安全事件應急響應

及分析目錄1)安全事件響應概述及流程介紹2)網站篡改事件響應與分析3)數據泄露事件響應與分析4)日志安全分析實戰（上機實驗）5)數據恢復實戰（上機實驗）1）安全事件響應概述

及流程介紹什么是突發事件中斷正常運作的程序并使系統突然陷入某種級別危機的事件。計算機入侵，拒絕服務攻擊，信息泄露等。什么是應急響應信息安全應急響應是對危機信息安全的事件做出及時、準確的響應處理，綜合利用檢測、抑制、根除、恢復等手段，杜絕危害的進一步蔓延擴大，保證系統能夠提供正常服務。應急響應概述漏洞發布到攻擊出現的時間越來越短Witty蠕蟲事件、MS08-067花樣翻新，防不勝防尼姆達蠕蟲：通過email、共享網絡資源、IIS服務器傳播變種速度令人驚嘆黑客：從單打獨斗到“精誠”合作Botnet攻擊程序日益自動化、并唾手可得為什么需要應急響應確認與排除突發事件是否發生收集與突發事件有關的信息提供有價值的報告和建議使損失最小化支持民事或刑事訴訟保護由法律或者正常規定的隱私權應急響應的目的第一階段：準備——讓我們嚴陣以待第二階段：確認——對情況綜合判斷第三階段：封鎖——制止事態的擴大第四階段：根除——徹底的補救措施第五階段：恢復——備份，頂上去！第六階段：跟蹤——還會有第二次嗎應急響應的一般階段HandlingtheIncident恢復Recovery根除Eradication發現Identification預防Preparation控制Containment跟蹤FollowupAnalysisIncidentResponseLifeCycle預防為主幫助服務對象建立安全政策幫助服務對象按照安全政策配置安全設備和軟件掃描，風險分析，打補丁如有條件且得到許可，建立監控設施第一階段——準備建立事件報告的機制和要求建立事件報告流程和規范IntranetPhoneEmailWho?What?When?Where?How?ReportingMechanisms確定事件的責任人指定一個責任人全權處理此事件給予必要的資源確定事件的性質誤會？玩笑？還是惡意的攻擊/入侵？影響的嚴重程度預計采用什么樣的專用資源來修復？第二階段——確認即時采取的行動防止進一步的損失，確定后果確定適當的封鎖方法咨詢安全策略確定進一步操作的風險損失最小化可列出若干選項，講明各自的風險，由服務對象選擇第三階段——封鎖長期的補救措施確定原因，定義征兆分析漏洞加強防范修復隱患修改安全策略第四階段——根除被攻擊的系統由備份來恢復作一個新的備份把所有安全上的變更作備份服務重新上線持續監控第五階段——恢復關注系統恢復以后的安全狀況，特別是曾經出問題的地方建立跟蹤文檔，規范記錄跟蹤結果追蹤來源，建立基線庫調查取證第六階段——跟蹤外部原因攻擊類型拒絕服務：SYN-flood、UDP-flood、ccDNS欺騙：DNSpoisonARP欺騙：arp病毒問題分析抓包分析：wireshark簡單命令：nslookup、arp解決辦法封攻擊者IP原因追查內部原因攻擊類型系統被入侵，入侵者已獲取部分權限或已完全控制系統。問題分析系統或應用程序存在漏洞解決辦法恢復系統查找原因清除后門修補漏洞原因追查2）網絡流量異常事件

響應與分析網絡流量異常事件網絡流量異常針對協議的攻擊針對帶寬的流量攻擊其他拒絕服務攻擊響應策略查看關鍵網絡設備，對網絡流量做端口鏡像查看IDS等安全設備的事件記錄對流量鏡像進行人工分析，判斷異常數據包通過網絡協議分析設備進行流量分析修改安全設備防護策略，對可疑流量包做丟棄處理對針對協議的攻擊限制其使用帶寬。。。193）網站篡改事件響應與分析網站頁面覆篡改案例21篡改事件犯處置流程安全事芹件發生停止網站院服務上報相關趕領導日志分析可疑文絨件及可疑用娛戶分析漏洞掃描呼與安全測桌試安全整策改上線前屑測試22篡改事件騙分析過程日志分夠析（系統量日志、遼中間件廳日志、妻應用系頑統日志…）可疑文件丟分析、清撕除（木馬文慚件、后門么程序、攻滔擊測試文毛件…）可疑用戶菌清除（操作傷系統用厘戶、應起用系統盾用戶…）安全事件騰整體分析（攻擊來抖源、造成栽危害、攻倘擊途徑…）23審核日志泄：系統日宇志應用日志安全性坦日志Web日志FTP日志數據庫希日志查看攻擊則者遺留痕劣跡分析入侵挪原因并彌汽補漏洞日志審籮核分析網瘦站系統貿日志，衡一般IIS日志和Apa蘋che日志等均塌有web訪問詳細壯記錄，若吐日志在系驢統中已被洲刪除，應于通過日志屯服務器或拌者日志審狼計系統查猛看日志。牛日志分析坡有以下方豆式：分析安全都事件發生啊時間段內爛的日志信草息，查看諸是否有異盲常訪問（滋如網站掃大描日志、稿上傳頁面吊日志、管塊理員登陸全頁面訪問鞠日志等）以遭篡逢改或者鉤掛暗鏈頌的頁面堤名稱為愈關鍵字汁，搜索甘日志內棄容，判診斷是否翁存在管駱理員IP之外的訪觸問地址。概若存在，舞則應以此恢地址為關屈鍵字做進婦一步分析圓，判斷攻攀擊者的攻搭擊方式和變路徑。若網站彩已被上跨傳木馬五，則查莊看日志剃中對該蒜木馬的冊訪問記無錄，進匪而根據技此木馬輩來源IP地址為童關鍵字將做進一擺步分析贏。25WEB日志IIS日志在%sys禮temr萌oot%柴\sys案tem3糕2\lo剖gfil喝es下相應棕子目錄粉中日志分遵析WEB日志格距式日期和揪時間默認采綿用格林局威治時胳間，比另北京時推間晚8小時客戶端策地址服務器顧地址服務器膠端口方法（GET、POS掩T、PUT、DELE咱TE等）URI資源協議狀態請求成功欲，200-晚299臨時資恢源，300開-30建7請求錯典誤，400拆-49商9服務器趨端內部云錯誤，500-俘599日志分析WEB日志(SQL注入示例)200希9-1蕩0-1戶31卡5:1襲6:4鹽21北0.1鳥0.1浙0.2冒27愈GET高/l轉ist狹.as耕pi歐d=1兄9%2填0an展d%2威0us霉er>朗0|1桂3|8費004窮0e0收7|[豆Mic肢ros得oft思][O湊DBC在_SQ騙L_S設erv神er_冒Dri椅ver買][S帳QL_歐Ser圈ver示]將_nv陜arc材har饒_值_'a洗rti竿cle傅_us贈er'胸_轉換為鑒數據類愁型為_in曠t_的列時產發生語滿法錯誤喝。80剩-1累0.1潑0.1書0.3姥4M通ozi形lla譯/4.冶0+日志分析WEB日志(路徑掃趁描示例)200穗9-1位0-1懲31垃5:2日0:4葵41敘0.1漏0.1引0.2濁27辨GET慚/a濟dmi勻n_m在ain藥.as前p-燃80兼-沾10.宿10.護10.霜34芒Moz童ill撞a/4弦.0遇404疲0儉22009佳-10-敵131粉5:20憑:44歐10.1釀0.10貧.227像GET疤/ad革mint絹ab.a菜sp-賴80隱-10芽.10.泊10.3瘦4Mo撤zill拿a/4.沿040蹤蝶40楚2200垮9-1菊0-1玻31勇5:2偏0:4浮41達0.1堡0.1預0.2田27某GET塞/c蘿oun星t.a兄sp明-8岸0-周10朱.10撥.10捏.34秋Mo塌zil引la/界4.0抄40瘡40傘22009避-10-啞131積5:20咱:44廳10.1蹄0.10味.227隸GET手/ro襯ot.a例sp-燙80豪-10惜.10.器10.3戶4Mo繁zill教a/4.修040響40恢2200顛9-1面0-1違31紛5:2讀0:4跑41議0.1狗0.1紐奉0.2遷27閣GET兩/h支tdo電cs.春asp粘-烘80潑-1存0.1濾0.1揭0.3傷4M末ozi矛lla啊/4.騙04姜04女022009菊-10-配131跪5:20蒸:44餅10.1孟0.10款.227游GET算/lo設gin/任logi壯n.as斗p-戒80-盤10.色10.1下0.34輔Moz還illa頃/4.0聽404休03200吊9-1惑0-1牲31哀5:2繳0:4爛41畢0.1張0.1碑0.2柜27廁GET宣/d爽vbb寇s/p轎ost爽_up嗓loa請d.a則sp瘡-8爬0-始10宏.10洋.10尤.34辣Mo半zil委la/暈4.0積40仙40赤3200舞9-1昂0-1幼31洪5:2能0:4扣41載0.1唱0.1蝕0.2眨27安GET耳/d捕el.弱asp坡-千80肯-1彎0.1糠0.1毀0.3駛4M患ozi馬lla搶/4.竿04霧04羅02200墻9-1醫0-1李31閉5:2獻0:4衡41扎0.1站0.1僅0.2招27蠶GET飽/o保k_p足ass葡.as屋p-崗80副-膝10.抬10.旬10.泊34捐Moz揀ill氧a/4傘.0密404淺0若2200靜9-1界0-1六31盈5:2導0:4勞41坐0.1亦0.1鬧0.2蒜27坦GET么/u殺ser嬌/lo霉gou舍t.a恢sp濁-8妹0-軍10枯.10謹.10爺.34道Mo拐zil灶la/室4.0羅40槐40挽32009芹-10-浙131突5:20盯:44碑10.1零0.10燙.227叔GET大/up團date性.asp說-8晌0-粥10.1保0.10屈.34進Mozi恰lla/句4.0逗404檔022009印-10-比131節5:20盈:44吐10.1譯0.10偵.227訂GET依/ad乓mind惑el.a橋sp-再80嶺-10顆.10.荷10.3再4Mo輛zill孝a/4.據040柄40本2200鐘9-1現0-1戴31琴5:2守0:4領41凝0.1墳0.1知0.2盟27猛GET強/a碼dmi崇n_d司ele紫te.夜asp緩-醒80瞧-1像0.1友0.1翠0.3甜4M瓜ozi爪lla潮/4.密04杠04觸0日志分析可疑賬號使用net回user查看可疑賬緩戶分析較低級后部門：添加燙系統帳號斃；添加其拾他服務帳俱號（FTP，數據庫猛）；二進制后底門：反向基連接型普越通后門；氏動態鏈接嗚庫后門；配置型后繡門：隱藏私賬號和克算隆帳號網頁型后婦門：webs胳hell可疑文件炒分析隱藏賬號形如hack屑$的隱藏壟賬號，霉不能使驕用net胸us廈er查看賬戶后欠門可疑進溪程二進制崗后門可疑端口授和服務二進制后肢門啟動項HKEY起_LOC高AL_M毒ACHI推NE\S符OFTW籍ARE\衣Micr旨osof皆t\Wi符ndow獎s\Cu逢rren的tVer旺sion截\RunHKE岔Y_L糾OCA且L_M艷ACH切INE撲\SO某FTW浙ARE愚\Mi賭cro繡sof搞t\W鈔ind辱ows精\Cu享rre好ntV是ers駁ion籃\Ru蝴nOn室ceHKEY發_LOC胳AL_M鳥ACHI系NE\S陣OFTW成ARE\矛Micr皺osof貿t\Wi準ndow茂s\Cu區rren竄tVer掙sion碎\Run挽Once散ExHKEY每_LOC朵AL_M車ACHI參NE\S幸OFTW冶ARE\姑Micr像osof蛋t\Wi闖ndow魚s\Cu醉rren展tVer知sion蓋\Pol筆icie騰es\R帖un回收站根目錄溜下隱藏膝的Recy洗cler目錄用戶刪網除的文碗件在以勒其自身SID為基礎壩命名的遺子目錄兵中臨時文移件夾C:\D槐ocum毫ents滋and綠Set唇ting死s\De齒faul衛tUs驅er\L拌ocal透Set狡ting局s\te票mp計劃任貧務使用at命令查旨看文件后寫門曾經存醒在的帳港戶HKE家Y_L懼OCA瓶L_M晚ACH寸INE臨\SO摘FTW材ARE變\Mi擦cro叔sof次t\W半ind機ows資NT取\Cu造rre嘗ntV穗ers畝ion槽\Pr朝ofi湯leL房誠ist曾經安裝廢過的軟件HKE饞Y_L僻OCA森L_M戰ACH堪INE療\SO紗FTW摟ARE帝\Mi雄cro樸sof饅t\W所ind六ows教\Cu賺rre挪ntV稱ers購ion臣\Un就ins牲tal午l操作記錄紹分析4）數據律泄露事餐件響應屯與分析信息泄超露安全螺事件38201詳1年北京市《7萬高考像生個人原信息網灘上被叫繁賣》，考生以到及家長電廉話、住址丸、姓名等培隱私信息哪被網上售致賣。市教階委工作人禁員表示，渾曾多次要耕求學校保辱護學生及啞家長的隱煙私，不排棍除是黑客竊窄取了考削生信息。數據泄買露事件霞分析過才程分析過程框，類似篡懲改事件日志分析可疑賬牢戶分析可疑文止件分析判斷攻擊敘者獲取數裹據的攻擊湖來源、嘗城試方法等還需要塘什么?漏洞檢體測39漏洞檢贈測11）弱漫口令檢替測網站系嫁統、操輩作系統套、數據腦庫系統茂是否存糕在弱口邀令或者狐可進行乞口令暴礦力破解2）網獨站系統墾漏洞檢嬌測網站系統寨是否存在SQL注入漏洞數據庫文塵件是否可明繞過驗證耀通過網站殺訪問獲取網站系統恭是否存在循命令執行怖、任意文敢件遍歷、壇文件上傳妹等漏洞40漏洞檢艙測23）主煩機漏洞借檢測操作系障統是否陣存在嚴粒重漏洞主機是觀否與其城他系統澇有網絡蔑隔離，貼是否可洞通過網沉絡嗅探囑的方式窗獲得數勾據數據庫蟻系統是偽否存在攝嚴重漏傾洞數據庫系等統是否可尖由任意地祝址遠程連全接415）日志安膠全分析實銅戰上機實砍驗-日淡志安全晉分析實閑戰43實驗目標：了解對網沒站攻擊安燒全事件進蛋行日志分州析的方法獲取攻擊翁者的攻擊炮路徑、利昂用方式、蛇上傳木馬兼等信息實驗環境：客戶端粒主機：Win岸dow泥sX較p服務端惠主機：wind儉ows鉤serv詢er2予003/左2008WEB中間件仆：IIS工具：無實驗步驟查看IIS屬性，打睜開IIS日志文慢件夾打開最捕近日期寺的IIS日志查找被攻裹擊頁面關岡鍵字找到對固應來源IP分析該IP所訪問訪的地址繼頁面，腹判斷攻撕擊行為剃及路徑六、利用談方法、利上傳木懂馬等內職容上機實不驗-日志安由全分析案實戰6）數據諸恢復實省戰數據恢復往技術及工胖具數據恢種復技術系統中收已刪除奸的數據戶并沒有胖真正的鞭“清除逼”，通達過數據負恢復工牲具仍能例夠找回廉數據或街者文件糊。數據恢復消工具Dat肺ar仇eco打ver語yWin六hex上機實驗仁-數據恢疫復實戰47實驗目割標：了解數據贈恢復方法實驗環移境：客戶端忠主機：Wind談ows牛Xp服務端螺主機：wind土ows痛serv樣er2椒003/釋2008工具：winh啄ex上機實驗箱-數據恢迷復實戰實驗步低驟1）查看IIS日志，發識現日志已佳被刪除2）通過數速據恢復工競具win滿hex查看已寇刪除文篇件3）查看忘已刪除積的日志很信息4）查看追上傳后釘已刪除茫的木馬解文件謝謝謝謝觀賞教育信格息安全鍛等級保趁護測評趟中心電話：010-呈6609背7376耍66膊0920珠43網址：htt撒p:/尼/ce任pin曬g.m悼oe.透edu技.cn郵箱：den蛛gba耳o@m寺oe.襲edu媽.cn9、靜夜至四無鄰爐，荒居灰舊業貧券。。4月-辮234月-所23Frid犧ay,魔Apri棚l28凍,20統2310、雨中巾黃葉樹著，燈下唉白頭人柴。。10:毅28:江1110:膏28:棒1110:咬284/2逼8/2側023宣10速:28炭:11蛙AM11、以我獨系沈久，愧結君相見頻娃。。4月-2糕310:享28:怪1110:2樓8Apr語-2328-拾Apr尾-2312、故人爬江海別寒，幾度盼隔山川俱。。10:藍28:瘦1110:車28:異1110:私28Frid噴ay,巷Apri著l28咽,20剛2313、乍見擴翻疑夢承，相悲枯各問年掏。。4月-2短34月-2瘦310:代28:挺1110:2稠8:11Apr今il弓28,恰20歲2314、他鄉視生白發蹲，舊國極見青山懷。。28淋四月囑202屬310:沫28:國11鴉上午10:2福8:114月-啄2315、比不谷了得就趟不比，撿得不到烈的就不托要。。。四月個2310:遺28派上午4月-2友310:童28Apr伐il終28,閱20按2316、行動出餡成果，工址作出財富駁。。2023獲/4/2恢810俯:28:繭1110:2害8:1128尤Apr貴il戲202密317、做前落，能夠亂環視四鈴周；做族時，你辛只能或貍者最好嘩沿著以省腳為起菠點的射光線向前誼。。10:2編8:11缸上午10:2央8上午10:垃28:太114月-施239、沒有失稼敗，只有運暫時停止知成功！。4月-2仁34月-部23Fri喇day毅,A綁pri惠l2說8,植202圾310、很多事沃情努力了蟲未必有結憐果，但是限不努力卻里什么改變份也沒有。獵。10:2父8:1110:瞧28:酒1110:顆284/28寸/202秤310虹:28:譯11A是M11、成功考就是日篇復一日厘那一點賴點小小勸努力的角積累。姑。4月-2悠310:2氣8:1210:2硬8Apr朽-2328-A機pr-2懸312、世間成旺事，不求送其絕對圓討滿，留一嶼份不足，浩可得無限持完美。。10:2怎8:1210:2傲8:1210:2介8Fri草day沈,A住pri刃l2撿8,陽202霉313、不知香雅積寺，數辰里入云峰逮。。4月-2蠻34月-死2310:斥28:間1310:滋28:游13Apr外il桑28,安20蘿2314、意志堅搜強的人能輔把世界放騰在手中像董泥塊一樣璃任意揉捏段。28穴四月鄙202術310:鵲28:跑13攻上午10:濃28:岡134月-2刪315、楚塞虧三湘接棕，荊門保九派通掠。。。四月喂2310:2召8上午4月-2東310:全28Apr矩il篩28,秤20威2316、少年胳十五二哈十時，里步行奪愚得胡馬背騎。。202盯3/4陽/28寇10顆:28默:1310:粥28:正1328A夕pril郵202晝317、空山亂新雨后吸，天氣芝晚來秋