太原市建设局网站首页,中山建设局网站首页,网页网站怎么做的,wordpress 嵌入html5一、DDOS类事件典型案例 DDOS攻击#xff0c;即分布式拒绝服务攻击#xff0c;其目的在于使目标电脑的网络或系统资源耗尽#xff0c;使服务暂时中断或停止#xff0c;导致其正常用户无法访问。CC攻击使用代理服务器向受害服务器发送大量貌似合法的请求#xff08;通常… 一、DDOS类事件典型案例 DDOS攻击即分布式拒绝服务攻击其目的在于使目标电脑的网络或系统资源耗尽使服务暂时中断或停止导致其正常用户无法访问。CC攻击使用代理服务器向受害服务器发送大量貌似合法的请求通常为HTTP GET通常会导致网站出现了无法进行操作的情况不仅仅影响了用户的正常使用同时造成的经济损失也是非常大的。 1.某部委遭遇CC攻击 一 事件概述 某日安全团队接到某部委的网站安全应急响应请求网站存在动态页面访问异常缓慢现象但静态页面访问正常同时WAF、DDoS设备出现告警信息。 应急响应人员通过对现场技术人员所提供WAF告警日志、DDoS设备日志、Web访问日志等数据进行分析发现外部对网站的某个动态页面全天的访问量多达12万次从而导致动态页面访问缓慢。 根据本次攻击事件的分析造成网站动态页面访问缓慢的原因主要是攻击者频繁请求“XXX页面”的功能同时该页面查询过程中并未要求输入验证码信息大量频繁的HTTP请求以及数据库查询请求导致CC攻击从而使服务器处理压力过大最终导致页面访问缓慢。 二 防护建议 对动态页面添加有效且复杂的验证码功能确保验证码输入正确后才进入查询流程并每次进行验证码刷新检查动态页面是否存在SQL注入漏洞加强日常监测运营开启安全设备上的拦截功能特别对同一IP的频繁请求进行拦截封锁建议部署全流量的监测设备从而弥补访问日志上无法记录POST具体数据内容的不足有效加强溯源能力相关负载设备或反向代理上应重新进行配置使Web访问日志可记录原始请求IP有助于提高溯源分析效率开启源站保护功能确保只允许CDN节点访问源站定期开展渗透测试工作以及源代码安全审计工作。2.某证券公司遭遇DDoS攻击 一 事件概述 某日安全团队接到某省网安的应急响应请求本地证券公司在10日7:00-8:00遭受1G流量的DDoS攻击整个攻击过程持续了1个小时造成证券公司网站无法正常访问。同时多个邮箱收到勒索邮件并宣称如不尽快交钱会把攻击流量增加到1T。 应急响应人员通过利用对网站域名进行分析发现了Top10 IP地址对被攻击地址进行了DDoS攻击并发现其攻击类型为NTP反射放大攻击。通过后端大数据综合分析准确定位了攻击者的真实IP地址。 二 防护建议 针对重要业务系统、重要网站等建立完善的监测预警机制及时发现攻击行为并启动应急预案及时对攻击行为进行防护建议部署云安全防护产品云端安全防护产品对常见的DDoS、Web行为攻击等进行有效防护。二、僵尸网络类事件典型案例 僵尸网络是指采用一种或多种传播手段将大量主机感染病毒从而控制被感染主机形成可一对多控制的僵尸网络。近几年的应急中也不乏合法网站被僵尸网络侵害的案例。攻击者通常利用漏洞攻击、口令暴破或邮件病毒等方式发起攻击在内网中进行窃取信息、发起DDOS攻击或僵尸网络挖矿等行为使网络安全受到严重威胁危害巨大。 1. 安全设备弱口令致内网被僵尸网络控制 一 事件概述 某日安全应急响应团队接到某大学僵尸网络事件的应急请求现场多台终端发现疑似黑客活动迹象重要网站系统遭到黑客攻击无法正常运行。 应急响应人员通过对重要网站系统进行排查分析发现该业务系统存在大量IPC暴破登录行为内网多台主机被多次登录成功且存在数个僵尸网络远控IP登录行为其中某一控制端存在大量国外IP连接行为。同时应急人员发现其网站运维管理审计系统暴露于公网并存在弱口令现象攻击者通过该系统可取得大量服务器的控制权限且很多敏感安全设备均暴露在公网上包括WEB应用防火墙、日志中心、漏洞扫描系统、超级终端等。攻击者通过暴露于公网的审计系统弱口令暴破登录进入内网并以此为跳板对内网多台服务器、主机进行暴破、投毒并进行横向扩散组成僵尸网络。 二 防护建议 系统、应用相关用户杜绝使用弱口令应使用高复杂强度的密码尽量包含大小写字母、数字、特殊符号等的混合密码加强管理员安全意识禁止密码重用的情况出现重要业务系统及核心数据库应设置独立的安全区域做好区域边界的安全防御工作严格限制重要区域的访问权限并关闭不必要、不安全的服务部署高级威胁监测设备及时发现恶意网络流量同时可进一步加强追踪溯源能力对安全事件发生时可提供可靠的追溯依据建议在服务器上部署安全加固软件通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口、防范漏洞利用等方式提高系统安全基线防范黑客入侵定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作主动发现目前系统、应用存在的安全隐患加强日常安全巡检制度定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查常态化信息安全工作。三、数据泄露类事件典型案例 数据泄露指将机密信息、私人信息或其他敏感信息发布到不安全的环境中。数据泄露分为外部泄露和内部泄露两种外部泄露典型如攻击者通过漏洞利用等方式获取了主机账号密码进行的数据窃取内部泄露典型如员工安全意识薄弱将敏感信息上传至公网、使用带病毒的U盘或非正规的软件导致的数据泄露。数据泄露会导致敏感信息以及重要信息的外泄一旦被不法分子所利用造成的危害是非常严重的。 1. 账号信息上传公网致内网20多台机器受感染 一 事件概述 某日安全团队接到某运输公司应急请求该公司通过天眼发现存在服务器失陷的危急告警。 应急人员通过分析天眼发现该公司内部环境中20余台服务器出现失陷告警其中两台重要服务器上发现被植入后门服务器已沦陷同时多台服务器上均发现Frp代理、CobaltStrike上线脚本与漏洞利用工具使用痕迹攻击者正在通过Frp代理对内网服务器进行SQL注入漏洞攻击。 通过人工排查发现该公司内部某员工上传敏感信息到GitHub中导致敏感数据泄露攻击者利用该员工账号登录VPN对该公司某重要服务器发起攻击并利用Redis未授权访问漏洞获得权限上传Frp代理工具、MS17-010等漏洞利用工具进行内网横向渗透成功攻下内网服务器、主机20余台并利用已攻陷机器在内网中进行横向攻击。 二 防护建议 定期进行内部人员安全意识培养禁止将敏感信息私自暴露至公网禁止点击来源不明的邮件附件等为Redis服务添加密码验证为Redis服务创建单独的user和home目录并且配置禁止登录低权限运行Redis服务加强日常安全巡检制度定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查及时修复漏洞如MS17-010漏洞等、安装补丁将信息安全工作常态化建议配置VPN登录的双因素认证如增加手机短信验证码认证等严格控制用户登录防止账号信息被盗用。2. 系统漏洞造成数据泄露 一 事件概述 某日安全应急响应团队接到某市医药公司应急请求公司DMZ服务器区出口地址存在外连行为。 应急人员排查分析发现对外攻击的IP为该公司内网某系统的出口地址因该系统供应商要求对系统进行远程维护特将服务器的3389端口映射到出口地址的3389端口。通过对IPS、负载均衡、防火墙以及服务器系统日志进行分析排查发现内网某系统存在多个地区和国家的IP通过3389端口远程登录记录和木马文件。对该服务器系统部署文件进行排查发现此服务器存在任意文件写入漏洞并且发现两个Webshell后门。 经分析研判最终确定攻击者通过内网某系统映射在公网的3389端口进行远程登录并上传Webshell后门1用于执行系统命令利用该系统任意文件写入漏洞上传Webshell后门2用于上传任意文件写入恶意木马文件对外网发起异常连接进行数据传输。 二 防护建议 加强日常安全巡检制度定期对系统配置、系统漏洞、安全日志以及安全策略落实情况进行检查及时修复漏洞、安装补丁将信息安全工作常态化加强设备权限管理对敏感目录进行权限设置限制上传目录的脚本执行权限不允许配置执行权限等建议在服务器上部署安全加固软件通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口如3389、445、139、135等、防范漏洞利用等方式提高系统安全基线防范黑客入侵禁止服务器主动发起外部连接请求对于需要向外部服务器推送共享数据的应使用白名单的方式在出口防火墙加入相关策略对主动连接IP范围进行限制建议安装相应的防病毒软件及时对病毒库进行更新并且定期进行全面扫描加强服务器上的病毒清除能力。
