Web應用程式遭黑客入侵的五大徵兆

infoq發表於2015-11-17

  大多數針對Web應用程式的攻擊都非常隱蔽,不容易發現。從2015威瑞森資料洩漏調查報告來看,攻擊者平均可以在網路上潛伏205天不被發現。許多組織都是從其他人那裡發現安全受到了威脅。近日,InfoWorld資深編輯Fahmida Y. Rashid在一篇文章中分析了Web應用程式遭黑客入侵的五大徵兆,並提出了一些確保應用程式安全的建議。

  徵兆1:應用程式行為反常

  應用程式監控是發現可疑行為的最好方式。Fahmida提到了以下幾種異常行為:

  • 從資料庫中渲染結果頁面的時間比以前長了;
  • 應用程式在意料之外的時間展示頁面,或者將使用者重定向到不同的頁面;
  • 在沒有營銷活動的情況下,網路流量陡增。

  不過,這些指標都不能明確地說明應用程式遭到了黑客入侵。但及早調查異常行為的原因總是好過出現了問題再去調查。所以要定期同生產環境中的應用程式進行互動以達到分析正常行為的目的。這樣,一旦有異常行為就可以立即發現並展開調查。

  徵兆2:日誌資訊異常

  如果設定得當,日誌可以很好地提供攻擊資訊。Fahmida分析瞭如何從以下三類日誌中發現異常的日誌資訊:

  • 資料庫日誌:從資料庫日誌中可以查到意料之外的查詢;如果資料庫日誌中短期內出現了多個錯誤,那麼可能有人在嘗試SQL隱碼攻擊;
  • Web伺服器日誌:Web伺服器軟體會記錄出站和入站連線,並針對未經授權的訪問或惡意活動記錄警告資訊;Web伺服器通常只會發起到內部資料庫的連線,如果存在到公網IP的連線,那麼就需要檢查一下原因;Web伺服器同其它內部資源(如個人檔案共享目錄、個人電腦)通訊也可能是一個遭到入侵的線索;
  • 應用程式日誌:如果應用程式建立了管理員級別的賬戶或者其它特權賬戶,就要驗證下該賬戶是否合法;從應用程式日誌中可以查到時間或地點異常的訪問;如果與表單提交或頁面載入相關的錯誤增加,那麼有可能是頁面遭到了修改。

  徵兆3:發現了新的程式、使用者或任務

  定期監控伺服器程式,檢測伺服器何時產生了未知程式,或者已知程式在不正常的時間執行。未知程式通常是應用程式遭到入侵的重大線索。

  定期監控伺服器上使用者的建立,尤其是那些請求提升許可權的使用者。如果某個使用者不應該請求提升許可權或進行root訪問,那可能是攻擊者使用了偷來的憑證。

  定期檢查Linux伺服器上的crontab任務和Windows伺服器上的Scheduled Tasks,並與正常的條目做對比。如果出現了新的任務,那可能是應用程式行為異常的線索。

  徵兆4:檔案異常修改

  攻擊者可能會通過注入JavaScript或重寫模組嚮應用程式新增惡意程式碼。檢查檔案時間戳,確保檔案沒有在未經授權的情況下被修改。如果檔案被修改了,那麼要搞清楚,與先前的版本相比發生了什麼變化。有一些工具可以掃描應用程式查詢惡意程式碼,如Sucuri

  Web根目錄中出現新檔案也是個問題,尤其是指令碼或其它型別的可執行檔案。如果在Web根目錄或伺服器上其它地方意外發現了新檔案,那麼攻擊者可能正在利用應用程式向沒有防備的訪問者提供惡意軟體,或者通過執行指令碼將他們重定向到其它地方。

  如果應用程式使用了第三方外掛,那麼要確保它們在升級或安裝前會進行提示。

  徵兆5:收到警告資訊

  如果應用程式在積極傳播惡意軟體,那麼其它安全工具可能會發現,比如瀏覽器會有安全提示。可以定期通過其它瀏覽器訪問Web應用程式,看看是否有提示資訊。此外,還要監控社交媒體和服務檯上使用者的抱怨郵件。

  Fahmida還給出了發現問題後的處理方法。首先,備份應用程式和伺服器,用於後續調查取證。如果要從備份還原,那麼一定要確保備份中沒有惡意軟體。其次,應用程式還原完成後,修改所有的密碼,包括CMS、管理員賬戶及個人服務的密碼。必要時啟用雙重認證及設定VPN訪問。另外,刪除不必要的寫許可權,避免使用預設密碼。最後,定期升級伺服器及個人電腦的作業系統和第三方軟體。

相關文章