湖北國菱網(wǎng)絡安全小組緊急處理荊州某集團網(wǎng)站被入侵事件
來源:荊州松滋網(wǎng)絡安全
時間:2017-04-19
2017年4月15日,湖北國菱網(wǎng)絡安全小組接到荊州某集團網(wǎng)站服務器被入侵通知,荊州網(wǎng)監(jiān)檢測到網(wǎng)站有掛馬的現(xiàn)象,被責令關閉。事情緊急,公司網(wǎng)絡安全小組全體人員展開了調查分析,綜合荊州某集團工作人員描述,迅速從技術層面總結出事件始末,進行了緊急處理,現(xiàn)網(wǎng)站已全面恢復上線。
事情處理經(jīng)過:
首先,查清楚黑客入侵方法,經(jīng)過湖北國菱網(wǎng)絡安全團隊十余小時的觀察與分析,分析整個網(wǎng)站域名下的子域名和服務器集群,鎖定重點目標,鎖定外網(wǎng)ip,內(nèi)網(wǎng)服務器木馬源頭。入侵者通過網(wǎng)站服務器利用sql注入漏洞入侵網(wǎng)站,隨后上傳了多個PHP腳本木馬,如下圖,紅色框內(nèi)為木馬文件。
鑒于以上情況,湖北國菱網(wǎng)絡安全團隊結合以往經(jīng)驗以及該單位服務器群實際情況,采取了以下處理措施:
1.查看服務器日志,分析入侵手段,對服務器進行SQL過濾,封堵SQL注入漏洞;
2.對服務器文件進行實時監(jiān)控,生成日志;
3.對所有網(wǎng)站進行漏洞掃描排查,經(jīng)檢查無異常;
4.對所有網(wǎng)站進行恢復上線。
整改方案:
1.將網(wǎng)站主域名下的子域名全部登記備案,子域名所運行的網(wǎng)站程序無論是否在本機房,均必須按照嚴格標準審核后再上線,以免給主域名造成負面影響;
2.重申并認證觀測,所有技術操作人員在網(wǎng)站根目錄下禁止存放與網(wǎng)站本身運行無關的其他文件(包括附件);
3.講我們一周一次的掃描檢測升級為一天一次,形成報告,發(fā)現(xiàn)異常,短信通知相關人員;
4.加強所有后臺服務器密碼權限管理,密碼更換等。