三零卫士

三零视角

钢铁企业信息系统终端信息安全浅析

　　危急关头，横刀立马唯我安全专家
——记一次真实的门户网站抢救经过
　陈锡军罗嵘

　　近一两个月来，不知何故，黑客们蠢蠢欲动，频频向各政府部门的门户网站下毒手。前线告急，公司的的安全专家当然是义不容辞，哪里有险情，哪里就有他们的身影。以前总听说他们是如何酷，如何杀敌于无形，客户是如何服气，总觉得有点言过其实。但不久前一次真实的门户网站抢救经过，让人对安全专家的应急响应服务刮目相看。

　　噩梦开始，网站出错
　　某日下午，一重要门户网站的管理员突然发现自家的网站内容无法正常显示了。俗话说，人活脸，树活皮，门户网站可是一个单位的脸面，这事可非同小可。

　　积极应战，首战告捷
　　网站管理员不敢马虎，立刻召集各路英雄，分头行动。一路人马负责查硬件设备，防火墙、服务器、交换机…上上下下查了个底朝天，没发现有任何异常。硬件没问题，那肯定是有人暗中使坏，恶意攻击网站。另一路英雄赶紧上阵，使出浑身解数，将网站的相关软件一一查了个遍，终于找到了故障原因，并成功地将网站修复了。

　　卷土重来，前线告急
　　首战告捷，大家都很开心，但心里都明白，敌人不会轻易就这么认输的，各路IT精英都不敢离开，聚在现场，密切监视攻击者的一举一动。果不其然，几个小时后，敌人再次发动了攻击，网站又无法显示。随后，敌人不定时地每隔几小时就攻击一次，搞得现场人员疲于应付，焦头烂额。我在明，敌在暗，明箭易挡，暗箭难防，老这么处于被动挨打的境地可是大大不利，一定要马上找到一种可以彻底摧毁攻击者的“核打击武器”才能一劳永逸。在场的各路英雄一时都一筹莫展，无计可施了。

　　出手相救，锁定胜局
　　好容易捱过这不眠之夜，第二天一大早，网站管理员就立刻拨打了专业从事IT服务的上海三零卫士的800热线电话求救。公司服务台接电话后，立刻联系安全专家，安全专家与管理员进行了简短的沟通，摸清基本情况后，立即整理了一些作战所需的专用安全工具，匆匆赶到了现场。
　　到达现场后，我们的安全专家与管理员交流后得知，网站无法正常显示的原因是门户网站数据库表中的一些字段被攻击者添加了非正常的内容，但是网站目录以及网站文件没有被修改。
　　安全专家首先对网站服务器进行安全分析，使用专门安全工具对网站服务器和数据库服务器进行安全检查，没有发现服务器被感染病毒，而且服务器的安全补丁已经更新到最新；在安全配置方面，服务器进行安全加固，安全策略、日志审计、服务加固、启动优化等都进行了设置，通过审计日志也没发现有异常的用户登录记录。因此，可以断定攻击者不是通过系统漏洞进行攻击。
　　在确认了服务器系统安全之后，安全专家对网站应用进行分析，发现由于此门户网站是通过后台管理页面的方式对网站进行更新，只要将后台管理的写数据库权限去掉之后，攻击者就无法对数据库进行操作。因此，安全专家初步判断，攻击者很可能是通过对有安全脚本漏洞的网页进行攻击的方式来实施进攻的。
　　为了验证应是否攻击者利用脚本漏洞进行攻击，安全专家对网站近两天的IIS日志进行了查找分析，终于发现了攻击者的蛛丝马迹。其中一条记录显示：攻击者通过pop_news.aspx文件，提交没有经过过滤的参数，进而对数据库的表进行操作。而且提交的链接返回值是200，说明提交的URL成功被执行。
　　为了进一步验证pop_news.aspx文件是否对传入的参数进行限制，导致在传入非法的存在SQL注入漏洞，安全专家随后对pop_news.aspx文件进行了检查，发现pop_news.aspx中涉及到数据库操作的函数没有参数时候攻击者可以执行自己构造的SQL语句，通过SQL语句对数据库进行非法的操作。同时，函数中还发现攻击者是对chputdate,CHContent,CHKeyWord这3个表进行了操作。
接着安全专家与网站管理员进行验证，确认就是chputdate,CHContent,CHKeyWord这3个表格被攻击者篡改了。
　　一场没有硝烟的战斗终于以正义战胜邪恶而告终。此战不但发现了门户网站的漏洞——pop_news.aspx文件没有对参数进行限制，只要修补这个漏洞，就彻底堵上了攻击者今后还想用此漏洞对数据库表进行攻击的大门，更解气的是，安全专家还找到了一直躲在暗处攻击者的IP 地址：210.74.227.134，极大地打击了敌人的士气。

　　噩梦方醒，牢记教训
　　事件处理完成后，安全专家在最短时间内向客户提交了分析报告，为了防止同类事件的发生，报告建议：
　　1.对pop_news.aspx文件中连接数据库的输入参数进行特殊字符的过滤。
　　2.为了防止其他页面文件也存在同样问题，建议开发商对有输入参数的页面进行安全检查，对输入参数进行特殊字符的过滤。

　　战后总结，分享经验
　　安全专家在在处理事件之后将处理的经验和过程录入到公司的知识库。通过此次事件处理，安全专家总结整理了关于应急网站事件处理的一些经验：
　　1.在事件发生之后，首先对网站服务器操作系统进行安全检查，如果攻击者通过操作系统漏洞进行攻击，就能够通过物理模式对网站文件和数据库进行本地操作。
　　2.要对网站的结构进行分析，通过了解网站的搭建架构（例如分析网站采用ASP、JSP、Tomcat等方式进行搭建），分析架构是否存在安全问题，攻击者是否通过架构漏洞进行攻击。
　　3.要对网站日志进行分析，目前很多情况都是通过SQL注入的方式进行，通过网站日志我们可以找出攻击者是否通过提交具有注入脚本的URL来进行攻击，同时也可以通过日志来确认攻击者的IP地址。
　　4.要对网站服务器所处的网络环境进行分析，分析服务器所在的区域是否还存在别的应用服务器，防止攻击者通过跨服务器攻击等跳板方式对网站进行攻击。

上一篇 　　　　　返回　　　　　下一篇

安全小贴士：黑客是“hacker”的中文翻译，hacker这个单词原意是指一些热衷于计算机和网络技术的人，他们崇尚自由和共享，这样的“hacker”是一个褒意词。现在有一种新的翻译特指利用黑客技术进行恶意破坏的人--骇客