0.2　應急響應場景二

0.2.1　事件描述

某市公安局網(wǎng)監(jiān)支隊通過其部署的全市網(wǎng)站監(jiān)測系統(tǒng)，發(fā)現(xiàn)該市A單位門戶網(wǎng)站被黑客篡改，采用電話及郵件方式通知B安全公司進行應急處理。B安全公司接到通知后，立即安排工作人員與A單位進行溝通。

人員角色如下。

A單位網(wǎng)絡安全負責人：張主任。

B安全公司項目經理：李經理，負責整個事件的處理及后續(xù)的項目跟進。

B安全公司安全工程師：王工，負責排查后門及漏洞。

0.2.2　電話溝通

李經理：您好，請問是A單位張主任嗎？

張主任：是的，你是哪位？

李經理：我是B安全公司的項目負責人，我們接到市公安局通知，貴單位的網(wǎng)站被入侵了，讓我們過去協(xié)助處理一下。

張主任：你能說說具體情況嗎？

李經理：您打開門戶網(wǎng)站就會看到網(wǎng)站頁面顯示已被黑客篡改了。

張主任：嗯，我已經確認了，我們應該怎么辦呢？

李經理：張主任，我們通過網(wǎng)站監(jiān)測平臺已經對本次攻擊事件進行了簡單的溯源，黑客很可能是通過SQL注入漏洞對網(wǎng)站進行了攻擊，同時上傳了Webshell后門，具體情況還需要到現(xiàn)場確認一下。

張主任：好的，你們什么時間過來？

李經理：30分鐘內到達。

張主任：好的，見面再詳細溝通。

李經理：嗯，我們馬上出發(fā)，請問貴單位的地址是北京路101號嗎？

張主任：是的，你來了后可以直接上2樓，我的辦公室在211。

李經理：好的，張主任再見。

張主任：再見。

0.2.3　現(xiàn)場溝通

李經理：張主任您好，我是B安全公司李經理，這位是我的同事王工，本次事件由我們兩位來協(xié)助處理。

張主任：李經理、王工，你們好，非常感謝你們過來幫助我們處理這次事件。你能把這次事件的情況詳細說明一下嗎？

李經理：好的，今天我們接到市公安局網(wǎng)監(jiān)支隊的通知，貴單位的網(wǎng)站被篡改了。通過網(wǎng)站監(jiān)測平臺顯示，網(wǎng)站存在SQL注入等漏洞。攻擊者通過此類漏洞入侵了網(wǎng)站，并進一步控制了網(wǎng)站服務器。具體情況還需要登錄服務器進行詳細排查。

張主任：很好，那接下來怎么處理？需要我們怎么配合呢？

李經理：先要登錄服務器進行排查，需要操作系統(tǒng)的用戶名和密碼，以及服務器的其他信息，如網(wǎng)站的存放路徑、相關日志的存放路徑等。同時，還希望張主任能幫我們填寫授權書，在未授權的情況下，我們是不能直接操作服務器的。

張主任：好的，這些信息馬上提供給你。請問這次處理有什么風險嗎？

李經理：任何的操作都可能存在風險，但此次處理基本上不會存在大的風險。因為我們主要是進行一些排查工作，通過掃描服務器的惡意文件、查看服務器的進程、分析日志文件等操作進行溯源分析。如果我們要執(zhí)行一些危險命令會跟您這邊確認。過程中的所有操作都會保留記錄，確保無風險。

張主任：嗯，可以，那抓緊時間處理吧。

0.2.4　技術排查

技術排查過程包括Webshell檢測，排查操作系統(tǒng)關鍵內容，排查進程、網(wǎng)絡連接及木馬，分析操作系統(tǒng)日志，分析Web日志、安全設備日志……溯源追蹤。

0.2.5　工作匯報

李經理：張主任，本次事件已經處理完畢，下面我就本次事件做個簡單的匯報。

張主任：好的。

李經理：經過日志分析，本次事件主要是由SQL注入漏洞和Struts2命令執(zhí)行漏洞引起的，攻擊者通過漏洞上傳了5個Webshell，并對網(wǎng)站多個頁面進行了篡改。目前已對Webshell進行了清除，篡改的頁面也都恢復了，但網(wǎng)站存在的漏洞還需要您這邊來進一步處理。

張主任：怎樣修復你說的這些漏洞呢？

李經理：關于漏洞的修復建議，我們會寫一個詳細的報告來協(xié)助處理，既可以通過代碼層面修復，升級框架，也可以通過現(xiàn)有的安全設備來阻止攻擊者的入侵。如果是代碼級修復則需要網(wǎng)站開發(fā)商來一起參與，同時在安全設備上再配置阻斷策略。

張主任：明白了，如果讓開發(fā)商來修復，以后就不會再出現(xiàn)安全問題了嗎？

李經理：也不一定，很多黑客手里都有0day漏洞，如Struts2框架，每隔一段時間就會爆出新的漏洞。

張主任：那以后應該怎么做才能讓網(wǎng)絡更安全？

李經理：網(wǎng)絡安全不是一蹴而就的事情，建議分別從技術層面和管理層面兩個方面入手。技術層面可以通過定期的安全檢查、風險評估，發(fā)現(xiàn)當前網(wǎng)絡中的安全隱患，同時配備一定數(shù)量的安全設備來加強網(wǎng)絡的安全。管理層面可以制定相關的安全管理制度、工作流程及操作規(guī)范等，我們可以給出一份整體的安全解決方案。

張主任：好的，多謝。

李經理：我們還需要簡單了解下貴單位當前的安全建設情況，如網(wǎng)絡拓撲、管理制度、當前部署的安全設備，以及做過的安全服務。

張主任：嗯，我會安排人員跟你配合。

李經理：好的，再問一下，貴單位在網(wǎng)絡安全方面的預算大約是多少？我們需要基于該預算出具一份詳細的解決方案。

張主任：今年的預算還沒有做，你可以先大體出具一個方案，再進行討論。

李經理：好的，我回去后會立即整理，兩天后發(fā)給您。

張主任：好的，感謝。