ca88登陆平台

应急响应 | 抽丝剥茧 沉现境表黑客持久埋伏的蛛丝马迹

功夫:2019-12-26 作者:ca88登陆平台安服

分享到:

某日,,,,,,ca88登陆平台网络安全应急响应中心接到某行业用户的应急响应需要:有黑客组织在境表颁布了该单元的沉要敏感信息,,,,,,已对该单元造成恶劣影响,,,,,,用户仅能锁定可能泄露信息的系统,,,,,,但无法确认入侵蹊径。。。。。。。用户必要对入侵蹊径与攻击伎俩进行溯源分析。。。。。。。接到应急需要后,,,,,,ca88登陆平台应急响应调度中心立刻派单,,,,,,铺排距离用户最近的应急响应人员前往用户现场进行措置分析。。。。。。。

随着对事务产生情况逐措施延注日志分析与拓扑梳理等工作的推动,,,,,,应急响应人员发现接见蕴含敏感信息系统的IP均来自本地的一台数据库服务器。。。。。。。进一步对该数据库服务器进行分析,,,,,,发现该服务器的所有系统日志均被指向了/dev/null,,,,,,这是一个高度可疑的操作。。。。。。。再深刻分析后,,,,,,发现root主目录的一个暗藏文件夹中蕴含一个未删除的电子表格文档,,,,,,而文档内容刚好是一批敏感数据。。。。。。。自此已经锁定该服务器为攻击者的跳板。。。。。。。

但问题也随之而来,,,,,,该服务器部署在业务专网,,,,,,不存在职何互联网的接入,,,,,,那黑客是怎么进入的???????应急响应人员立刻又与用户梳理起了业务关系,,,,,,最终得到答案。。。。。。。

原来用户数据库服务器存在前置服务器,,,,,,部署在业务专网的互联网区域。。。。。。。前置服务器提供了一个Web服务,,,,,,对互联网进行了盛开,,,,,,同时能够通过网闸接见到后端数据库服务器。。。。。。。

随即应急响应人员对前置服务器进行了深度分析,,,,,,并发现了更大的问题。。。。。。。通过对前置服务器的深度分析,,,,,,发现前置服务器与后端数据库服务器使用一样的操作系统密码,,,,,,前置服务器上已然存在两个荫蔽的Webshell、I2P匿名网络接入法式与远控木马; ;;; ;;网闸的接见战术险些未设置,,,,,,前置服务器可对数据库服务器进行全端口接见; ;;; ;;木马已于3个月前被植入,,,,,,可见境表攻击者已经埋伏很长功夫,,,,,,充分摸索了用户网络环境,,,,,,最终锁定了沉要系统。。。。。。。如此长功夫的“埋伏”,,,,,,显然是有针对性的网络攻击。。。。。。。

至此,,,,,,针对这次事务的溯源分析工作已根基实现。。。。。。。最后,,,,,,应急响应人员全力共同网安固定证据,,,,,,整顿资料向用户单元辅导进行了汇报,,,,,,用户单元辅导对于这次的应急成就和ca88登陆平台应急响应人员的专业能力和敬业态度赐与了高度赞美和认可。。。。。。。

企业安全防护建议:

1、系统、利用有关用户杜绝使用弱口令,,,,,,应使用高复杂强度的密码,,,,,,尽量蕴含大幼写字母、数字、特殊符号等的混合密码,,,,,,加强治理员安全意识,,,,,,不容密码沉用的情况出现。。。。。。。
2、装置相应的防病毒软件,,,,,,实时对病毒库进行更新,,,,,,并且定期进行全面扫描,,,,,,加强服务器上的病毒断根能力。。。。。。。
3、不容服务器自动提议表部衔接要求,,,,,,对于必要向表部服务器推送共享数据的,,,,,,应使用白名单的方式,,,,,,在出口防火墙参与有关战术,,,,,,对自动衔接IP领域进行限度。。。。。。。
4、有效加强接见节造ACL战术,,,,,,细化战术粒度,,,,,,按区域按业务严格限度各个网络区域以及服务器之间的接见,,,,,,选取白名单机造只允许盛开特定的业务必要端口,,,,,,其他端口一律不容接见,,,,,,仅治理员IP可对治理端口进行接见。。。。。。。
5、加强日常安全巡检造度,,,,,,定期对系统配置、网络设备共同、安全日志以及安全战术落实情况进行查抄,,,,,,常态化信息安全工作。。。。。。。
ca88登陆平台应急响应服务致力于成为“网络安全120”。。。。。。。2016年以来,,,,,,ca88登陆平台应急响应服务已措置政企机构网络安全事务超过两千起,,,,,,累计投入工时20000多个幼时,,,,,,为全国近千家政企机构解决网络安全问题,,,,,,获得了用户的高度认可和一致好评。。。。。。。

ca88登陆平台 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

ca88登陆平台 在线客服 ca88登陆平台 95015

您对ca88登陆平台的任何疑难可用以下方式通知我们

将您对ca88登陆平台的任何疑难

用以下方式通知我们

【网站地图】【sitemap】