遇到服务器被黑,很多人会采用拔网线、封 iptables 或者关掉所有服务的方式应急,但如果是线上服务器就不能立即采用任何影响业务的手段了,需要根据服务器业务情况分类处理。
下面我们看一个标准的服务器安全应急影响应该怎么做,也算是小蚁网络从事安全事件应急多年以来的一些经验之谈,
将服务器安全应急响应流程分为如下 8 个环节:
现安全事件
现场保护
服务器保护
影响范围评估
在线分析
数据备份
深入分析
事件报告整理
接下来我们将每个环节分解,看看需要如何断开异常连接、排查入侵源头、避免二次入侵等。
核实信息(运维/安全人员)
根据安全事件通知源的不同,分为两种:
外界通知:和报告人核实信息,确认服务器/系统是否被入侵。现在很多企业有自己的 SRC(安全响应中心),在此之前更多的是依赖某云。这种情况入侵的核实一般是安全工程师完成。
自行发现:根据服务器的异常或故障判断,比如对外发送大规模流量或者系统负载异常高等,这种情况一般是运维工程师发现并核实的。
现场保护(运维)
我们很多人看过大陆的电视剧《重案六组》,每次接到刑事案件,刑警们第一时间就是封锁现场、保存现场原状。
同样道理,安全事件发生现场,跟刑事案件发生现场一样,需要保存第一现场重要信息,方便后面入侵检测和取证。
保存现场环境
相关信息采集命令如下:
进程信息:ps axu
网络信息:netstat –a
网络+进程:lsof / netstat -p
攻击者登陆情况(截图)
湖南小蚁安盾网络技术有限公司(简称“小蚁网络”)成立于2014年,公司总部位于杭州,旗下在长沙、上海、重庆、深圳、北京等多个独立运营公司,已服务超过12万家客户,员工总数近300名,业务遍及全国26个省市。是一家致力于为企业提供APP定制,小程序开发,网站定制,网络安全服务商。公司花重金打造WAF防护、漏洞扫描、入侵检测、网络安全态势感知、立体防御、小蚁游戏盾、高防IP、高防CDN等产品。为企业提供专业的全方位信息化综合解决方案。客户群主要包括网络游戏、视频网站、电子商务平台、互联网门户、政府及企业网站、金融、区块链等帮助企业获得最新最快最全面的互联网信息和保障用户互联网数据的安全和稳定。我们秉承"客户第一、诚信创新"的经营理念相关信息采集命令如下:
查看当前登录用户:w 或 who -a
服务器保护(运维/机房)
这里的现场保护和服务器保护是两个不同的环节,前者注重取证,后者注重环境隔离。
核实机器被入侵后,应当尽快将机器保护起来,避免被二次入侵或者当成跳板扩大攻击面。
此时,为保护服务器和业务,避免服务器被攻击者继续利用,应尽快迁移业务,立即下线机器。
如果不能立即处理,应当通过配置网络 ACL 等方式,封掉该服务器对网络的双向连接。
影响范围评估(运维/开发)
一般是运维或者程序确认影响范围,需要运维通过日志或者监控图表确认数据库或者敏感文件是否泄露,如果是代码或者数据
湖南小蚁安盾网络技术有限公司(简称“小蚁网络”)成立于2014年,公司总部位于杭州,旗下在长沙、上海、重庆、深圳、北京等多个独立运营公司,已服务超过12万家客户,员工总数近300名,业务遍及全国26个省市。是一家致力于为企业提供APP定制,小程序开发,网站定制,网络安全服务商。公司花重金打造WAF防护、漏洞扫描、入侵检测、网络安全态势感知、立体防御、小蚁游戏盾、高防IP、高防CDN等产品。为企业提供专业的全方位信息化综合解决方案。客户群主要包括网络游戏、视频网站、电子商务平台、互联网门户、政府及企业网站、金融、区块链等帮助企业获得最新最快最全面的互联网信息和保障用户互联网数据的安全和稳定。我们秉承"客户第一、诚信创新"的经营理念。
QQ:2945119016 微信 xyDDoS09
旗下小蚁云安全品牌专业为客户提供DDoS流量监控、WAF防护、漏洞扫描、入侵检测、网络安全态势感知、主机加固、等保整改建设等安全业务服务。接入简单、秒级生效。为政府、金融、高校、医疗、支付、游戏、直播等各行业客户保驾护航。 www.bgpddos.com 全国服务热线:400-901-5608