入侵应急响应分析教学文档

Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/70.0.3538.77+Safari/537.36

入侵应急响应分析教学文档 1. 事件概述 1.1 事件发现 通过"云悉"互联网安全监测平台发现某政府单位网站被植入恶意链接 确认时间：2018年12月6日 攻击类型：黑帽SEO攻击（植入博彩信息） 1.2 攻击手法 利用弱口令登录网站后台 修改网站SEO信息为博彩内容 清除部分操作日志 2. 系统分析 2.1 账号及用户组分析 检查点： 系统账号：Administraotrxc2018、guest234（已禁用） 管理员组：adminnistratorxc2018 隐藏用户和克隆用户：未发现异常 2.2 进程及资源分析 检查系统资源使用情况 结论：未发现高资源进程，排除挖矿程序可能性 2.3 开放端口分析 发现以下开放端口及服务： | 端口 | 服务 | 建议 | |------|------|------| | 80 | HTTP (IIS) | 业务必要 | | 135 | RPC | 建议关闭 | | 139 | Samba | 建议关闭 | | 445 | CIFS | 建议关闭 | | 1434 | SQL Server | 业务必要 | | 3389 | 远程桌面 | 业务必要 | | 5555 | 政府网防G01系统 | 业务必要 | | 5939 | TeamViewer | 评估必要性 | | 10000 | 百度云管家 | 建议关闭 | 建议 ：关闭不必要的危险端口（135、139、445、10000等） 2.4 其他系统检查 连接分析 安装软件检查 关键配置文件检查 启动项分析 结论：未发现异常 3. Web应用分析 3.1 博彩植入分析 3.1.1 常见植入方法 前端劫持 插入JS脚本进行跳转 直接修改页面内容 服务器端劫持 修改全局动态脚本文件（global.asax、global.asa、conn.asp、conn.php等） 实现全局劫持效果 DNS劫持 修改DNS指向 针对爬虫和普通访问者显示不同内容 3.1.2 本次攻击分析 攻击方式：直接修改后台SEO配置信息 检查点： 前端JS分析：未发现可疑请求 页面源码分析：未发现可疑代码 后端文件分析：GOLOBAL.ASP文件被修改 3.2 WebShell检查 使用工具： D盾 深信服Webshell查杀工具 结论：未发现Webshell 4. 日志分析 4.1 日志检查 网站后台日志：部分被清除 IIS系统日志：发现异常 4.2 时间线分析 正常日志量：12月4日、5日 异常日志量：12月6日（数据量明显增加） 4.3 攻击特征分析 请求特征： POST请求 路径：/whir_ system/module/setting/seosetting.aspx 参数：time=xxx 4.4 溯源限制 SNAT技术导致源IP被转换 无法直接溯源黑客真实IP 4.5 用户代理(UA)分析 攻击者UA： 5. 应急响应措施 5.1 立即措施 删除博彩信息 恢复网站正常配置 修改管理员密码（使用强密码） 5.2 长期改进建议 密码策略 禁用弱口令 实施强密码策略 日志管理 增加第三方日志审计平台 确保日志完整性 网络配置 关闭不必要的危险端口 评估SNAT技术的安全影响 监控措施 加强网站内容监控 设置异常修改告警 6. 分析工具清单 D盾（Webshell查杀） 深信服Webshell查杀工具 秋式日志分析工具 微软Logparser 7. 总结与经验 7.1 攻击总结 利用弱口令进入后台 修改SEO信息植入博彩内容 清除部分操作日志 未上传Webshell 未进行其他系统破坏 7.2 安全教训 弱口令是常见入侵途径 日志管理不完善影响溯源 不必要的端口开放增加风险 SNAT技术影响攻击溯源 7.3 防御建议 定期审计账号和密码强度 实施多层次日志记录和保护 最小化开放端口原则 考虑攻击溯源需求设计网络架构