被黑的經歷和收入少的可憐差不多。至少,這是我最近從我自己的壹個網頁被更改和破壞中了解到的感覺。
果不其然,我們的調查發現,受損的服務器上運行著壹個未打補丁的PHP論壇程序,黑客利用PHP漏洞留下了壹條簡短而友好的消息,表明他已經占領了這片領地。雖然這是壹個相對較小的事件,但它強調了有壹個準備充分和明智的應急計劃是多麽重要。
有壹句諺語是對的:沒有人會看到壹個戰略的價值,直到關鍵時刻。
信息響應(IR)計劃為我們提供了即時響應、調查、分析和恢復的過程。它們就像我們手中三個相交的圓環。為了確保其成功,我們必須做到以下幾點:
服務器隔離
這是壹個非常重要的服務器,所以我們必須確保它的安裝,並將其與網絡隔離。我們通過防火墻規則攔截服務器和外網之間的攻擊,然後可以關閉響應的交換機端口,隔離服務器。壹旦隔離完成,我們可以停止記錄發現的時間,這將發現黑客及其行為,這也是為法庭分析和可能的訴訟行為提供證據的重要壹步。
黑客追蹤
黑客沒有刪除日誌,所以我們用了很短的時間發現黑客用壹個固定的腳本多次試圖攻擊PHP。我們真正想知道的是,黑客是有root用戶的權限,還是把這個服務器作為攻擊其他系統的敲門磚。重要文件的CRC校驗告訴我們,它們沒有被更改或損壞,內存中沒有運行可疑的進程。我們檢查了論壇程序供應商的網站,事實上,在攻擊前壹周,該供應商已經發布了關於此漏洞的聲明並發布了補丁。沒問題――對黑客來說,壹周時間足夠了。
我們感到震驚的是,在我們的IDS日誌中沒有發現PHP攻擊的證據。我們的IDS供應商告訴我們,在下壹次計劃的簽名更新之前,該簽名將被使用大約兩周。也就是說,在發現漏洞和攻擊以及IDS簽名可用之前,有三周的間隔。
響應和恢復
我們的事件響應策略是,無論事件有多嚴重(不給冒險留下任何機會),任何損壞的機器都將被重建。該系統根據普遍接受的準則在安全性方面進行設置和整合,我們還通過漏洞掃描器掃描機器的弱點,以檢查我們的工作。當然,我們也通過攻擊軟件檢測類似的機器。
總結經驗教訓
我們從這次事件中吸取了教訓:確保您的系統管理員及時更新最新補丁(壹個月壹次是不夠的),並經常檢查日誌(壹周壹次是不夠的)。安全管理員必須知道每臺機器上安裝了什麽軟件,以便他們能夠防範相關的漏洞和弱點。不要依賴任何唯壹的IDS供應商,因為對於第壹個防禦範圍來說,簽名可能會來得太晚。考慮在面向公眾的服務器上實現Tripwire(壹種入侵檢測系統)來監控重要文件屬性的變化。
最後,保持您的應急響應策略的實時性,以滿足當前系統的要求。讓大家知道在緊急情況下應該怎麽做,這樣才能保證補救措施的順利實施。
防範黑客的十大技巧
1.使用防病毒軟件並經常更新,以使破壞性程序遠離您的計算機。
2.為了妳以後購物方便,網上商家不允許存儲妳的信用卡信息。
第三,使用數字和字母混合、難以破譯的密碼,並經常更換。
第四,不同的網站和程序要用不同的密碼,防止被黑客破譯。
使用最新版本的網絡瀏覽器軟件、電子郵件軟件和其他程序。
6.只向有安全保證的網站發送信用卡號,註意尋找瀏覽器底部顯示的掛鎖圖標或鑰匙圖標。
7.確認妳要處理的網站地址,註意妳輸入的地址,比如不要把ana-zon.com寫成amozon.com。
8.使用控制cookie程序的安全程序,cookie程序會將信息發送回網站。
如果您使用數字用戶線路或電纜調制解調器連接到互聯網,您應該安裝防火墻軟件來監控數據流。
除非妳知道信息的來源,否則不要打開郵件的附件。