网站渗透测试入侵检测和应急响应方案

时间：2020-03-17作者：青岛四海通达电子科技有限公司浏览：1169

由于时间比较紧,年底业务比较多在此很多朋友想要了解我们Sine安全对于渗透测试安全检测以及应急响应的具体操作实践过程,对于漏洞发生问题的根源和即时的处理解决修补网站漏洞的响应时间进行全面的了解和预防,使公司组建一个更加专业的安全部门来阻挡黑客的攻击和入侵！

6.7.1. 常见入侵点

Web入侵

高危服务入侵

6.7.2. 常见实现

6.7.2.1. 客户端监控

监控敏感配置文件

常用命令ELF文件完整性监控

ps

lsof

…

rootkit监控

资源使用报警

内存使用率

CPU使用率

IO使用率

网络使用率

新出现进程监控

基于inotify的文件监控

6.7.2.2. 网络检测

基于网络层面的攻击向量做检测，如Snort等。

6.7.2.3. 日志分析

将主机系统安全日志/操作日志、网络设备流量日志、Web应用访问日志、SQL应用访问日志等日志集中到一个统一的后台，在后台中对各类日志进行综合的分析。

应急响应

6.8.1. 响应流程

6.8.1.1. 事件发生

运维监控人员、客服审核人员等发现问题，向上通报

6.8.1.2. 事件确认

判断事件的严重性，评估出问题的严重等级，是否向上进行汇报等

6.8.1.3. 事件响应

各部门通力合作，处理安全问题，具体解决阶段

6.8.1.4. 事件关闭

处理完事件之后，需要关闭事件，并写出安全应急处理分析报告，完成整个应急过程。

6.8.2. 事件分类

病毒、木马、蠕虫事件

Web服务器入侵事件

第三方服务入侵事件

系统入侵事件

利用Windows漏洞攻击操作系统

网络攻击事件

DDoS / ARP欺骗 / DNS劫持等

6.8.3. 分析方向

6.8.3.1. 文件分析

基于变化的分析

日期

文件增改

较近使用文件

源码分析

检查源码改动

查杀WebShell等后门

系统日志分析

应用日志分析

分析User-Agent，e.g. awvs / burpsuite / w3af / nessus / openvas

对每种攻击进行关键字匹配，e.g. select/alert/eval

异常请求，连续的404或者500

md5sum 检查常用命令二进制文件的哈希，检查是否被植入rootkit

6.8.3.2. 进程分析

符合以下特征的进程

CPU或内存资源占用长时间过高

没有签名验证信息

没有描述信息的进程

进程的路径不合法

dump系统内存进行分析

6.8.3.3. 网络分析

防火墙配置

DNS配置

路由配置

6.8.3.4. 配置分析

查看Linux SE等配置

查看环境变量

查看配套的注册表信息检索，SAM文件

内核模块

6.8.5.2. 用户分析




查看是否有新增用户

查看服务器是否有弱口令

查看管理员对应键值

lusrmgr.msc 查看账户变化

net user 列出当前登录账户

wmic UserAccount get 列出当前系统所有账户

本节重点讲解了渗透测试中的检测入侵手段以及应急响应的处理解决方案,如果有想要更深入的了解项目上线前的渗透测试服务可以去看看专业的网站安全公司来处理解决,国内做的比较专业的如Sinesafe,启**辰,绿盟等等都是比较不错的网络安全维护公司。


青岛四海通达电子科技有限公司专注于服务器安全,网络安全公司,网站安全防护,网站漏洞检测,渗透测试,网站安全,网站漏洞扫描,网站安全检测等, 欢迎致电 13280888826

• 词条

  词条说明

• 渗透测试服务 对客户网站squid系统的漏洞检测与利用

  在对网站进行渗透测试的时候，发现很多网站都在使用squid反向代理系统，该系统存在可以执行远程代码的漏洞，很多客户找我们SINE安全做渗透测试服务的同时，我们会先对客户的网站进行信息搜集工作，包括域名，二级域名收集，网站使用的反向代理系统，网站程序开发语言，是否使用开源的代码，以及网站后台路径收集，都在前期渗透中需要做的。前段时间某一个客户网站使用的就是squid反向代理系统，客户APP，以及网站

• 服务器中病毒怎么解决

  春节假期刚过，正常上班的日子正在进入步伐，早上起来的时候发现腾讯助手发来了好几条安全告警通知，检测到几个木马文件，巧了，昨天也收到一个木马警告，作为一个网络小白的我，只是把木马文件隔离，没想到今天又中招了，其实我很懵，怎么会有人攻击我网站服务器，而且服务器上我只是部署了几个自己的站点，所以我的**反应是是不是公司里哪个大佬想用我的服务器练练手，但当我打开腾讯云的入侵检测页面时，发现事情并没有这么简

• 金融平台网站服务器安全防护7个标准方法

  从总体来说，新标准规定针对服务器端安全防护的基本建设须要更为专业化与系统化，在解决不法攻击时，可对其“行为举动开展检测，对其终端设备特性（比如，终端设备标志、硬件软件特性等）、互联网特性（比如，MAC、IP、无线网标志等）、顾客特性（比如，帐户标志、手机号等）、行为举动特性、物理具体位置等信息内容开展辨别、标识和相关性分析”，还可以与“危害性监测系统建立联动机制，即时选用禁封等安全防护对策”。在关

• 防止网站被攻击的五个网站安全经验分享

  网站安全一直以来都是各大网站运营者们比较关注的难题，一个网站平台，要是没有一种安全防护的系统环境，做得再强，也没什么价值，如果遇到被黑客攻击，损失就会非常大。因此，学好如何防范不被黑客攻击，维护好自个儿的网站，是必需的条件。那么，网站运营者如何防止黑客攻击，使网站不受损害呢？相信众多站长都要想自己的网站更加的安全稳定运行，那么接下来由Sine安全技术来为大家分享下经验心得.记得07年的时候互联网上