系统与web应急响应

应急响应：

    应急响应(Incident Response),是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

应急响应的工作流程：

    应急响应包括：准备阶段，检测和启动阶段，抑制和根除阶段，恢复阶段，跟进阶段。

    准备阶段：

    准备阶段的工作内容主要有两项，一是对系统进行快照或备份。二是准备应急响应工具包。另外还包括建立安全保障措施、对系统进行安全加固，制定安全事件应急预案，进行应急演练等内容。

    检测和启动阶段：

    主要工作内容是对系统进行日常安全检测，并在发现异常情况后，形成安全事件报告，由安全技术人员介入进行高级检测，来查找安全事件的真正原因，明确安全事件的特征、影响范围和标识安全事件对系统带来的改变。最终形成安全事件的应急处理方案。

    抑制和根除阶段：

    抑制是对攻击所影响的范围、程度进行扼制，通过采取各种方法，控制、阻断、转移安全攻击。抑制阶段需要对攻击事件进行分类（拒绝服务类攻击、系统漏洞及恶意代码执行类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻击）针对不同的攻击采用不同的手段进行抑制。

    根除阶段是在抑制的基础上，从技术上对引起该类安全问题的完全的杜绝，并对这类安全问题所造成的后果进行弥补和消除。

    恢复阶段：

    通过采取一系列的步骤将系统恢复到正常业务状态，主要方法有恢复系统变化或者重装系统。

    跟进阶段：

    跟进阶段是应急响应的最后一个阶段，主要内容是对抑制或根除的效果进行审计，确认系统没有被再次入侵。

应急响应具体项目：

    响应事件：网站被植入Webshell

    发现与启动阶段：使用D盾_Web查杀工具对站点进行例行安全检查，发现webshell。网站被植入webshell，意味着网站存在可利用的高危漏洞，攻击者通过利用漏洞入侵网站，写入webshell接管网站的控制权。这种漏洞可能是任意文件上传漏洞，远程命令执行漏洞，sql注入写文件漏洞。

    抑制和根除阶段：

    webshell文件创建时间点，去web的访问日志，经过日志分析，在文件创建的时间节点并未发现可疑的上传，但发现存在可疑的webservice接口，此接口的buffer、distinctpach、newfilename可以在客户端自定义，然后对漏洞复现发现可成功上传webshell。

    恢复阶段：清除webshell，并写安全报告给开发对webservice接口进行代码修复

    响应事件：挖矿病毒的发现

    发现与启动阶段：发现某台web服务器,CPU占用率高，C盘很满，另外风扇噪声很大。登录网站服务器进行排查，发现多个异常进程，然后对进程启动参数分析发现temp目录存在挖矿程序。

     TIPS:

        在windows下查看某个程序（或进程）的命令行参数使用下面的命令：

        wmic process get caption,commandline /value

        如果想查询某一个守护进程的命令行参数，使用下列方式：

        wmic process where caption=”svchost.exe” get caption,commandline /value

        这样就可以得到进程的可执行文件位置等信息。

    抑制和根除阶段：

    关闭异常进程、删除c盘temp目录下挖矿程序 ，在网上寻找利用weblogic漏洞挖矿案例，并对本站点进行修复。

    恢复阶段：

    1、安装安全软件并升级病毒库，定期全盘扫描，保持实时防护

    2、及时更新 Windows安全补丁，开启防火墙临时关闭端口

    3、及时更新web漏洞补丁，升级web组件