本文目录一览:
- 1、入侵网站,拿站,数据库,违法到什么程度,被抓到会被判几年有期徒刑?
- 2、好大夫网站的数据怎么爬
- 3、被黑客入侵,网站数据被篡改了,怎么办
- 4、三名大学生窃取医生信息30万条受到了什么惩罚?
- 5、怎样入侵进入一个网站后台的数据库!入侵!
- 6、服务器被入侵,网站根目录被注入.ASP、.TXT文件,如何找到漏洞?
入侵网站,拿站,数据库,违法到什么程度,被抓到会被判几年有期徒刑?
看情节严重,如果你弄的是一个人的小网站 啥事没有,如果你黑了一个大网站,每天给人家照成了几千的损失,那估计会判半年,如果照成了大额的 最少几年, 拿到shell 是你的能耐 但是别改人家的东西 否则可能会很严重,以前有个人 盗了个 Q 判了半年
好大夫网站的数据怎么爬
首先来看下好大夫这个站给人第一印象如何:
1,用网站测速软件测试了下,无论电信还是网通,速度都相当的不错,截图看下,最长1.59秒,最短0.28秒左右平均0.74秒,记得国平老师在网速是如何影响SEO效果的文章里详细说明了这个速度对搜索引擎对用户是何等的重要,此为第一关。应该说做的很不错。
再来用Pagespeed分析下,得分82分,,在部分排版图片方面和图片压缩方面可以继续提高下。用pagespeed所提醒的处理方法就可以解决这里所显示的问题,对提高页面打开速度很有好处。
从haodf.com返回的头部代码里我们实际上可以看到一些不曾注意的信息
这个头文件里有一条是:X-Cache: HIT cache22.haodf.com,还有两条信息是X-Proxy: 22
从地址cache22.haodf.com我们可以发现,这是缓存地址,也就是说,打开首页如此之快是缓存在起作用,应该是负载平衡
系统在起作用,负载相对小的提供了本次访问所需要的数据。
实际上通过ping chache22.haodf.com和所得到的IP地址不同就可以说明一些问题:
这个IP地址段通过查询是北京电信通所提供的。
这里的X-Cache: HIT cache22.haodf.com是缓存技术无疑,具体如何的细节了解可以去搜索下,相关技术文章解释的挺清楚。
2,再来看下域名haodf.com的相关信息:
Created: 2004-08-07 00:00:00
Expires: 2018-08-07 12:08:16
Last Modified: 2008-09-02 19:45:11
04年注册,08年续费时一次性续费十年,老域名。
3,再来看看自从域名注册了之后,此站是否一直是做医疗类的内容呢?看历史记录数据来回答你心中的疑问:
各位可以去infomall.cn里查询下看此站的历史界面,可以发现,虽然04年注册,但是直到06年左右才开始做医疗类的信息的,之前做的都是网址大全
点开05-5-14的样子看下
,
名字和内容是地地道道的网址大全,在后来的06-11-12日的样子已经是医疗方面的信息了,
具体哪个时间开始做的也许只有当事人了解了。
看完了其历史和整体信息,下面来分析下网站
首先是首页。
首页里一些明显优化的因素都不存在,首页没有任何H1 H2 H3标签,首页没有nofollow,全部链接都是有效链接没有用JS隐藏,连最下面链到备案地址的链接也是如此。
网站title description keywords(可有可无)的数据分别是:
最重要的标题部分是:好大夫在线_中国最大的医疗网站
结构是 品牌_行业解释
这里的title没有堆砌任何关键字,比如疾病名称、比如药物名称、比如医院名称等,就是说明自己的品牌:好大夫在线,及好大夫在线是中国最大的医疗网站
关键字部分可有可无,加了可以增加品牌关键字密度
描述部分是详细说明网站所提供的服务。这里对品牌的强调有点可以学习的是:前面出现的是#8220;好大夫在线,中国最大的医疗网站。#8221;紧接着出现的是#8220;好大夫提供...#8221;,将好大夫在线和好大夫分别强调一下,以增强品牌。
这里的首页部分安排实际上对大站来说是最合理的,因为首页只需要解决用户慕名而来也就是直接搜索好大夫或者好大夫在线即可,那么多的疾病名称医院名称什么的可以直接交给数量庞大的内页来完成,从而很好的把权重内移,共同取得排名和流量。
复制代码
接着来分析下整个首页的HTML代码传达了怎么样的优化手法:
一些可能影响网站打开速度的都用其他的方法来规避了:1,就是外部CSS文件、JS文件和排版图片可以充分保证主站打开时HTML代码可以出来,外部CSS也同时被用户自己的浏览器调用来加速页面打开速度。
同时,我们PING 下看hdfimg.com域名
可以发现,其IP地址和主站及缓存类的是在一个IP地址段,也就是都在219.238.150这个段IP地址里,应该是同一个机房另一台机器专门在处理CSS、JS和排版图片。
分工明确的几台服务器同时处理用户的需求加速了网站打开的时间,不错!
(也考虑过是一台大服务器捆绑了多个IP地址,不过想来这么大的站应该会分工非常明确,将大问题化为很多小的问题来逐个优化达到总体效果最佳,也便于故障时进行排查)
除了CSS、JS、排版图片是单独用hdfimg.com域名来提供数据,另一个图片出现的情况就是新闻文章或者产品或者介绍等等正文里出现,那么这种图片haodf是如何处理的呢?
通过查看源代码,直接发现了另一个域名:n1.haodf.com,是存放的医生的头像。
从以上这两个域名hdfimg.com和n1.haodf.com的分析可以看出,好大夫在影响网站打开速度方面的处理真是细致入微,将可能的外在因素全部解决,值得学习!
复制代码
再仔细检查每个链接,可以发现,很多内容性的东西,全部采用二级域名来跑。
比如某个医生的访问地址是drsunkun.haodf.com,其中drsunkun是医生注册的用户名。
某个地区的访问地址比如江苏:jiangsu.haodf.com,其他省区的类似,均才用二级域名的形式来跑。
而疾病名称、医院名称、咨询信息、专家文章、看病经历、感谢信都没有使用二级域名,而是直接以二级目录名/页面名.htm
这里二级目录名总共有这几个:hospital表示医院,faculty表示医院科室,jibing表示全部疾病,zhuanjiaguandian是专家文章观点,wenda是咨询问答,doctor是看病经验和感谢信,info是联系信息及自我介绍。
页面名中医院的名称是随机生成的名字,疾病那里是疾病的拼音,问答那里是医生拼音_随机数字,这里的页面名除了疾病名称可能有人搜索拼音之外医生名医院名和问答没有规律可言对整体没有影响。
疾病名称用拼音搜索时百度也会提醒你是搜索的可能是什么中文内容,比如搜索buyunbuyu,百度就知道你搜索的是不孕不育,所以目录里的拼音对优化的作用可以不必太过考虑,但对用户的友好度还是不错的,看拼音总比看一堆乱七八糟的随机字母数据要舒服的多。
复制代码
三级目录有:汇总了各种疾病所对应不同医院的医生,省区医院列表更多
使用二级域名的总共有:省区所包含医院、网上咨询、预约、医生注册帐号、权威专家观点专题、400咨询、帮助等等
没有完全全部罗列出来,仅以目前以上的数据来分析下,为什么这么安排。
为什么一些数据使用二级域名一些数据还是在主域名下用二级目录来存放,原因应该就是跟流量有关。
为此,我们通过实际数据来说明下放目录下的流量和放二级目录下的流量对比。
拿出火车头采集爱站里前50页总计1250条记录,可以发现
二级域名无论在排名还是流量搜索量方面都比根目录下的要少的多的多
复制代码
附件是采集的爱站显示出来的好大夫网址:
为何好大夫站要如此安排链接?说到底肯定是为了权重为了排名为了流量
我们来看下二级域名的页面里都发生了些什么:
先拿罗列了全部江苏的医院的二级域名jiangsu.haodf.com来看他的页面里都发生了些什么事情。
这个页面里除了Head部分跟网站首页一样,之外,里面都有哪些链接类型和内容呢?
1,全江苏省各个市县的医院,里面链接的目的地由医院、问答、医院科室、医生链接(二级域名)、医生评价、咨询(二级域名)、全国地区导航(二级域名),而医院、问答类所占篇幅是最大的。
2,再看数量巨大的医生的二级域名页面都含有什么样的数据:专家观点的文章二级目录类的、问答咨询也是二级目录类的、医生主治的疾病名称链接还是二级目录类的
3,再看下400.haodf.com咨询类的页面,链接主要是去此医生二级域名页下的咨询页,那么进入此二级域名页下的咨询页查看,可以看到,这里的链 接主要类型是:其他医生二级域名页、医生自己的二级域名页、问答咨询页二级目录类、相关专题文章二级域名类以及此疾病相关的推荐医院二级目录类的。
看完网站链接结构,我们来看下内容以及外链部分。
搜索一个竞争压力山大的词#8220;整形#8221;,在百度里排第一,链接地址是,我们来看下这个词的页面内容。首先看下H1 H2,这里好大夫竟然使用了3个H1,大站里第一次见过同时使用3个H1的,截图如下
三个H1的标签写法是:
h1整形专家观点/h1
h1相关疾病-span title="整形"整形/span/h1
h1最近在线大夫-span title="整形"整形/span/h1
H2部分写法是:
h2 a href="" title="整形首页"整形/a span class="4afb-3a5a-8a82-abee font16" style="color:#000;"/span/h2
H1部分强调整形,同时使用小技巧span的title标签来加强关键字,提升关键字密度和频率。
复制代码
整个页面里#8220;整形#8221;这个词出现的非常频率非常之高,同时分布也很平均,从左到右从上到下,不断的进行重复和强调。
复制代码
标题里出现两次,正文部分出现88次,描述里出现1次。那么再分析下此页的外链情况:122929,12万多的链,除去站内的再算下看:1218
12万多的链接全部是来自内部!而剩余的1218纯外部链接中,有80%以上都是别的站的文章页,也就是通过转载好大夫的文章而自然产生外链,转载的站大部分都是跟医疗整形有关的,多么高质量的相关站链接,指向的目标页面又是惊心优化的,想没有好的排名也难啊!
复制代码
分析好大夫站发现,通常建议的1个H1 多个H2 H3 H4的规律在这里并不适用,好大夫的一些排名靠前的页面里,使用H1跟使用H2 H3一样,同时使用就是几个,如图医院介绍主页
四个H1当作H2来使用。
被黑客入侵,网站数据被篡改了,怎么办
网站数据被篡改了首先检查下程序目录有无可疑脚本木马,再看下图片目录有无脚本文件如php asp后缀的,在看下有无被sql注入 一般都是通过sql注入进行的篡改数据,很多网站都是因为安全没做到位导致被入侵 导致数据被篡改 可疑找Sinesafe做安全处理进行漏洞修补以及代码审计。
三名大学生窃取医生信息30万条受到了什么惩罚?
近日,媒体报道,三名90后高校毕业生获侵犯公民个人信息罪取医生信息30余万条 。听到判决结果后,坐在被告席上的卢某、黄某、温某追悔莫及。他们因侵犯公民个人信息,分别被判处有期徒刑二年至二年五个月不等,其中黄某、温某被宣告缓刑。
事情经过:
令人痛惜的是,三人均是90后大学生,其中卢某拥有本科学历。如果没有那场聚会,他们本该拥有灿烂前程。“就是聚餐聊天的时候,我问武某有没有人群可以介绍给我,他说有。”卢某在庭上供称。
2016年8月,他和黄某一起成立了某投资公司主营贷款业务,帮需要贷款的客户寻找合适的银行或金融公司。“就是贷款中介”,卢某称,“所以说客户资料对我公司来说是非常重要的,我们会想办法获取客户的资料。”
2016年9月21日,卢某找上了任某企业管理咨询(上海)有限公司广州分公司移动医疗顾问的武某。“我跟卢某是旧同事,感情挺好的。他说他当时业务不好,问我能不能给他(医生)信息。他问过几次,第一次我没有同意,因为公司有保密规定。但因为我们毕业不久,感觉工作也不容易,就出于朋友的情面给他了。”武某说道。他拥有公司某应用系统的工作权限,通过其手机二维码可进入系统,内有大量医生信息。
卢某从武某处取得上述权限后,黄某找来“计算机技术很好”的大学舍友温某,卢某指使温某利用该权限通过计算机技术进入应用系统后台,盗取系统内的医生信息。为快速大量获取医生信息,温某写了一个自动爬取网站数据的程序,建了数据库,并租了某云服务器租赁商的一台服务器,将爬取的医生信息放到服务器上。
截至2016年10月11日,被告人卢某、温某等人共窃取系统内的信息共计352962条。一条完整的医生信息包括姓名、手机号码、医院名称、职务及属地等。所幸的是,被抓获时,温某尚未把爬取到的医生信息交给卢某。“我没有把信息交给卢某,只是放到服务器上,没有下载到本地。这个服务器只是承租一个月,如果不续费,就被销毁了。后来要续费的时候,我们都已经在看守所了。”温某供称道。
广州市越秀区人民检察院指控卢某、黄某、温某、武某构成侵犯公民个人信息罪,将其四人起诉至我院。在案件审理过程中,公诉机关撤回对武某的起诉。我院经审理认为,卢某、黄某作为某公司直接负责的主管人员,非法获取公民个人信息,情节特别严重;温某帮助他人非法获取公民个人信息,情节特别严重;其行为均构成侵犯公民个人信息罪。考虑到卢某、黄某有自首情节,温某属从犯,且卢某等人尚未实际使用窃取的公民个人信息,信息已销毁,未造成更大的社会危害,故对卢某、黄某、温某从轻处罚。
怎样入侵进入一个网站后台的数据库!入侵!
网站的后台一般是不能进入数据库的,(当然不排除有这种可能)
一般的网站都有自己的域名,有域名就有数据库,可以直接访问(就像网站一样,输入网址,然后就会有登陆框),如果是本地的话,安装好服务器和数据库,也可以直接用地址访问
服务器被入侵,网站根目录被注入.ASP、.TXT文件,如何找到漏洞?
首先建议你使用360主机卫士、安全狗对服务器进行扫描排查。
1.应当采用的处理方式
(1)、建立被入侵系统当前完整系统快照,或只保存被修改部分的快照,以便事后分析和留作证据。
(2)、立即通过备份恢复被修改的网页。
(3)、在Windows系统下,通过网络监控软件或"netstat -an"命令来查看系统目前的网络连接情况,如果发现不正常的网络连接,应当立即断开与它的连接。然后通过查看系统进程、服务和分析系统和服务的日志文件,来检查系统攻击者在系统中还做了什么样的操作,以便做相应的恢复。
(4)、通过分析系统日志文件,或者通过弱点检测工具来了解攻击者入侵系统所利用的漏洞。如果攻击者是利用系统或网络应用程序的漏洞来入侵系统的,那么,就应当寻找相应的系统或应用程序漏洞补丁来修补它,如果目前还没有这些漏洞的相关补丁,我们就应当使用其它的手段来暂时防范再次利用这些漏洞的入侵活动。如果攻击者是利用其它方式,例如社会工程方式入侵系统的,而检查系统中不存在新的漏洞,那么就可以不必做这一个步骤,而必需对社会工程攻击实施的对象进行了解和培训。
(5)、修复系统或应用程序漏洞后,还应当添加相应的防火墙规则来防止此类事件的再次发生,如果安装有IDS/IPS和杀毒软件,还应当升级它们的特征库。
(6)、最后,使用系统或相应的应用程序检测软件对系统或服务进行一次彻底的弱点检测,在检测之前要确保其检测特征库是最新的。所有工作完成后,还应当在后续的一段时间内,安排专人对此系统进行实时监控,以确信系统已经不会再次被此类入侵事件攻击。
如果攻击者攻击系统是为了控制系统成为肉鸡,那么,他们为了能够长期控制系统,就会在系统中安装相应的后门程序。同时,为了防止被系统用户或管理员发现,攻击者就会千方百计地隐藏他在系统中的操作痕迹,以及隐藏他所安装的后门。
因而,我们只能通过查看系统进程、网络连接状况和端口使用情况来了解系统是否已经被攻击者控制,如果确定系统已经成为了攻击者的肉鸡,那么就应当按下列方式来进行入侵恢复:
(1)、立即分析系统被入侵的具体时间,目前造成的影响范围和严重程度,然后将被入侵系统建立一个快照,保存当前受损状况,以更事后分析和留作证据。
(2)、使用网络连接监控软件或端口监视软件检测系统当前已经建立的网络连接和端口使用情况,如果发现存在非法的网络连接,就立即将它们全部断开,并在防火墙中添加对此IP或端口的禁用规则。
(3)、通过Windows任务管理器,来检查是否有非法的进程或服务在运行,并且立即结束找到的所有非法进程。但是,一些通过特殊处理的后门进程是不会出现在 Windows任务管理器中,此时,我们就可以通过使用Icesword这样的工具软件来找到这些隐藏的进程、服务和加载的内核模块,然后将它们全部结束任务。
可是,有时我们并不能通过这些方式终止某些后门程序的进程,那么,我们就只能暂停业务,转到安全模式下进行操作。如果在安全模式下还不能结束掉这些后门进程的运行,就只能对业务数据做备份后,恢复系统到某个安全的时间段,再恢复业务数据。
这样,就会造成业务中断事件,因此,在处理时速度应当尽量快,以减少由于业务中断造成的影响和损失。有时,我们还应当检测系统服务中是否存在非法注册的后门服务,这可以通过打开"控制面板"-"管理工具"中的"服务"来检查,将找到的非法服务全部禁用。
(4)、在寻找后门进程和服务时,应当将找到的进程和服务名称全部记录下来,然后在系统注册表和系统分区中搜索这些文件,将找到的与此后门相关的所有数据全部删除。还应将"开始菜单"-"所有程序"-"启动"菜单项中的内容全部删除。
(5)、分析系统日志,了解攻击者是通过什么途径入侵系统的,以及他在系统中做了什么样的操作。然后将攻击者在系统中所做的所有修改全部更正过来,如果他是利用系统或应用程序漏洞入侵系统的,就应当找到相应的漏洞补丁来修复这个漏洞。
如果目前没有这个漏洞的相关补丁,就应当使用其它安全手段,例如通过防火墙来阻止某些IP地址的网络连接的方式,来暂时防范通过这些漏洞的入侵攻击,并且要不断关注这个漏洞的最新状态,出现相关修复补丁后就应当立即修改。给系统和应用程序打补丁,我们可以通过相应的软件来自动化进行。
(6)、在完成系统修复工作后,还应当使用弱点检测工具来对系统和应用程序进行一次全面的弱点检测,以确保没有已经的系统或应用程序弱点出现。我们还应用使用手动的方式检查系统中是否添加了新的用户帐户,以及被攻击做修改了相应的安装设置,例如修改了防火墙过滤规则,IDS/IPS的检测灵敏度,启用被攻击者禁用了的服务和安全软件。
2.进一步保证入侵恢复的成果
(1)、修改系统管理员或其它用户帐户的名称和登录密码;
(2)、修改数据库或其它应用程序的管理员和用户账户名称和登录密码;
(3)、检查防火墙规则;
(4)、如果系统中安装有杀毒软件和IDS/IPS,分别更新它们的病毒库和攻击特征库;
(5)、重新设置用户权限;
(6)、重新设置文件的访问控制规则;
(7)、重新设置数据库的访问控制规则;
(8)、修改系统中与网络操作相关的所有帐户的名称和登录密码等。
当我们完成上述所示的所有系统恢复和修补任务后,我们就可以对系统和服务进行一次完全备份,并且将新的完全备份与旧的完全备份分开保存。
在这里要注意的是:对于以控制系统为目的的入侵活动,攻击者会想方设法来隐藏自己不被用户发现。他们除了通过修改或删除系统和防火墙等产生的与他操作相关的日志文件外,高明的黑客还会通过一些软件来修改其所创建、修改文件的基本属性信息,这些基本属性包括文件的最后访问时间,修改时间等,以防止用户通过查看文件属性来了解系统已经被入侵。因此,在检测系统文件是否被修改时,应当使用RootKit Revealer等软件来进行文件完整性检测。二、 以得到或损坏系统中机密数据为目的的系统入侵恢复
现在,企业IT资源中什么最值钱,当然是存在于这些设备当中的各种机密数据了。目前,大部分攻击者都是以获取企业中机密数据为目的而进行的相应系统入侵活动,以便能够通过出售这些盗取的机密数据来获取非法利益。
如果企业的机密数据是以文件的方式直接保存在系统中某个分区的文件夹当中,而且这些文件夹又没有通过加密或其它安全手段进行保护,那么,攻击者入侵系统后,就可以轻松地得到这些机密数据。但是,目前中小企业中有相当一部分的企业还在使用这种没有安全防范的文件保存方式,这样就给攻击者提供大在的方便。
不过,目前还是有绝大部分的中小企业都是将数据保存到了专门的存储设备上,而且,这些用来专门保存机密数据的存储设备,一般还使用硬件防火墙来进行进一步的安全防范。因此,当攻击者入侵系统后,如果想得到这些存储设备中的机密数据,就必需对这些设备做进一步的入侵攻击,或者利用网络嗅探器来得到在内部局域网中传输的机密数据。
机密数据对于一些中小企业来说,可以说是一种生命,例如客户档案,生产计划,新产品研究档案,新产品图库,这些数据要是泄漏给了竞争对象,那么,就有可能造成被入侵企业的破产。对于抢救以得到、破坏系统中机密数据为目的的系统入侵活动,要想最大限度地降低入侵带来的数据损失,最好的方法就是在数据库还没有被攻破之前就阻止入侵事件的进一步发展。
试想像一下,如果当我们发现系统已经被入侵之时,所有的机密数据已经完全泄漏或删除,那么,就算我们通过备份恢复了这些被删除的数据,但是,由于机密数据泄漏造成的损失依然没有减少。因此,我们必需及时发现这种方式的系统入侵事件,只有在攻击者还没有得到或删除机密数据之前,我们的恢复工作才显得有意义。
当然,无论有没能损失机密数据,系统被入侵后,恢复工作还是要做的。对于以得到或破坏机密数据为目的的系统入侵活动,我们仍然可以按此种入侵活动进行到了哪个阶段,再将此种类型的入侵活动细分为还没有得到或破坏机密数据的入侵活动和已经得到或破坏了机密数据的入侵活动主两种类型。
1、恢复还没有得到或破坏机密数据的被入侵系统
假设我们发现系统已经被入侵,并且通过分析系统日志,或者通过直接观察攻击者对数据库进行的后续入侵活动,已经了解到机密数据还没有被攻击者窃取,只是进入了系统而已,那么,我们就可以按下列方式来应对这样的入侵活动:如果企业规定在处理这样的系统入侵事件时,不允许系统停机,那么就应当按这种方式来处理:
(1)、立即找到与攻击源的网络连接并断开,然后通过添加防火墙规则来阻止。通常,当我们一开始就立即断开与攻击源的网络连接,攻击者就会立即察觉到,并由此迅速消失,以防止自己被反向追踪。因而,如果我们想抓到攻击者,让他受到法律的惩罚,在知道目前攻击者进行的入侵攻击不会对数据库中的机密数据造成影响的前提下,我们就可以先对系统当前状态做一个快照,用来做事后分析和证据,然后使用IP追捕软件来反向追踪攻击者,找到后再断开与他的网络连接。
不过,我们要注意的是,进行反向追踪会对正常的系统业务造成一定的影响,同时,如果被黑客发现,他们有时会做最后一搏,会破坏系统后逃避,因而在追捕的同时要注意安全防范。只是,大部分的企业都是以尽快恢复系统正常运行,减少入侵损失为主要目的,因此,立即断开与攻击源的网络连接是最好的处理方式。
(2)、对被入侵系统的当前状态建立快照,以便事后分析和留作证据。
(3)、通过分析日志文件和弱点检测工具找到攻击者入侵系统的漏洞,然后了解这些系统漏洞是如何得到的。如果漏洞是攻击者自己分析得到的,那么就可能还没有相应的漏洞修复补丁,因而必需通过其它手段来暂时防范再次利用此漏洞入侵系统事件的发生;如果漏洞是攻击者通过互联网得到的,而且漏洞已经出现了相当一段时间,那么就可能存在相应的漏洞修复补丁,此时,就可以到系统供应商建立的服务网站下载这些漏洞补丁修复系统;如果攻击者是通过社会工程方式得到的漏洞,我们就应当对当事人和所有员工进行培训,以减少被再次利用的机率。
(4)、修改数据库管理员帐号名称和登录密码,重新为操作数据的用户建立新的帐户和密码,并且修改数据库的访问规则。至于剩下的系统恢复工作,可以按恢复以控制系统为目的的系统入侵恢复方式来进行。
2、恢复已经得到或删除了机密数据的被入侵系统
如果当我们发现系统已经被入侵时,攻击者已经得到或删除了系统中全部或部分的机密数据,那么,现在要做的不是试图抢救已经损失了的数据,而是保护没有影响到的数据。由于此类系统入侵事件已经属于特别严重的入侵事件,我们的第一个动作,就是尽快断开与攻击源的网络连接。
如果允许系统停机处理这类严重系统入侵事件,那么就可以直接拔掉网线的方式断开被入侵系统与网络的直接连接。当系统仍然不允许停机处理时,就应当通过网络连接监控软件来找到系统与攻击源的网络连接,然后断开,并在防火墙中添加相应的规则来拦截与攻击源的网络连接。这样做的目的,就是防止此次系统入侵事件进一步的恶化,保护其它没有影响到的数据。
断开与攻击源的连接后,我们就应当立即分析数据损失的范围和严重程度,了解哪些数据还没有被影响到,然后立即将这些没有影响到的数据进行备份或隔离保护。对于丢失了数据的系统入侵事件,我们还可以将它归纳成以下的三个类别:
(1)、数据被窃取。
当我们检测数据库时发现数据并没有被删除或修改,但是通过分析系统日志和防火墙日志,了解攻击者已经进入了数据库,打开了某些数据库表,或者已经复制了这些数据库表,那么就可以确定攻击者只是窃取了数据而没有进行其它活动。此时,应当按前面介绍过的方法先恢复系统到正常状态,然修补系统和数据库应用程序的漏洞,并对它们进行弱点检测,发现没有问题后分别做一次完全备份。还应当修改系统管事员和数据库管理员帐户的名称和登录密码,所有的操作与前面提到过的方式相同。只是多出了数据库的恢复工作。
(2)、数据被修改
如果我们在分析数据库受损情况时发现攻击者并没有打开数据库表,而是通过数据库命令增加、修改了数据库某个表中的相关内容。那么,我们不得不一一找出这些非授权的数据表相关行,然后将它们全部修正或删除。如果修改的内容有关某个行业,例如办理驾驶证的政府机关,办理毕业证的教育机构,或者办理其它各种执照相关单位等,那么,还要将攻击者修改的内容向外界公布,说明这些被攻击者修改或添加的内容是无效的,以免造成不必要的社会影响。其它的系统和数据库恢复处理方式与数据被窃取方式相同。
(3)、数据被删除
如果我们在分析数据库受损情况时,发现攻击者不仅得到了机密数据,而且将系统中的相应数据库表完全删除了,那么,我们在断开与其网络连接时,要立即着手恢复这些被删除了的数据。
当我们通过备份的方式来恢复被删除的数据时,在恢复之前,一定要确定系统被入侵的具体时间,这样才知道什么时候的备份是可以使用的。这是因为,如果我们对数据库设置了每日的增量备份,当攻击者删除其中的内容时,非法修改后的数据库同样被备份了,因此,在入侵后的增量备份都不可用。同样,如果在系统被入侵期间,还对数据库进行了完全备份,那么,这些完全备份也不可用。
如果允许我们停机进行处理,我们可以拆下系统上的硬盘,接入其它系统,然后通过文件恢复软件来恢复这些被删除的文件,但是,对于数据库表中内容的删除,我们只能通过留下的纸质文档,来自己慢慢修正。
在这里我们就可以知道,备份并不能解决所有的系统入侵问题,但仍然是最快、最有效恢复系统正常的方式之一。通过这我们还可以知道,及时发现系统已经被入侵对于抢救系统中的机密数据是多么的重要。三、 以破坏系统或业务正常运行为目的的系统入侵恢复
当攻击者入侵系统的目的,就是为了让系统或系统中的正常业务不能正常运行,如果我们发现不及时,当这类系统入侵事件攻击成功后,就会造成系统意外停机事件和业务意外中断事件。
处理这类系统入侵事件时,已经没有必需再考虑系统需不需要停机处理的问题了,既然系统都已经不能正常运行了,考虑这些都是多余的,最紧要的就是尽快恢复系统正常运行。对于这类事件,也有下列这几种类别,每种类别的处理方式也是有一点区别的:
1、系统运行正常,但业务已经中断
对于此类系统入侵事件,我们可以不停机进行处理,直接以系统在线方式通过备份来恢复业务的正常运行,但在恢复前要确定系统被入侵的具体时间,以及什么时候的备份可以使用,然后按本文前面介绍的相关系统入侵恢复方式来恢复系统和业务到正常状态。
对于没有冗余系统的企业,如果当时非常迫切需要系统业务能够正常运行,那么,也只有在通过备份恢复业务正常运行后直接使用它。但在没有修复系统或应用程序漏洞之前,必需安排专人实时监控系统的运行状况,包括网络连接状况,系统进程状况,通过提高IDS/IPS的检测力度,添加相应的防火墙检测规则来暂时保护系统安全。
2、系统不能正常运行,但系统中与业务相关的内容没有受到破坏
此时,我们首要的任务就是尽快让系统恢复正常运行,但是要保证系统中与业务相关的数据不能受到损害。如果与业务相关的重要数据不在系统分区,那么,将系统从网络中断开后,我们就可以通过另外保存的系统完全备份来迅速恢复系统到正常状态,这是最快速的解决方法。
但是,如果与业务相关的数据全部或部分存放在系统分区,那么,为了防止当前业务数据的完整性,我们应当先通过像WinPE光盘系统的方式启动Winpe系统,然后将与业务相关的重要数据全部备份到其它独立的存储设备中,再对系统分区进行备份恢复操作。
如果我们发现系统的完全备份不可用,我们就只能在保证与业务相关的重要数据不损失的情况下,进行全新的操作系统安装方式来恢复系统正常运行,然后再安装业务应用程序,来恢复整个系统业务的正常运行。但是,由于这种方式是重新全新安装的操作系统,因此,如没有特殊的要求,应当对系统和应用程序做好相应的安全防范措施并完全备份后,才将系统连入网络当中。
至于剩下的系统恢复工作,可以按恢复以控制系统为目的的系统入侵恢复方式来进行。
3、系统不能正常运行,系统中的业务也已经被破坏
此时,首先按第二种方式恢复系统正常运行,然后再在系统中重新安装与业务相关应用程序,并且尽量通过备份恢复与业务相关的数据。至于剩下的系统恢复工作,可以按恢复以控制系统为目的的系统入侵恢复方式来进行。
当系统或业务被破坏不能运行后,造成的影响和损失是肯定的,我们按上述方式这样做的目的,就是为了尽量加快系统和业务恢复正常运行的速度,减少它们停止运行的时间,尽量降低由于系统停机或业务中断造成的影响和损失。
在对入侵系统进行恢复处理的过程中,对于一些与企业经营生死相依的特殊业务,例如电子邮件服务器,由于邮件服务器是为员工和客户提供邮件服务器的,如果邮件服务器停用,势必会影响的业务的正常往来。因此,对邮件服务器进行入侵恢复前,在使用本文前面所描述的方法进行进,还应当完成下列的工作:
(1)、启用临时邮箱,如果受影响的邮件服务器是企业自身的,可以通过申请邮件服务器提供商如Sina、163等的邮箱作为代替。
(2)、然后将临时邮箱信息尽快通知供货商和合作伙伴。
(3)、完成这些的工作后,就可以对被入侵的邮件服务器系统作相应的入侵恢复处理,恢复的方式与本文前面描述的方式相同。
四、 事后分析
当成功完成任何一种系统入侵类型的处理工作后,我们还必需完成与此相关的另外一件重要的事情,那就是对系统入侵事件及事件处理过程进行事后分析。
事后分析都是建立在大量的文档资料的基础上的,因而,我们在对被入侵系统进行处理的过程中,应当将事件处理过程中的所有操作内容和方式全部细致地记录下来。另外,我在描述如何恢复被入侵系统的处理过程中,在每次进行入侵恢复前都要求将受损系统的当前状态建立快照,其目的之一也是为了事后可以通过它来进行入侵分析。
我们通过对被入侵系统进行入侵分析,就能了解到此次入侵事件影响的范围和损失的严重程度,以及处理它所花费的时间、人力和物力成本。另一方面,通过分析此次入侵事件,可以了解攻击者是通过什么方式入侵系统的。
通过了解攻击者入侵系统的各种方式,就可以从中学习到相应的防范对策,为我们的安全防范工作带来相应的宝贵经验,让我们以后知道如何去应对与此相似的系统入侵活动。并由此来修改安全策略中不规范的内容,或添加相应的安全策略,使安全策略适应各个时期的安全防范需求。
同样,对每次系统入侵事件的处理过程进行分析,可以让我们了解自己或事件处理团队在应对系统入侵事件时的操作是否正确,是否产生了不必要的操作,是否产生了人为的失误,这些失误是如何产生的,以及哪些操作提高了处理的效率等等有用的信息。通过对系统入侵恢复处理过程的事后分析,能让我们增加相应的事件入侵响应能力,而且,还可以找出事件响应计划中不规范的内容,并由此做相应的修正。
对系统入侵事件和其恢复处理过程进行事后分析得出的结论,都应当全部以书面形式记录下来,并上报给上级领导。同时,还应当将处理结果发到每个事件响应小组成员手中,或企业中各个部门领导手中,由各部门分别组织学习,以防止此类系统入侵事件再次发生。如果有必要,还可以将事件发生和处理情况通告给合作伙伴和客户,以帮助它们防范此类系统入侵事件的发生,或告知系统或应用软件提供商,让他们尽快产生相应的漏洞补丁。