網站被黑掉的經驗類似於得到了一個少的可憐的收入,至少,這是最近我從自己的一個網頁被人塗改破壞後學習到的感受。
果真,我們的調查發現被毀損的伺服器上執行著一個沒有打補丁的PHP論壇程式,駭客使用PHP exploit留下了一條短的、友好的資訊標明他曾經佔領過這個領地。雖然這是一個相對較小的事件,但它強調了有一個有準備的、明智的突發事件響應計劃是多麼的重要。
有個諺語說的很對:不到危急時刻,沒有人會看到一項策略的價值。
資訊響應(IR)計劃給出了我們的立即響應、調查分析和恢復的過程,它們就像在我們手中互相交叉的三環,為了保證其成功,我們必須做到以下幾個方面:
伺服器隔離
這是一臺相當重要的伺服器,因此我們必須保證其安裝性,並將其從網路中隔離。我們在伺服器和外部網路之間透過防火牆規則來攔截攻擊行為,然後我們就可以關閉響應的交換機埠,將伺服器隔離。一旦隔離完成,我們就可以暫停記錄發現的時間,這將發現駭客以及駭客所進行的行為,這也是為法庭分析和可能的訴訟行為提供證據的重要步驟。
駭客跟蹤
駭客沒有刪除日誌,因此我們花很短的時間就發現駭客多次使用一個固定的指令碼嘗試攻擊PHP。我們真正想知道的是駭客是否得到了root使用者的許可權,或者他使用此伺服器作為墊腳石對其它系統進行攻擊。對重要檔案的CRC校驗告訴我們,它們並沒有被更改和損壞,在記憶體中也沒有可疑的程式執行。我們檢查了論壇程式供應商的站點,的確,在攻擊發生前的一週,供應商已經發表了有關此漏洞的宣告,並且已經推出了補丁程式。這就沒有問題了��一個星期的時間對駭客來說已經足夠了。
我們震驚於在我們的IDS日誌中沒有發現PHP攻擊的證據,我們的IDS供應商告訴我們,在下一次計劃中的簽名更新之前,簽名將有大約兩星期的使用時間。也就使說,在漏洞和攻擊被發現,和IDS簽名變得可用之前,有三個星期的缺口。
響應和恢復
我們的事件響應策略是,不管事件的嚴重性如何(不留下冒險的機會),任何被破壞的機器都要重新再建。系統根據一般可接受的指南進行安全方面的設定和鞏固,我們還透過漏洞掃描器掃描機器的弱點以檢查我們的工作。當然,我們還透過攻擊軟體檢測相似的機器。
總結教訓
我們從此次事件中總結出了經驗教訓:確信你的系統管理員跟上了最新的補丁(每個月一次是不夠的),並且經常檢視日誌(一週一次也遠遠不夠)。安全管理員必須知道各臺機器都安裝了什麼軟體,以便他們能夠提防相關的漏洞和弱點。不要依靠任何唯一的IDS供應商,因為簽名對第一防禦範圍來說可能到達的太晚。考慮在面向公眾的伺服器上實施Tripwire(一個入侵檢測系統),監視重要檔案屬性的改變。
最後,保持你的突發事件響應策略的實時性,以適應當前系統的要求。讓大家知道在緊急狀態下應該做什麼,這樣才能保證補救措施的順利實行。
預防駭客十絕招
一、使用防病毒軟體並且經常將其升級更新,從而使有破壞性的程式遠離你的計算機。
二、不允許網上的商家為了便於你以後購物儲存你的信用卡資料。
三、使用由數字和字母混排而成、難以被破譯的口令密碼,並且經常更換。
四、對不同的網站和程式,要使用不同口令,以防止被駭客破譯。
五、使用最新版本的全球資訊網瀏覽器軟體、電子郵件軟體以及其他程式。
六、只向有安全保證的網站傳送信用卡號碼,留意尋找瀏覽器底部顯示的掛鎖圖示或鑰匙形圖示。
七、確認你要打交道的網站地址,留意你輸入的地址,比如不要把ana-zon.com寫成amozon.com。
八、使用有對cookie程式控制權的安全程式,cookie程式會把資訊傳送回網站。
九、如果你使用數字使用者專線或是電纜調變解調器連線英特網,那就要安裝防火牆軟體,監視資料流動。
十、不要開啟電子郵件的附件,除非你知道資訊的來源。