展開
湖北國(guó)聯(lián)計(jì)算機(jī)科技有限公司
  • 首頁(yè)HOME
  • 公司簡(jiǎn)介INTRODUCTION
  • 安全防御DEFENSE
  • 軟件開發(fā)SOFTWARE
  • 物聯(lián)網(wǎng)IOT
  • 運(yùn)行維護(hù)SRE
  • 成功案例CASE
  • 聯(lián)系我們CONTACT
  • GuoLing Events |國(guó)菱動(dòng)態(tài)

    湖北國(guó)菱網(wǎng)絡(luò)安全小組緊急處理荊州某集團(tuán)網(wǎng)站被入侵事件
    來(lái)源:荊州松滋網(wǎng)絡(luò)安全 時(shí)間:2017-04-19

    2017年4月15日,湖北國(guó)菱網(wǎng)絡(luò)安全小組接到荊州某集團(tuán)網(wǎng)站服務(wù)器被入侵通知,荊州網(wǎng)監(jiān)檢測(cè)到網(wǎng)站有掛馬的現(xiàn)象,被責(zé)令關(guān)閉。事情緊急,公司網(wǎng)絡(luò)安全小組全體人員展開了調(diào)查分析,綜合荊州某集團(tuán)工作人員描述,迅速?gòu)募夹g(shù)層面總結(jié)出事件始末,進(jìn)行了緊急處理,現(xiàn)網(wǎng)站已全面恢復(fù)上線。


    事情處理經(jīng)過:

    首先,查清楚黑客入侵方法,經(jīng)過湖北國(guó)菱網(wǎng)絡(luò)安全團(tuán)隊(duì)十余小時(shí)的觀察與分析,分析整個(gè)網(wǎng)站域名下的子域名和服務(wù)器集群,鎖定重點(diǎn)目標(biāo),鎖定外網(wǎng)ip,內(nèi)網(wǎng)服務(wù)器木馬源頭。入侵者通過網(wǎng)站服務(wù)器利用sql注入漏洞入侵網(wǎng)站,隨后上傳了多個(gè)PHP腳本木馬,如下圖,紅色框內(nèi)為木馬文件。


    鑒于以上情況,湖北國(guó)菱網(wǎng)絡(luò)安全團(tuán)隊(duì)結(jié)合以往經(jīng)驗(yàn)以及該單位服務(wù)器群實(shí)際情況,采取了以下處理措施:

    1.查看服務(wù)器日志,分析入侵手段,對(duì)服務(wù)器進(jìn)行SQL過濾,封堵SQL注入漏洞;

    2.對(duì)服務(wù)器文件進(jìn)行實(shí)時(shí)監(jiān)控,生成日志;

    3.對(duì)所有網(wǎng)站進(jìn)行漏洞掃描排查,經(jīng)檢查無(wú)異常;

    4.對(duì)所有網(wǎng)站進(jìn)行恢復(fù)上線。


    整改方案:

    1.將網(wǎng)站主域名下的子域名全部登記備案,子域名所運(yùn)行的網(wǎng)站程序無(wú)論是否在本機(jī)房,均必須按照嚴(yán)格標(biāo)準(zhǔn)審核后再上線,以免給主域名造成負(fù)面影響;

    2.重申并認(rèn)證觀測(cè),所有技術(shù)操作人員在網(wǎng)站根目錄下禁止存放與網(wǎng)站本身運(yùn)行無(wú)關(guān)的其他文件(包括附件);

    3.講我們一周一次的掃描檢測(cè)升級(jí)為一天一次,形成報(bào)告,發(fā)現(xiàn)異常,短信通知相關(guān)人員;

    4.加強(qiáng)所有后臺(tái)服務(wù)器密碼權(quán)限管理,密碼更換等。

    荊州地區(qū)政府網(wǎng)站建設(shè) 解決方案 專業(yè)團(tuán)隊(duì) 騰訊第三方平臺(tái) 地址:湖北省荊州市沙市區(qū)荊沙大道楚天都市佳園一期C區(qū)29棟112       地址:湖北省松滋市新江口街道才知文化廣場(chǎng)1幢1146-1151室     郵編:434200 聯(lián)系電話:0716-6666211     網(wǎng)站編輯部郵箱:business@gl-ns.com 鄂公網(wǎng)安備 42100202000212號(hào) 備案號(hào):鄂ICP備2021015094號(hào)-1     企業(yè)名稱:湖北國(guó)菱計(jì)算機(jī)科技有限公司