網(wǎng)站滲透測試 入侵檢測和應(yīng)急響應(yīng)方案

時間：2020-01-05作者：青島四海通達(dá)電子科技有限公司瀏覽：112

由于時間比較緊,年底業(yè)務(wù)比較多在此很多朋友想要了解我們Sine安全對于滲透測試安全檢測以及應(yīng)急響應(yīng)的具體操作實踐過程,對于漏洞發(fā)生問題的根源和即時的處理解決修補網(wǎng)站漏洞的響應(yīng)時間進(jìn)行全面的了解和預(yù)防,使公司組建一個較加專業(yè)的安全部門來阻擋黑客的攻擊和入侵！

6.7.1. 常見入侵點

Web入侵

高危服務(wù)入侵

6.7.2. 常見實現(xiàn)

6.7.2.1. 客戶端監(jiān)控

監(jiān)控敏感配置文件

常用命令ELF文件完整性監(jiān)控

ps

lsof

…

rootkit監(jiān)控

資源使用報警

內(nèi)存使用率

CPU使用率

IO使用率

網(wǎng)絡(luò)使用率

新出現(xiàn)進(jìn)程監(jiān)控

基于inotify的文件監(jiān)控

6.7.2.2. 網(wǎng)絡(luò)檢測

基于網(wǎng)絡(luò)層面的攻擊向量做檢測，如Snort等。

6.7.2.3. 日志分析

將主機系統(tǒng)安全日志/操作日志、網(wǎng)絡(luò)設(shè)備流量日志、Web應(yīng)用訪問日志、SQL應(yīng)用訪問日志等日志集中到一個統(tǒng)一的后臺，在后臺中對各類日志進(jìn)行綜合的分析。

6.8.1.4. 事件關(guān)閉

處理完事件之后，需要關(guān)閉事件，并寫出安全應(yīng)急處理分析報告，完成整個應(yīng)急過程。

6.8.2. 事件分類

病毒、木馬、蠕蟲事件

Web服務(wù)器入侵事件

第三方服務(wù)入侵事件

系統(tǒng)入侵事件

利用Windows漏洞攻擊操作系統(tǒng)

網(wǎng)絡(luò)攻擊事件

DDoS / ARP欺騙 / DNS劫持等

6.8.3. 分析方向

6.8.3.4. 配置分析

查看Linux SE等配置

查看環(huán)境變量

查看配套的注冊表信息檢索，SAM文件

內(nèi)核模塊

6.8.4. Linux應(yīng)急響應(yīng)

6.8.4.1. 文件分析

較近使用文件

find / -ctime -2

C:\Documents and Settings\Administrator\Recent

C:\Documents and Settings\Default User\Recent

%UserProfile%\Recent

系統(tǒng)日志分析

/var/log/

重點分析位置

/var/log/wtmp 登錄進(jìn)入，退出，數(shù)據(jù)交換、關(guān)機和重啟紀(jì)錄

/var/run/utmp 有關(guān)當(dāng)前登錄用戶的信息記錄

/var/log/lastlog 文件記錄用戶最后登錄的信息，可用 lastlog 命令來查看。

/var/log/secure 記錄登入系統(tǒng)存取數(shù)據(jù)的文件，例如 pop3/ssh/telnet/ftp 等都會被記錄。

/var/log/cron 與定時任務(wù)相關(guān)的日志信息

/var/log/message 系統(tǒng)啟動后的信息和錯誤日志

/var/log/apache2/access.log

apache access log

/etc/passwd 用戶列表

/etc/init.d/ 開機啟動項

/etc/cron* 定時任務(wù)

/tmp 臨時目錄

~/.ssh

6.8.4.2. 用戶分析

/etc/shadow 密碼登陸相關(guān)信息

uptime 查看用戶登陸時間

/etc/sudoers sudo用戶列表

6.8.4.3. 進(jìn)程分析

netstat -ano 查看是否打開了可疑端口

w 命令，查看用戶及其進(jìn)程

分析開機自啟程序/腳本

/etc/init.d

~/.bashrc

查看計劃或定時任務(wù)

crontab -l

netstat -an / lsof 查看進(jìn)程端口占用

6.8.5. Windows應(yīng)急響應(yīng)

6.8.5.1. 文件分析

較近使用文件

C:\Documents and Settings\Administrator\Recent

C:\Documents and Settings\Default User\Recent

%UserProfile%\Recent

系統(tǒng)日志分析

事件查看器 eventvwr.msc

6.8.5.2. 用戶分析

查看是否有新增用戶

查看服務(wù)器是否有弱口令

查看管理員對應(yīng)鍵值

lusrmgr.msc 查看賬戶變化

net user 列出當(dāng)前登錄賬戶

wmic UserAccount get 列出當(dāng)前系統(tǒng)所有賬戶

本節(jié)重點講解了滲透測試中的檢測入侵手段以及應(yīng)急響應(yīng)的處理解決方案,如果有想要較深入的了解項目上線前的滲透測試服務(wù)可以去看看專業(yè)的網(wǎng)站安全公司來處理解決,國內(nèi)做的比較專業(yè)的如Sinesafe,啟**辰,綠盟等等都是比較不錯的網(wǎng)絡(luò)安全維護公司。


青島四海通達(dá)電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護,網(wǎng)站漏洞檢測,滲透測試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 網(wǎng)站被CC攻擊該怎么處理 盡快恢復(fù)網(wǎng)站的正常訪問

  公司的官方網(wǎng)站從春節(jié)前無緣無故就出現(xiàn)連接數(shù)據(jù)庫異常的現(xiàn)象，由于以前也出現(xiàn)過，再加上沒多久逢年過節(jié)，也就沒有太在乎這個情況，僅僅試著重新啟動了網(wǎng)站數(shù)據(jù)庫。逢年過節(jié)的時候我發(fā)現(xiàn)了有一些不太對，網(wǎng)站數(shù)據(jù)庫只有一打開沒多久就宕掉。檢查服務(wù)器里的資源，發(fā)現(xiàn)服務(wù)器的內(nèi)存被占滿，CPU達(dá)到百分之100就連遠(yuǎn)程連接都越來越巨慢至較，因此開展對該網(wǎng)站被攻擊的問題解決。一開始感覺是因為Apache占有網(wǎng)絡(luò)資源，以及C

• 對js腳本網(wǎng)站 滲透測試安全檢測漏洞

  較近滲透測試工作比較多沒有空閑的時間來寫文章,今天由我們Sine安全的滲透主管來普及一下java的安全測試基礎(chǔ)，很多客戶想要了解具體js的調(diào)用漏洞或提交playload的過程以及是如何拿到較高權(quán)限和繞過登錄等等執(zhí)行命令漏洞之類的安全檢測方法。4.4.1.1. 顯式原型和隱式原型Java的原型分為顯式原型（explicit prototype property）和隱式原型（implicit prot

• 網(wǎng)站漏洞掃描常用的方法有哪些

  網(wǎng)站漏洞掃描可以使用多種方法進(jìn)行，以下是一些常用的方法：主動掃描（Active Scanning）：這是較常見的漏洞掃描方法，使用自動化工具對目標(biāo)網(wǎng)站進(jìn)行掃描和測試，以發(fā)現(xiàn)可能存在的漏洞和弱點。主動掃描可以檢測常見的漏洞類型，如SQL注入、跨站腳本攻擊（XSS）、跨站請求偽造（CSRF）等。被動掃描（Passive Scanning）：被動掃描是通過監(jiān)測網(wǎng)絡(luò)流量和應(yīng)用程序行為來發(fā)現(xiàn)潛在的漏洞。它不

• 該怎么學(xué)web滲透？

  先了解一下為什么需要滲透當(dāng)我們談?wù)摪踩珪r，我們較常聽到的詞是 漏洞。當(dāng)我**次開始做安全員時，我經(jīng)常對漏洞這個詞感到困惑，我相信你們中的許多人和我的讀者都會陷入困境。為了所有讀者的利益，我將首先澄清漏洞與筆試的區(qū)別。那么，什么是漏洞呢？漏洞是用來識別系統(tǒng)中可能受到安全威脅的缺陷的術(shù)語。漏洞掃描漏洞掃描使用戶能夠找出應(yīng)用程序中已知的弱點，并定義修復(fù)和提高應(yīng)用程序整體安全性的方法。它基本上可以確定安全