤 " 立即修改云账号,修改密钥,云平台远程桌面做一次远程连接,第二次就需要手机号验证了,敏感操作和登录启用手机验证码,不要在电脑上用验证码。 把黑客IP加入黑名单 办公电脑断网,重做系统 查堡垒机所有日志 查服务器后门 所有服务器深度安全检测 禁止主动出网,阻断黑客远控行为 更换全部密码和密钥和token ip每分钟限制访问10次同一接口 挂一个云waf,只启用owasp防御功能 给接口添加验证码做人机识别 加个云锁,做频率限制,iptables也行 做白名单 改个复杂密码或改成密钥 把黑客IP加入黑名单 禁止主动出网,阻断黑客远控行为 不允许直接访问服务器,防止正向shell,用代理即可 修改密码或密钥 深度安全检测 找到代码泄露人和泄露途径,全部改一遍; 把黑客IP加入黑名单 把办公网IP全部不是白名单,只用VPN为白名单; 不用的机器或下班后,机器全部关机,重做系统 密码全部修改或添加二次验证,手机作为验证码 给IP做限速 加CDN,比如cloudflare 加https 修复百度快照劫持服务器的漏洞 HTTPDNS 查看前端js代码,oss,清cdn缓存,前端代码服务器;
-
定义后查看动态链接库的方式(动态链接库在/usr/lib64): echo $PATH echo $LD_PRELOAD cat /etc/ld.so.preload ls /etc/ld.so.conf.d / cat /etc/ld.so.conf 用starce命令检查下系统命令:strace -f -e trace=file /bin/ls
-
中动态链接库木马的现象: 使用普通命令得到的结果,和使用busybox的结果不同; 有些命令用stat查看,时间被修改了; ldd elf文件名(如果正常系统没这个库就是木马了)
-
修复方法: ./busybox lsattr -ia /etc/ld.so.preload ./busybox chattr -ia /etc/ld.so.preload ./busybox rm -rf/etc/ld.so.preload /lib/cub3.so
-
应急收尾工作
木马及后门清除 弱密码扫描 清除预加载库 溯源 安全事故报告 打补丁 渗透测试 通过NIDS找到异常流量主机,定位入侵点 安全加固 清除报警,取消噪音 看堡垒机日志,看是不是自己人的操作 通过日志找web漏洞渗透接口 分析黑客渗透思维,以他的思维思考一边 查看内网是否被渗透 最后前端要做加签,和js 加密和请求参数加密,后端验签就够了
-
永久解决方案 不影响其他项目 不影响其他网段 应用迁移 打补丁 机房ip不允许直接对外开放,可加一层代理 内外网防火墙策略和安装安骑士 找到重要机器,重点做防御,
-
给出安全建议 最小化原则 是否统一管理入口(堡垒机) 渗透测试 非工作时间禁止连接办公电脑和服务器 有必须上外网机器,可以用代理或者临时关闭防火墙就行; 所有机器可以快速迁移 持续跟踪检测类似报警 日志统一放服务器上,防止黑客清理痕迹 安全意识培训