駭客攻防與惡意程式威脅 回到資安Q&A
Q
網站被重複入侵該怎麼處理?
請問我們公司的網站,一直重複被入侵該怎麼處理才好?
提問時間: 04/13/2011
A
值班醫師回應


許多企業在遭遇網站入侵的事件時,第一時間只想著要怎麼湮滅證據,而缺乏一套完整的事件處理程序,導致網站一再被重複入侵。要避免這種情形持續發生,企業勢必還是得建立一個完整的事件處理程序,底下是小弟提供的一些建議處理流程:

1. 清除遭入侵的頁面:為了保住企業的顏面,第一個步驟當然還是要先清除遭到入侵的頁面。畢竟外部使用者在評估一個企業是否有妥善處理資安事件時,多半也只是確認遭入侵頁面是否已經清除;所以只要先把遭入侵的頁面給清乾淨,至少可以先減輕一大部分來自外部的責難。

但請務必記得,清除受駭痕跡只是最基本的步驟,交給工讀生執行一樣可以做得很好!接下來還有很多善後的工作得做,而這些才是真正能夠展現工程師價值的工作。

2. Log分析:凡走過必留下痕跡,駭客既然跑到你家動手動腳過了,多少也會留下一些軌跡。而log的分析就是找出這些軌跡的一種簡單方式。如果log蒐集的夠完整的話,理論上應該是不難找到一些攻擊的記錄,如:從web access log可以找到攻擊者可能利用的弱點與攻擊來源。當然,在實際執行時上可能會遇到一些困難,如:

  a. 找不到可分析的log:這有可能是log被駭客給清掉,也有可能是一開始就沒做好log管理的機制。不過通常駭客清除的只是本機log,透過外部網路與資安設備的log也常可以得到一些有用的資訊。

當發現找不到可分析的log時,IT人員也可以試著反思是否有做好log管理,藉著這個機會,將log管理機制(如remote log與log保管等)給建立起來,避免同樣的問題一再發生。

  b. 不會分析log:在log收得夠完整的情形下,這個問題其實不難解決,多看幾次慢慢就會抓到要領,先從時間點、關鍵字與回應訊息等資訊進行篩選,將範圍縮小後,就會比較容易找出問題點了。當然分析的過程中難免會有些試誤(trial and error),可以把它當成是一種經驗的累積,對未來分析log會很有幫助。

3. 系統清查與安全檢測:當分析完log,並找出攻擊者可能的利用點並進行修補後,接下來該進行的就是系統的清查與安全檢測了。清查系統主要是為了確認攻擊者有沒有在系統內埋了後門或其他惡意程式,等到系統清查完畢後,建議還要做個完整的安全檢測,若資源許可的話,最好可以做個滲透測試,如果缺乏足夠資源的話,建議至少也要做個網頁程式黑箱或白箱檢測,找出網站系統上可能被利用的安全性問題並作修補,避免駭客下次換個弱點又打進來。

4. 全面清查與檢測:如果你的企業牽涉到線上金流或大量個資的話,除了前述三個步驟以外,建議還要做更多的完整檢測。根據過去處理過的一些案例,攻擊者除了入侵這些受駭主機外,也常會透過它們作為內應來規避資安設備的偵測,並持續對內部發動攻擊。所以必要時,還是會建議做個網路環境的全面清查與安全檢測。遺憾的是,要說服出錢的老闆做到這個地步,通常有很高的難度。

除了事件的處理流程外,事件的通報也是IT人員要面對的一項挑戰。
過去很多IT部門的長官習慣將資安事件停留在IT單位,儘可能地把這些事件在IT內搓掉而不往上通報。事實上這也會造成一種惡性循環,讓管理階層無從得知企業所面臨資安現狀的險峻,自然也就更不願意付出足夠的資源投入資安工作了。

回顧前述的建議處理流程,前面兩個步驟對一般IT人員來說比較沒有問題,但後面兩個步驟由於需要一些較特殊的技術能力,所以往往需要尋求外部廠商的配合,這時候就需要仰賴一些額外的資源投入,如果管理階層還耽溺於安全的假象,IT單位恐怕就只能眼睜睜看著所面對的威脅情形持續惡化下去了。

所以,還是認命一點,現在就開始建立資安事件處理程序與通報機制吧!

資安急診室醫師介紹
資安技術顧問
10年電子、電信、金融單位資安經驗,曾負責滲透測試,入口網站網路管理,金融業與電子業系統管理與資訊安全管理系統的導入與建置,專長於資訊安全攻防與資安教育訓練,並曾擔任多場大型資訊安全研討會講師
文章回應話題
發表者:Anderson 發表日期:02/15/2019
對於多次入侵,但確認外部防禦已經是安全的。可嘗試利用防火牆阻斷內到外連線(這不會造成服務中斷)。
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字