QB-XX-XXX-2004
中国移动
网络与信息安全应急响应技术规范与指南
版本号:V1.0
中国移动通信有限责任公司
二零零四年十一月
第 1 页 共 89 页
QB-XX-XXX-2004
目 录
前言 .................................................................................................................................................. 7 一、背景 .......................................................................................................................................... 7 二、适用范围 .................................................................................................................................. 7 三、编制依据 .................................................................................................................................. 7 四、阅读对象 .................................................................................................................................. 7 五、引用标准 .................................................................................................................................. 8 六、缩略语 ...................................................................................................................................... 8 七、安全事件及分类 ...................................................................................................................... 8 八、安全事件应急响应................................................................................................................... 9 九、文档内容概述 ........................................................................................................................ 11 1准备阶段 ..................................................................................................................................... 13 1.1概述 .......................................................................................................................................... 13 1.1.1准备阶段工作内容 ................................................................................................................ 13 1.1.1.1系统快照 ............................................................................................................................. 13 1.1.1.2应急响应工具包 ................................................................................................................. 14 1.1.2 准备阶段工作流程 ............................................................................................................... 14 1.1.3 准备阶段操作说明 ............................................................................................................... 15 1.2主机和网络设备安全初始化快照 ........................................................................................... 15 1.2.1 WINDOWS安全初始化快照 .................................................................................................. 16 1.2.2 UNIX安全初始化快照 .......................................................................................................... 19 1.2.2.1 Solaris 安全初始化快照 .................................................................................................... 19 1.2.3 网络设备安全初始化快照 ................................................................................................... 26 1.2.3.1 路由器安全初始化快照 .................................................................................................... 26 1.2.4 数据库安全初始化快照 ....................................................................................................... 27 1.2.4.1 Oracle 安全初始化快照 .................................................................................................... 27 1.2.5安全加固及系统备份 ............................................................................................................ 32 1.3 应急响应标准工作包的准备 .................................................................................................. 32 1.3.1 WINDOWS系统应急处理工作包 .......................................................................................... 33 1.3.1.1 系统基本命令 .................................................................................................................... 33 1.3.1.2 其它工具软件 .................................................................................................................... 33 1.3.2 UNIX系统应急处理工作包 .................................................................................................. 34 1.3.2.1系统基本命令 ..................................................................................................................... 34 1.3.2.2 其它工具软件 .................................................................................................................... 34 1.3.3 ORACLE 数据库应急处理工具包 ......................................................................................... 35 2检测阶段 ..................................................................................................................................... 36
第 2 页 共 89 页
QB-XX-XXX-2004
2.1概述 .......................................................................................................................................... 36 2.1.1检测阶段工作内容 ................................................................................................................ 36 2.1.2 检测阶段工作流程 ............................................................................................................... 36 2.1.3 检测阶段操作说明 ............................................................................................................... 37 2.2系统安全事件初步检测方法................................................................................................... 37 2.2.1 WINDOWS系统检测技术规范 .............................................................................................. 37 2.2.1.1 Windows服务器检测技术规范 ......................................................................................... 37 2.2.1.2 Windows检测典型案例 ..................................................................................................... 39 2.2.2 UNIX系统检测技术规范 ...................................................................................................... 39 2.2.2.1 Solaris 系统检测技术规范 ................................................................................................ 39 2.2.2.2 Unix检测典型案例 ............................................................................................................ 40 2.3系统安全事件高级检测方法................................................................................................... 43 2.3.1 WINDOWS系统高级检测技术规范 ...................................................................................... 43 2.3.1.1 Windows高级检测技术规范 ............................................................................................. 43 2.3.1.2 Windows高级检测技术案例 ............................................................................................. 44 2.3.2 UNIX系统高级检测技术规范 .............................................................................................. 45 2.3.2.1 Solaris高级检测技术规范 ................................................................................................. 45 2.3.2.2 Unix高级检测技术案例 .................................................................................................... 48 2.4 网络安全事件检测方法 .......................................................................................................... 52 2.4.1 拒绝服务事件检测方法 ....................................................................................................... 52 2.4.1.1 利用系统漏洞的拒绝服务攻击检测方法 ........................................................................ 52 2.4.1.2 利用网络协议的拒绝服务攻击检测方法 ........................................................................ 52 2.4.2 网络欺骗安全事件检测方法 ............................................................................................... 52 2.4.2.1 DNS欺骗检测规范及案例 ................................................................................................ 52 2.4.2.2 WEB欺骗检测规范及案例 ............................................................................................... 52 2.4.2.3 电子邮件欺骗检测规范及案例 ........................................................................................ 53 2.4.3 网络窃听安全事件检测方法 ............................................................................................... 54 2.4.3.1共享环境下SNIFFER检测规范及案例 ........................................................................... 54 2.4.3.2交换环境下SNIFFER检测规范及案例 ........................................................................... 55 2.4.4口令猜测安全事件检测方法 ................................................................................................ 55 2.4.4.1 windows系统检测 ............................................................................................................. 56 2.4.4.2 UNIX系统检测 .................................................................................................................. 56 2.4.4.3 CISCO路由器检测 ............................................................................................................ 56 2.4.5 网络异常流量特征检测 ....................................................................................................... 57 2.4.5.1网络异常流量分析方法 ..................................................................................................... 57 2.5 数据库安全事件检测方法 ...................................................................................................... 58 2.5.1数据库常见攻击方法检测 .................................................................................................... 58 2.5.2脚本安全事件检测 ................................................................................................................ 58 2.5.2.1 SQL注入攻击检测方法 .................................................................................................... 58 2.5.2.2 SQL注入攻击案例 ............................................................................................................ 59 2.6事件驱动方式的安全检测方法............................................................................................... 59 2.6.1日常例行检查中发现安全事件的安全检测方法 ................................................................ 59 2.6.1.1特点..................................................................................................................................... 59 2.6.1.2人工检测被入侵的前兆 ..................................................................................................... 59
第 3 页 共 89 页
QB-XX-XXX-2004
2.6.1.3 检测的流程 ........................................................................................................................ 60 2.6.2 事件驱动的病毒安全检测方法 ........................................................................................... 61 2.6.2.1特点..................................................................................................................................... 61 2.6.2.2病毒检测流程 ..................................................................................................................... 62 2.6.2.3防御计算机病毒措施 ......................................................................................................... 63 2.6.3 事件驱动的入侵检测安全检测方法 ................................................................................... 63 2.6.3.1特征..................................................................................................................................... 63 2.6.3.2入侵检测系统分为网络型和主机型 ................................................................................. 63 2.6.3.3入侵检测流程 ..................................................................................................................... 64 2.6.4 事件驱动的防火墙安全检测方法 ....................................................................................... 64 2.6.4.1特点..................................................................................................................................... 64 2.6.4.2防火墙安全检测流程 ......................................................................................................... 65 3抑制和根除阶段 ......................................................................................................................... 67 3.1概述 .......................................................................................................................................... 67 3.1.1抑制和根除阶段工作内容 .................................................................................................... 67 3.1.2抑制和根除阶段工作流程 .................................................................................................... 67 3.1.3抑制和根除阶段操作说明 .................................................................................................... 68 3.2 拒绝服务类攻击抑制 .............................................................................................................. 69 3.2.1 SYN和ICMP拒绝服务攻击抑制和根除 ........................................................................... 69 3.2.1.1 SYN(UDP)-FLOOD拒绝服务攻击抑制及根除 ......................................................... 69 3.2.1.2 ICMP-FLOOD拒绝服务攻击抑制及根除 ....................................................................... 69 3.2.2系统漏洞拒绝服务抑制 ........................................................................................................ 70 3.2.2.1 WIN系统漏洞拒绝服务攻击抑制及根除 ........................................................................ 70 3.2.2.2 UNIX系统漏洞拒绝服务攻击抑制及根除 ...................................................................... 70 3.2.3.3 网络设备IOS系统漏洞拒绝服务攻击抑制 ................................................................... 71 3.3 利用系统漏洞类攻击抑制 ...................................................................................................... 71 3.3.1系统配置漏洞类攻击抑制 .................................................................................................... 71 3.3.1.1简单口令攻击类抑制 ......................................................................................................... 71 3.3.1.2简单口令攻击类根除 ......................................................................................................... 71 3.3.2 系统程序漏洞类攻击抑制 ................................................................................................... 72 3.3.2.1缓冲溢出攻击类抑制 ......................................................................................................... 72 3.3.2.2缓冲溢出攻击类根除 ......................................................................................................... 72 3.4 网络欺骗类攻击抑制与根除 .................................................................................................. 73 3.4.1 DNS欺骗攻击抑制与根除 ................................................................................................... 73 3.4.2 电子邮件欺骗攻击抑制与根除 ........................................................................................... 73 3.4.2.1电子邮件欺骗攻击抑制 ..................................................................................................... 73 3.4.2.2电子邮件欺骗攻击根除 ..................................................................................................... 74 3.5 网络窃听类攻击抑制及根除 .................................................................................................. 74 3.5.1 共享环境下SNIFFER攻击抑制及根除 ............................................................................. 74 3.5.1.1共享环境下SNIFFER攻击抑制及根除 ........................................................................... 74 3.5.2交换环境下SNIFFER攻击抑制 .......................................................................................... 75 3.5.2.1交换环境下SNIFFER攻击抑制 ....................................................................................... 75
第 4 页 共 89 页
QB-XX-XXX-2004
3.6 数据库SQL注入类攻击抑制与根除 .................................................................................... 76 3.6.1 数据库SQL注入类攻击抑制与根除 .................................................................................. 76 3.6.1.1对于动态构造SQL查询的场合,可以使用下面的技术: ........................................... 76 3.6.1.2用存储过程来执行所有的查询。 ..................................................................................... 76 3.6.1.3限制表单或查询字符串输入的长度。 ............................................................................. 76 3.6.1.4检查用户输入的合法性,确信输入的内容只包含合法的数据。 ................................. 76 3.6.1.5将用户登录名称、密码等数据加密保存。 ..................................................................... 77 3.6.1.6检查提取数据的查询所返回的记录数量 ......................................................................... 77 3.6.1.7 Sql注入并没有根除办法. ................................................................................................. 77 3.7恶意代码攻击抑制和根除....................................................................................................... 77 3.7.1恶意代码介绍 ........................................................................................................................ 77 3.7.2 恶意代码抑制和根除 ........................................................................................................... 77 3.7.2.1恶意代码抑制方法 ............................................................................................................. 77 3.7.2.2恶意代码根除方法 ............................................................................................................. 78 4恢复阶段 ..................................................................................................................................... 79 4.1.1恢复阶段工作内容 ................................................................................................................ 79 4.1.2恢复阶段工作流程 ................................................................................................................ 79 4.1.3恢复阶段操作说明 ................................................................................................................ 80 4.2 重装系统 .................................................................................................................................. 80 4.2.1 重装系统时的步骤 ............................................................................................................... 80 4.2.2 重装系统时的注意事项 ....................................................................................................... 81 4.3 安全加固及系统初始化 .......................................................................................................... 81 4.3.1 系统安全加固和安全快照 ................................................................................................... 81 4.3.1.1安全加固 ............................................................................................................................. 81 4.3.1.2安全快照 ............................................................................................................................. 81 5 跟进阶段 .................................................................................................................................... 82 5.1概述 .......................................................................................................................................... 82 5.1.1跟进阶段工作内容 ................................................................................................................ 82 5.1.2跟进阶段工作流程 ................................................................................................................ 82 5.1.3跟进阶段操作说明 ................................................................................................................ 83 5.2 跟进阶段的目的和意义 .......................................................................................................... 83 5.3 跟进阶段的报告内容 .............................................................................................................. 83 6 取证流程和工具 ........................................................................................................................ 86 6.1 概述 .......................................................................................................................................... 86 6.2操作说明 .................................................................................................................................. 86 6.3取证的重要规则....................................................................................................................... 86 6.4 取证流程 .................................................................................................................................. 86
第 5 页 共 89 页
QB-XX-XXX-2004
6.5 取证工具 .................................................................................................................................. 87 6.5.1 系统命令 ............................................................................................................................... 87 6.5.2 商业软件介绍 ....................................................................................................................... 88
第 6 页 共 89 页
QB-XX-XXX-2004
前言
? 制定本文档的目的是为中国移动提供网络与信息安全响应工作的技术规范及指南,
本规范含了一个关于安全攻防的具体技术内容的附件。
? 本文档由中国移动通信有限公司网络部提出并归口。解释权归属于中国移动通信有
限公司网络部。
? 本文档起草单位:中国移动通信有限公司网络部
? 本文档主要起草人:王新旺、蔡洗非、陈敏时、彭泉、刘小云、王亮、余晓敏、周
碧波、刘楠、谢朝霞
? 本文档解释单位:中国移动通信有限公司网络部 一、背景
随着我国的互联网络迅猛发展,互联网络已经深入到各行各业当中,在我国的经济生活中发挥着日益重要的作用。中国移动计算机网络系统作为我国最庞大的网络系统之一,网络安全问题的重要性随着移动业务的重要性提高而日益凸显。一直以来,中国移动通信有限公司都在不断加强网络安全保护设施,以保证整个网络的信息安全。近几年黑客活动日益频繁,病毒多次爆发,涉及面广,危害性大,渗透性深,各类计算机网络安全事件层出不穷,移动骨干网络和全国各省分公司计算机信息系统都不同程度地存在爆发安全危机的隐患。为了提高中国移动网络安全事件应急响应能力,规范相关应急响应技术,中国移动通信有限公司决定起草编写《网络与信息安全应急响应技术规范与指南》,由技术部门牵头并提供业务指导,深圳市安络科技有限公司提供具体实施的技术配合工作。 二、适用范围
本规范仅适用于中国移动通信有限公司(其中包括各省移动通信有限公司),开展安全事件应急响应工作。本规范从安全事件应急响应的技术角度,为中国移动提供通用的技术参考和规范说明。本规范不包含应急响应管理方面的内容,也未阐述适用中国移动特定的业务专用应急技术。相关内容应分别在管理规范和业务系统的应急预案与连续性计划中体现。系统随着安全事件应急响应技术的不断发展,本规范的相关部分也需要进行相应的调整完善。 三、编制依据
本规范依据《中国移动互联网(CMnet)网络安全管理办法》 2002版
四、阅读对象
本文详细地分析了计算机及网络系统面临的威胁与黑客攻击方法,详尽、具体地披露了攻击技术的真相,给出了防范策略和技术实现措施。阅读对象限于中国移动的系统维护人员、安全技术人员和安全评估人员。未经授权严禁传播此文档。
第 7 页 共 89 页
QB-XX-XXX-2004
五、引用标准 RFC 793 RFC 768 RFC 821 RFC 959 RFC 2616 RFC 792 RFC 828 RFC 2196
六、缩略语 CMnet: CMCert/CC: TCP: UDP: SMTP: HTTP: ICMP: ARP: FTP:
中国移动互联网
中国移动网络与信息安全应急小组 Transmission Control Protocol User Datagram Protocol
Simple Mail Transfer Protocol Hypertext Transfer Protocol
Internet Control Message Protocol Ethernet Address Resolution Protocol File Transfer Protocol
Transmission Control Protocol User Datagram Protocol Simple Mail Transfer Protocol File Transfer Protocol Hypertext Transfer Protocol Internet Control Message Protocal Ethernet Address Resolution Protocol Site Security Handbook 七、安全事件及分类
安全事件是有可能损害资产安全属性(机密性、完整性、可用性)的任何活动。
本文所称安全事件特指由外部和内部的攻击所引起的危害业务系统或支撑系统安全并可能引起损失的事件。安全事件可能給企业带来可计算的财务损失和公司的信誉损失
本文采用两种分类原则对安全事件进行了分类:基于受攻击设备的分类原则(面向中国移动系统维护人员)和基于安全事件原因的分类原则(面向中国移动安全技术人员)。在准备和检测阶段依据攻击设备分类原则进行阐述,其他后续阶段依据安全事件原因进行阐述。
基于受攻击设备分类原则,安全事件分为: ? 主机设备安全事件 ? 网络设备安全事件 ? 数据库系统安全事件
基于安全事件原因的分类原则,安全事件分为: ? 拒绝服务类安全事件
拒绝服务类安全事件是指由于恶意用户利用挤占带宽、消耗系统资源等攻击方法使系统无法为正常用户提供服务所引起的安全事件。 ? 系统漏洞类安全事件
系统漏洞类安全事件是指由于恶意用户利用系统的安全漏洞对系统进行未授权的访问或破坏所引起的安全事件。 ? 网络欺骗类安全事件
网络欺骗类安全事件是指由于恶意用户利用发送虚假电子邮件、建立虚假服务网
第 8 页 共 89 页
QB-XX-XXX-2004
站、发送虚假网络消息等方法对系统或用户进行未授权的访问或破坏所引起的安全事件。
? 网络窃听类安全事件
网络窃听类安全事件是指由于恶意用户利用以太网监听、键盘记录等方法获取未授权的信息或资料所引起的安全事件。 ? 数据库注入类安全事件
数据库注入类安全事件是指由于恶意用户通过提交特殊的参数从而达到获取数据库中存储的数据、得到数据库用户的权限所引起的安全事件。 ? 恶意代码类安全事件
恶意代码类安全事件是指恶意用户利用病毒、蠕虫、特洛伊木马等其他恶意代码破坏网络可用性或窃取网络中数据所引起的安全事件。 ? 操作误用类安全事件
操作误用类安全事件是指合法用户由于误操作造成网络或系统不能正常提供服务所引起的安全事件。
在上面的分类中可能存在一个具体的安全事件同时属于几类的情况,比如,蠕虫病毒引起的安全事件,就有可能同时属于拒绝服务类的安全事件,系统漏洞类安全事件,和恶意代码类安全事件。此时,应根据安全事件特征的轻重缓急,来合理的选择应对的技术措施。仍然以蠕虫病毒为例,在抑制阶段,可能侧重采用对抗拒绝服务攻击的措施,控制蠕虫传播,疏通网络流量,缓解病毒对业务带来的压力。在根除阶段采用恶意代码类安全事件的应对措施孤立并清除被感染的病毒源。而在恢复阶段,主要侧重于消除被感染主机存在的安全漏洞,从而避免再次感染相同的蠕虫病毒。
随着攻击手段的增多,安全事件的种类需要不断补充。 八、安全事件应急响应
安全事件应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动。良好的安全事件响应遵循事先制定的流程和技术规范。本文所指的安全事件应急响应特指对已经发生的安全事件进行分析和处理的过程。
安全事件应急响应工作的特点是高度的压力,短暂的时间和有限的资源。应急响应是一项需要充分的准备并严密组织的工作。它必须避免不正确的和可能是灾难性的动作或忽略了关键步骤的情况发生。它的大部分工作应该是对各种可能发生的安全事件制定应急预案,并通过多种形式的应急演练,不断提高应急预案的实际可操作性。具有必要技能和相当资源的应急响应组织是安全事件响应的保障。参与具体安全事件应急响应的人员应当不仅包括中国移动应急组织的人员,还应包括安全事件涉及到的业务系统维护人员、设备提供商、集成商和第三方安全应急服务提供人员等,从而保证具有足够的知识和技能应对当前的安全事件。应急响应除了需要技术方面的技能外,还需要管理能力,相关的法律知识、沟通协调的技能、写作技巧、甚至心理学的知识。
在系统通常存在各种残余风险的客观情况下,应急响应是一个必要的保护策略。同时需要强调的是,尽管有效的应急响应可以在某种程度上弥补安全防护措施的不足,但不可能完全代替安全防护措施。缺乏必要的安全措施,会带来更多的安全事件,最终造成资源的浪费。
安全事件应急响应的目标通常包括:采取紧急措施,恢复业务到正常服务状态;调查安全事件发生的原因,避免同类安全事件再次发生;在需要司法机关介入时,提供法律任何的数字证据等。
在规范中以安全事件应急响应6阶段(PDCERF)方法学为主线介绍安全事件应急响应的过程和具体工作内容。6阶段(PDCERF)方法学不是安全事件应急响应唯一的方法,结
第 9 页 共 89 页
QB-XX-XXX-2004
合中国移动安全事件应急响应工作经验,在实际应急响应过程中,也不一定严格存在这6个阶段,也不一定严格按照6阶段的顺序进行。但它是目前适用性较强的应急响应的通用方法学。它包括准备、检测、抑制、根除、恢复和跟进6个阶段。6阶段方法学的简要关系见下图。
准备阶段:准备阶段是安全事件响应的第一个阶段,即在事件真正发生前为事件响应做好准备。这一阶段极为重要,因为事件发生时可能需要在短时间内处理较多的事物,如果没有足够的准备,那么将无法正确的完成响应工作。在准备阶段请关注以下信息:
? 基于威胁建立合理的安全保障措施
? 建立有针对性的安全事件应急响应预案,并进行应急演练 ? 为安全事件应急响应提供足够的资源和人员 ? 建立支持事件响应活动管理体系
检测阶段:检测是指以适当的方法确认在系统/网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动/现象。如果可能的话同时确定它的影响范围和问题原因。在操作的角度来讲,事件响应过程中所有的后续阶段都依赖于检测,如果没有检测,就不会存在真正意义上的事件响应。检测阶段是事件响应的触发条件。
抑制阶段:抑制阶段是事件响应的第三个阶段,它的目的是限制攻击/破坏所波及的范围。同时也是限制潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上,抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略。抑制策略可能包含以下内容:
? 完全关闭所有系统;
? 从网络上断开主机或部分网络;
? 修改所有的防火墙和路由器的过滤规则; ? 封锁或删除被攻击的登陆账号; ? 加强对系统或网络行为的监控;
? 设置诱饵服务器进一步获取事件信息;
? 关闭受攻击系统或其他相关系统的部分服务; 根除阶段:安全事件应急响应6阶段方法论的第4阶段是根除阶段,即在准确的抑制事件后,找出事件的根源并彻底根除它,以避免攻击者再次使用相同手段攻击系统,引发安全事件。在根除阶段中将需要利用到在准备阶段中产生的结果。
恢复阶段:将事件的根源根除后,将进入恢复阶段。恢复阶段的目标是把所有被攻破的系统或网络设备还原到它们正常的任务状态。
跟进阶段:安全事件应急响应6阶段方法论的最后一个阶段是跟进阶段,其目标是回顾并整合发生事件的相关信息。跟进阶段也是6个阶段中最可能被忽略的阶段。但这一步也是非常关键的。该阶段需要完成的原因有以下几点:
? 有助于从安全事件中吸取经验教训,提高技能; ? 有助于评判应急响应组织的事件响应能力;
第 10 页 共 89 页
QB-XX-XXX-2004
安全事件应急响应6阶段方法论:
准备阶段/Prepairing 检测阶段/Detection 抑制阶段/Control 根除阶段/Eradicate 恢复阶段/Restore 跟进阶段/Follow
九、文档内容概述
本规范的主要内容是应急响应技术规范,分别对应急响应流程中每个环节所用到的技术进行了阐述。整个文档由正文和附件两个文档组成,其中正文部分以应急响应方法学的六个阶段(准备、检测、抑制、根除、恢复和跟进)为主线顺序划分章节,并对安全事件响应过程中涉及的取证流程和工具进行了简要的说明。附件部分是关于安全攻防的具体技术内容。
正文的主要内容是: ? 第一章,“准备阶段”,主要阐述了准备阶段为应急响应后续阶段工作制作系统初始
化状态快照的相关内容和技术,并以Windows、Solaris系统为例对安全初始化快照生成步骤做了详细的说明,也阐述了Windows、Solaris、Oracle等系统的应急处理工具包包含的内容和制作要求做了详细的说明。
建立安全保障措施、制定安全事件应急预案,进行应急演练等内容不包含在本规范阐述的范围之内。 ? 第二章,“检测阶段”,详细阐述了结合准备阶段生成的系统初始化状态快照检测安
全事件(系统安全事件、网络安全事件、数据库安全事件)相关内容和技术,并以Windows、Solaris系统为例做了详细的说明。
本规范不阐述通过入侵检测系统、用户投诉等其他途径检测安全事件的技术内容。 ? 第三章,“抑制和根除阶段”,阐述了各类安全事件(拒绝服务类攻击、系统漏洞及恶
意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻击)相应的抑制或根除方法和技术, 并以Windows、Solaris系统为例做了详细的说明。 ? 第四章,“恢复阶段”,说明了将系统恢复到正常的任务状态的方式。详细说明了两
种恢复的方式。一是在应急处理方案中列明所有系统变化的情况下,直接删除并恢复所有变化。二是在应急处理方案中未列明所有系统变化的情况下,重装系统。
第 11 页 共 89 页
QB-XX-XXX-2004
? 第五章,“跟进阶段”,为对抑制或根除的效果进行审计,确认系统没有被再次入侵
提供了帮助。并说明了跟进阶段的工作要如何进行、在何时进行比较合适、具体的工作流程、要思考和总结的问题以及需要报告的内容。 ? 第六章,“取证流程和工具”,取证工作提供了可参考的工作流程,并列举了部分取
证工具的使用方法。 文档结构图:
跟进 取证 恢复 抑制和根除 检测 准备 审计 安装、加固和系统初始化 针对事件和检测结果 系统、网络和数据库事件 系统快照、应急响应工具
尽管本规范和指南在写作之初就做了全局性的规划,内容的组织形式不依赖于具体的攻击情景,事件分类方法具有较完备的覆盖性,从而可在一定程度上保证文档内容的稳定性。本规范档是以应急响应方法学为主线,突出通用的过程。但由于安全攻击手段层出不穷,作者写作时间和水平有限,本规范和指南还需要在今后结合中国移动的实际情况不断对其进行补充和完善。
第 12 页 共 89 页
QB-XX-XXX-2004
1准备阶段
主要阐述了准备阶段为应急响应后续阶段工作制作系统初始化状态快照的相关内容和技术,并以Windows、Solaris系统为例对安全初始化快照生成步骤做了详细的说明,也阐述了Windows、Solaris、Oracle等系统的应急处理工具包包含的内容和制作要求做了详细的说明。
准备阶段还应包括的建立安全保障措施、制定安全事件应急预案,进行应急演练等内容不包含在本规范阐述的范围之内,请参考中国移动相关规范。 1.1概述
1.1.1准备阶段工作内容
准备阶段的工作内容主要有两个,一是对信息系统进行初始化的快照。二是准备应急响应工具包。系统快照是信息系统进程、账号、服务端口和关键文件签名等状态信息的记录。通过在系统初始化或发生重要状态改变后,在确保系统未被入侵的前提下,立即制作并保存系统快照,并在检测的时候将保存的快照与信息系统当前状态进行对比,是发现安全事件的一种重要途径。 1.1.1.1系统快照
系统快照是系统状态的精简化描述。在确保系统未被入侵的前提下,应在以下时机由系统维护人员完成系统快照的生成和保存工作
? 系统初始化安装完成后
? 系统重要配置文件发生更改后 ? 系统进行软件升级后
? 系统发生过安全入侵事件并恢复后 在今后的安全检测时,通过将最近保存的系统快照与当前系统快照进行仔细的核对,能够快速、准确的发现系统的改变或异常。
准备阶段还应包括建立安全保障措施、对系统进行安全加固,制定安全事件应急预案,进行应急演练等内容。这些内容不在本规范档中进行详细的阐述。
主机系统快照,应包括但并不限于以下内容: ? 系统进程快照; ? 关键文件签名快照;
? 开放的对外服务端口快照; ? 系统资源利用率的快照; ? 注册表快照; ? 计划任务快照; ? 系统账号快照;
? 日志及审核策略快照。 以上内容中的系统进程快照、关键文件签名和系统账号快照尤为重要,一般入侵事件均
第 13 页 共 89 页
QB-XX-XXX-2004
可通过此三项快照的关联分析查找获得重要信息。
网络设备快照应包括但并不限于以下内容: ? 路由快照; ? 设备账号快照;
? 系统资源利用率快照;
数据库系统快照照应包括但并不限于以下内容: ? 开启的服务
? 所有用户及所具有的角色及权限 ? 概要文件 ? 数据库参数 ? 所有初始化参数 1.1.1.2应急响应工具包
应急工具包是指网络与信息安全应急事件处理过程中将使用工具集合。该工具包应由安全技术人员及时建立,并定时更新。使用应急响应工具包中的工具所产生的结果将是网络与信息安全应急事件处理过程中的可信基础。本规范结合中国移动实际工作情况,具体说明了Windows应急响应工具包和Unix/Linux应急响应工具包。工具包应尽量放置在不可更改的介质上,如只读光盘。 1.1.2 准备阶段工作流程
第一步:系统维护人员按照系统的初始化策略对系统进行安装和配置加固
第二步:系统维护人员对安装和配置加固后的系统进行自我检查,确认是否加固完成 第三步:系统维护人员建立系统状态快照
第四步:系统维护人员对快照信息进行完整性签名,以防止快照被非法篡改 第五步:系统维护人员将快照保存在与系统分离的存储介质上
第 14 页 共 89 页
QB-XX-XXX-2004
准备阶段流程图:
对系统进行安装和配置加固 自我检查,确认是否加固完成 建立和保存系统状态快照 对快照进行完整性签名 快照保存
1.1.3 准备阶段操作说明 1)
2) 3) 4)
对系统的影响:本章操作不会对系统造成影响,在系统正常运行情况下执行各个步骤; 操作的复杂度(容易/普通/复杂/):容易;
操作效果:对执行后的结果必须保存到不可更改的存储介质; 操作人员:各操作系统、数据库、网络设备的系统维护人员
1.2主机和网络设备安全初始化快照
1、Windows安全初始化快照
? 生成帐号快照; ? 生成进程快照; ? 生成服务快照; ? 生成自启动快照; ? 生成文件签名快照; ? 生成网络连接快照; ? 生成共享快照; ? 生成定时作业快照; ? 生成注册表快照; ? 保存所有快照到光盘内
2、Unix安全初始化快照
? 获得所有setuid和setgid的文件列表; ? 获得所有的隐藏文件列表; ? 获得初始化进程列表;
第 15 页 共 89 页
QB-XX-XXX-2004
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 获得开放的端口列表 获得开放的服务列表;
获得初始化passwd文件信息; 获得初始化shadow文件信息;
获得初始化的不能ftp登陆的用户信息; 获得初始化的用户组信息;
获得初始化的 /etc/hosts文件信息;
获得初始化的/etc/default/login文件信息; 获得/var/log目录下的初始化文件列表信息; 获得/var/adm目录下的初始化文件列表信息; 获得初始化计划任务列表文件; 获得初始化加载的内核模块列表;
获得初始化日志配置文件/etc/syslog.conf信息; 获得初始化md5校验和信息; 保存所有快照到光盘内。
3、网络设备安全初始化快照
? 获取用户访问线路列表; ? 获取用户权限信息列表; ? 获取开放端口列表; ? 获取路由表;
? 获取访问控制列表; ? 获取路由器CPU状态; ? 保存所有信息到光盘内。
4、数据库安全初始化快照
? 获取Oracle 数据库用户信息; ? 获取DEFAULT概要文件信息; ? 获取数据库参数信息;
? 获取Oracle 其他初始化参数信息; ? 保存所有信息到光盘内。
5、安全加固及系统备份 1.2.1 Windows安全初始化快照
1、获取帐号信息:
说明:Windows 2000 Server缺省安装后有五个帐号,其中两个帐号是IIS帐号,一个是安装了终端服务的终端用户帐号,如果系统维护人员自己创建了帐号,也要记录在案。 操作方法:使用net user 命令(Windows系统自带)可以列举出系统当前帐号。 附加信息:Windows 2000 Server缺省安装后的五个帐号名称: Administrator:默认系统维护人员帐号 Guest:来宾用户帐号
IUSR_机器名:IIS来宾帐号
第 16 页 共 89 页
QB-XX-XXX-2004
IWAM_机器名:启动IIS的进程帐号 TsInternetUser:终端用户帐号
2、获取进程列表:
说明:系统维护人员应在系统安装配置完成后对系统进程做快照。
操作方法:通过使用pslist命令(第三方工具,http://www.sysinternals.com下载),能够列举当前进程建立快照。 使用Widnows任务管理器(Windows系统自带)也可以列举出当前进程,但推荐使用pslist工具。
附加信息:请参见附录1察看Windows 2000 Server系统进程名及对应功能。
3、获取服务列表:
说明:系统维护人员应在系统安装配置完成后对系统服务做服务快照。
操作方法:使用sc query state= all命令格式(Windows资源工具箱中的工具)可以列举出系统当前服务信息。
附加信息:请参见附录2察看Windows 2000 Server系统服务。
4、获取自启动程序信息:
说明:Windows 2000 Server缺省安装后并无自启动项目。如果系统维护人员自己安装了某些软件,比如Office,打印机等等,缺省情况下将被添加到自启动目录中。 操作方法:检查各用户目录下的“「开始」菜单\\程序\\启动”目录
5、获取系统关键文件签名:
说明:Windows 2000 Server缺省安装后,系统维护人员应利用md5sum工具,对系统重要文件生成系统MD5快照,然后将这些签名信息保存在安全的服务器上,以后可做文件对比。 操作方法:使用md5sum.exe 命令(第三方工具,http://unxutils.sourceforge.net/下载)可对系统文件进行MD5快照。
使用方法:md5sum [FILE]...(后面可跟多个文件)。
附加信息:建议用户对以下二进制文件和动态连接库文件进行MD5SUM快照。 #windir\\EXPLORER.EXE #windir\\REGEDIT.EXE #windir\\NOTEPAD.EXE #windir\\TASKMAN.EXE #windir\\system32\\cmd.exe #windir\\system32\\net.exe #windir\\system32\\ftp.exe #windir\\system32\\tftp.exe #windir\\system32\\at.exe #windir\\system32\\netstat.exe #windir\\system32\\ipconfig.exe #windir\\system32\\arp.exe
#windir\\system32\\KRNL386.EXE #windir\\system32\\WINLOGON.EXE #windir\\system32\\TASKMGR.EXE #windir\\system32\\runonce.exe
第 17 页 共 89 页
QB-XX-XXX-2004
#windir\\system32\\rundll32.exe #windir\\system32\\regedt32.exe #windir\\system32\\notepad.exe #windir\\system32\\CMD.EXE #windir\\system\\COMMDLG.DLL #windir\\system32\\HAL.DLL #windir\\system32\\MSGINA.DLL #windir\\system32\\WSHTCPIP.DLL #windir\\system32\\TCPCFG.DLL #windir\\system32\\EVENTLOG.DLL #windir\\system32\\COMMDLG.DLL #windir\\system32\\COMDLG32.DLL #windir\\system32\\COMCTL32.DLL
6、获取网络连接信息: 说明:Windows2000缺省情况下系统开放135/139/445/1025 TCP端口,开放 137/138/445UDP端口。如果安装了MS SQL 服务器,还开放TCP1433/UDP1434端口,如果安装了IIS服务器还将开放TCP80端口。
操作方法:使用netstat –an 命令可以列举出当前系统开放的TCP/UDP端口。
附加信息: 建议使用netstat –an 命令(Windows系统自带)快照出系统开放端口和正常连接。
7、获取共享信息:
说明:Windows 2000Server缺省情况下开放各磁盘共享,如C$,远程管理共享(admin$)和远程IPC共享(IPC$),如果用户另外打开了其它目录文件的共享,请记录在案。 操作方法:使用net share 命令(Windows系统自带)建立共享快照。 附加信息: Windows 2000Server缺省共享
共享名 资源 注释
------------------------------------------------------------------------------- D$ D:\\ 默认共享 ADMIN$ D:\\WINNT 远程管理 C$ C:\\ 默认共享 IPC$ 远程 IPC
8、获取定时作业信息:
说明:Windows 2000 Server缺省安装后并无定时作业。如果系统维护人员自己设置了某些软件,请记录在案。建议系统维护人员使用at命令建立定时作业快照。 操作方法:使用at 命令(Windows系统自带)建立定时作业快照。 附加信息: 无
9、获取注册表信息:
说明:在对Windows 2000 Server安装了必要的软件后,可对注册表关键键值进行快照,供以后在检测时进行注册表对比。
操作方法:使用regdmp 命令(Windows资源工具箱)可以对注册表进行快照。
第 18 页 共 89 页
QB-XX-XXX-2004
附加信息: 可以进行注册表快照有多种方法,例如使用第三方软件,比如Regshot、Regsnap等。在Windows注册表编辑器中也可以对注册表进行备份和快照。另外,微软的资源工具箱中的regdmp命令也可以用来进行注册表快照工作。直接在命令下运行该命令及需要备份的键值即可,
比如:C:\\tools\\MS>regdmp
HKEY_LOCAL_MACHINE\\SOFTWARE\\MICROSOFT\\WINDOWS\\CURRENTVERSION\\RUN
建议系统维护人员对下面的关键键值进行快照。
HKEY_LOCAL_MACHINES\\System\\CurrentControlSet\\Control\\SessionManager\\KnownDLLs HKEY_LOCAL_MACHINES\\System\\ControlSet001\\Control\\SessionManager\\ KnownDLLs HKEY_LOCAL_MACHINES\\Software\\Micrsoft\\Windows\\CurrentVersion\\Run HKEY_LOCAL_MACHINES\\Software\\Micrsoft\\Windows\\CurrentVersion\\RunOnce HKEY_LOCAL_MACHINES\\Software\\Micrsoft\\Windows\\CurrentVersion\\RunOnceEx HKEY_LOCAL_MACHINES\\Software\\Micrsoft\\Windows\\CurrentVersion\\RunServices
HKEY_LOCAL_MACHINES\\Software\\Micrsoft\\WindowsNT\\CurrentVersion\\Windows(―run=‖line) HKEY_LOCAL_MACHINES\\sam\\sam
HKEY_CURRENT_USER\\Software\\Micrsoft\\Windows\\CurrentVersion\\Run HKEY_CURRENT_USER \\Software\\Micrsoft\\Windows\\CurrentVersion\\RunOnce
HKEY_CURRENT_USER \\Software\\Micrsoft\\Windows\\CurrentVersion\\RunOnceEx
HKEY_CURRENT_USER \\Software\\Micrsoft\\Windows\\CurrentVersion\\RunServices
HKEY_CURRENT_USER\\Software\\Micrsoft\\WindowsNT\\CurrentVersion\\Windows(―run=‖line)
1.2.2 Unix安全初始化快照
1.2.2.1 Solaris 安全初始化快照
以Solaris8为例:
1、获取所有setuid和setgid的文件列表
命令: # find / -type f \\( -perm -04000 -o -perm -02000 \\) –print 查找系统中所有的带有suid位和sgid位的文件
2、获取所有的隐藏文件列表 命令: # find / -name \–print
查找所有以”.”开头的文件并打印出路径
3、获取初始化进程列表 命令: # ps –ef 说明:
UID: 进程所有者的用户id PID: 进程id
PPID: 父进程的进程id C: CPU占用率
STIME: 以小时、分和秒表示的进程启动时间 TIME: 进程自从启动以后占用CPU的全部时间
第 19 页 共 89 页
QB-XX-XXX-2004
CMD: 生成进程的命令名
4、获取开放的端口列表 命令: # netstat –an
5、获取开放的服务列表 命令: # cat /etc/inetd.conf
具体内容请参见附录6:Solaris的inetd.conf初始化主要内容
6、获取初始化passwd文件信息 命令: # cat /etc/passwd
说明: 如果发现一些系统账号(如bin, sys)加上了shell部分,就说明有问题, 下面是正常的passwd文件,bin、sys、adm等系统帐号没有shell. bin:x:2:2::/usr/bin: sys:x:3:3::/:
adm:x:4:4:Admin:/var/adm:
7、获取初始化shadow文件信息 命令: # cat /etc/shadow
说明: 如果发现一些系统账号的密码被更改了, 或者不可登录的用户有密码了, 就说明该账号可能有问题了。
sys: CVLoXsQvCgK62:6445:::::: adm: CVLoXsQvCgK62:6445::::::
8、获取初始化的不能ftp登陆的用户信息 命令: # cat ftpusers
说明: 在这个列表里边的用户名是不允许ftp登陆的。如果列表改变了,有可能是被入侵者改动过。 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4
9、获取初始化的用户组信息 命令: # cat /etc/group
说明: 这是系统用户的分组情况
第 20 页 共 89 页
QB-XX-XXX-2004
root::0:root other::1:
bin::2:root,bin,daemon sys::3:root,bin,sys,adm adm::4:root,adm,daemon uucp::5:root,uucp mail::6:root
tty::7:root,tty,adm lp::8:root,lp,adm nuucp::9:root,nuucp staff::10:
daemon::12:root,daemon sysadmin::14: nobody::60001: noaccess::60002: nogroup::65534:
10、获取初始化的 /etc/hosts文件信息 命令: # cat hosts #
# Internet host table #
127.0.0.1 localhost
192.168.0.180 Solaris8x86 loghost
11、获取初始化的/etc/default/login文件信息 命令: # cat /etc/default/login
说明: 这里是用户登陆的配置文件的一部分,如控制root能否从控制台以外的地方登陆#ident \ 1.10 99/08/04 SMI\ /* SVr4.0 1.1.1.1 */ # Set the TZ environment variable of the shell. #
#TIMEZONE=EST5EDT
# ULIMIT sets the file size limit for the login. Units are disk blocks. # The default of zero means no limit. #
#ULIMIT=0
# If CONSOLE is set, root can only login on that device. # Comment this line out to allow remote login by root. #
CONSOLE=/dev/console #现在root是不能远程登录的 # PASSREQ determines if login requires a password. #
PASSREQ=YES
第 21 页 共 89 页
QB-XX-XXX-2004
12、获取/var/log目录下的初始化文件列表信息 命令: # ls -la /var/log
说明: 这些日志是和/etc/syslog.conf配置文件中的日志相对应的 total 8
drwxr-xr-x 2 root sys 512 Jan 12 03:54 . drwxr-xr-x 28 root sys 512 Jan 12 04:28 .. -rw------- 1 root sys 0 Jan 12 03:46 authlog
-rw-r--r-- 1 root other 424 Jan 12 04:28 sysidconfig.log -rw-r--r-- 1 root sys 766 Jan 12 04:57 syslog
13、获取/var/adm目录下的初始化文件列表信息 命令: # ls -la /、var/adm
说明: 这些日志是和/etc/syslog.conf配置文件中的日志相对应的 total 114
drwxrwxr-x 6 root sys 512 Jan 12 05:11 . drwxr-xr-x 28 root sys 512 Jan 12 04:28 .. -rw------- 1 uucp bin 0 Jan 12 03:46 aculog -r--r--r-- 1 root other 2828 Jan 12 05:08 lastlog drwxr-xr-x 2 adm adm 512 Jan 12 03:46 log -rw-r--r-- 1 root root 25859 Jan 12 04:57 messages drwxr-xr-x 2 adm adm 512 Jan 12 03:46 passwd drwxr-xr-x 2 root sys 512 Jan 12 03:55 sm.bin -rw-rw-rw- 1 root bin 0 Jan 12 03:46 spellhist drwxr-xr-x 2 root sys 512 Jan 12 03:46 streams -rw------- 1 root root 99 Jan 12 05:13 sulog -rw-r--r-- 1 root bin 3348 Jan 12 05:08 utmpx -rw-r--r-- 1 root root 244 Jan 12 04:57 vold.log -rw-r--r-- 1 adm adm 15996 Jan 12 05:08 wtmpx
14、获取初始化计划任务列表文件 命令: /var/spool/cron/crontabs/root
说明: 这个文件是root用户的定时执行程序列表 # cat /var/spool/cron/crontabs/root
#ident \ 1.19 98/07/06 SMI\ /* SVr4.0 1.1.3.1 #
# The root crontab should be used to perform accounting data collection. #
# The rtc command is run to adjust the real time clock if and when # daylight savings time changes. #
10 3 * * 0,4 /etc/cron.d/logchecker 10 3 * * 0 /usr/lib/newsyslog 15 3 * * 0 /usr/lib/fs/nfs/nfsfind
1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1
第 22 页 共 89 页
*/ QB-XX-XXX-2004
30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean
15、获取初始化加载的内核模块列表 命令: # /usr/sbin/modinfo
具体内容请参加附件三: modinfo
说明:不正常的内核模块常常说明系统被入侵者植入了内核后门
16、 获取初始化日志配置文件/etc/syslog.conf信息
说明: 此配置文件定义了各种日志对应的文件名和日志所要记录的东西 # cat /etc/syslog.conf
#ident \ 1.5 98/12/14 SMI\ /* SunOS 5.0 */ #
# Copyright (c) 1991-1998 by Sun Microsystems, Inc. # All rights reserved. #
# syslog configuration file. #
# This file is processed by m4 so be careful to quote (`') names # that match m4 reserved words. Also, within ifdef's, arguments # containing commas must be quoted. #
*.err;kern.notice;auth.notice /dev/sysmsg
*.err;kern.debug;daemon.notice;mail.crit /var/adm/messages *.alert;kern.err;daemon.err operator *.alert root
*.emerg *
# if a non-loghost machine chooses to have authentication messages # sent to the loghost machine, un-comment out the following line:
#auth.notice ifdef(`LOGHOST', /var/log/authlog, @loghost)
mail.debug ifdef(`LOGHOST', /var/log/syslog, @loghost) #
# non-loghost machines will use the following lines to cause \# log messages to be logged locally. #
ifdef(`LOGHOST', ,
user.err /dev/sysmsg
user.err /var/adm/messages user.alert `root, operator'
17、获取初始化md5校验和信息 例子: 计算/usr/bin/cat 的校验和
第 23 页 共 89 页
QB-XX-XXX-2004
命令: #md5 /usr/bin/cat
说明: 如果同一文件前后两次的md5校验和不相同的话,说明文件有可能被入侵者替换了 MD5 (/usr/bin/cat) = db2d19bdebb690eb1870d2c49fd98d2f 需要做快照的文件列表如下 /usr/bin/* /usr/sbin/* /usr/local/bin/* /etc/passwd /etc/shadow /etc/inetd.conf /etc/services /etc/inittab
/etc/syslog.conf /etc/default/login /etc/default/passwd
文件签名检测补充方法: Solaris指纹数据库
Solaris指纹数据库(Fingerprint Database)是验证Solaris操作环境下系统文件(如/bin/su可执行文件),系统补丁和SPARCcompilers等非系统捆绑产品完整性的重要安全解决方案.作为安全技术人员或Solaris用户,你可以使用指纹数据库去验证使用的二进制文件是否被篡改过. Solaris指纹数据库(Fingerprint Database)是以一个web接口的形式对用户提供服务的,即简单地拷贝和粘贴一个或更多的MD5文件签名到Sun公司提供web页(http://sunsolve.sun.com/pub-cgi/fileFingerprints.pl),然后点击“submit(提交)”键. 指纹数据库将会将产生的MD5数字签名和存储在sfpDB (Solaris Fingerprint Database)中的可信签名值进行对比,稍等片刻将可以看到提交的MD5值是否和数据库中的可信值匹配,是否被篡改过.
目前提供支持的操作系统:
Solaris SPARC - 2.0, 2.1, 2.2, 2.3, 2.4, 2.5, 2.5.1, 2.6, Solaris 7 and Solaris 8 Solaris x86 - 2.1, 2.4, 2.5, 2.5.1, 2.6, Solaris 7 and Solaris 8 Solaris PPC - 2.5.1
Trusted Solaris SPARC - 2.5, 2.5.1 and 7 Trusted Solaris 7 x86
Most CDs bundled with Solaris 2.6 and later. 支持的补丁:
几乎所有已发布的Solaris 补丁,包括所有SunSolve CD 中提供的补丁 所有Solaris 2.6/7维护升级补丁 所有SunSolve 中的可用补丁
支持的非系统捆绑产品(Unbundled Products)
Sun公司目前提供近150张CD的非系统捆绑产品MD5校验.如果你使用的非系统捆绑产品不在这150张CD内容里,可尝试给sun公司发送email,他们将会尽快给你回复,并会尽快提供支持的。 数据库概要:
数据库(database): 已搜集2756333 个指纹信息 – 截止至2004/06/30 07:53 (UTC)
第 24 页 共 89 页
QB-XX-XXX-2004
软件包名(pkgnames): 22793 package names – 截止至2004/06/30 07:53 (UTC) 补丁(patches:): 包括24179个补丁 实例:
1.获得文件的MD5值
将文件的MD5值粘贴到页面
http://sunsolve.sun.com/pub-cgi/fileFingerprints.pl
note: 在本实验中将/bin/ls的MD5值作了改动也提交了一份
3. 按下“submit”键,稍等片刻获得结果
note: MD5值错误或经过篡改过的文件显示为“0 mathch(es)”,即在sfpDB库中不存在.
第 25 页 共 89 页
QB-XX-XXX-2004
1.2.3 网络设备安全初始化快照
1.2.3.1 路由器安全初始化快照
1、路由器安全快照的目的
对路由器系统的相关配置做安全快照的主要目的是为了在路由器工作不正常或遭到入侵时,通过对其一些关键的配置与快照进行对比,发现其中发生变法的部分,以能确定事情的初步原因。
2、路由器安全快照的内容
路由器的安全初始化不同厂商及不同型号的设备、其初始化的内容也不一样,但其配置方面做安全快照,内容基本相同,主要有以下内容:
? 用户访问线路列表 ? 用户权限信息列表 ? 开放端口列表 ? 路由表
? 访问控制列表 ? 路由器CPU状态
3、路由器安全快照的方法(以CISCO路由器为例)
用户访问线路列表快照的方法 全局模式下:show line
用户权限信息列表快照的方法 全局模式下:show privilege 放端口列表快照的方法
检测路由器的端口开放情况最好的方法是用nmap(Unix系统应急处理工作包)进行TCP和UDP的全端口远程扫描。命令如下
在你的工作机上,进入到nmap程序目录下,运行以下命令:
TCP全端口远程扫描:nmap –sS –P 1-65535 X..X..X.X(路由IP地址)
第 26 页 共 89 页
QB-XX-XXX-2004
UDP全端口远程扫描:nmap –sU –P 1-65535 X..X..X.X(路由IP地址) 路由表快照的方法
全局模式下:show ip route 访问控制列表快照的方法
全局模式下:show ip access-list 路由器CPU状态快照的方法 全局模式下:show process cpu 4、路由器安全快照的保存
路由器的安全快照的保存主要有2部分: 通过show config可以显示的配置 用nmap进行端口扫描的结果
建议路由器的安全快照刻录到应急响应光盘上。 1.2.4 数据库安全初始化快照
1.2.4.1 Oracle 安全初始化快照
1、Oracle 快照的目的 在Oracle安装配置完成后,可以对Oracle做一次初始安全状态快照。这样,如果以后在对该服务器做安全检测时,通过将初始化快照做的结果与安全检测时做的结果比较,就能够发现Oracle的改动或异常。
以下以Windows下的Oracle为例进行介绍(Unix下的命令和Windows平台下相同)。
2、Oracle所开启的服务 在系统的服务里面取得如下信息:
3、Oracle 所有用户及所具有的角色及权限
显示所有的帐号: Select * from all_users; 或用Oracle企业管理器查看:
第 27 页 共 89 页
QB-XX-XXX-2004
Oracle 用户所具有的角色及权限 Select * from user_role_privs; 或:
第 28 页 共 89 页
QB-XX-XXX-2004
4、Oracle角色的快照
显示所有的角色:
Select * from dba_roles; 或:
显示角色的构成:
select * from dba_role_privs; 或:
第 29 页 共 89 页
QB-XX-XXX-2004
5、DEFAULT概要文件快照
select * from dba_profiles; 或
第 30 页 共 89 页
QB-XX-XXX-2004
6、数据库参数的快照。
显示SGA的参数 show sga;
显示共享池大小
show parameter shared; 显示数据绶冲池大小 show parameter db_cache; 显示日志绶冲池大小 show parameter log; 显示数据块大小 show parameter db;
7、Oracle 所有初始化参数
select * from v$parameter; 或
第 31 页 共 89 页
QB-XX-XXX-2004
1.2.5安全加固及系统备份
在准备阶段,必须按照中国移动通信有限公司的安全加固手册对主机、网络设备和数据库系统(Oracle数据库请参见附录8)进行安全加固工作;防范因补丁问题而带来的溢出攻击和因协议问题而带来的D.o.S攻击;在安全加固时请按照加固手册的标准流程操作避免因加固动作带来的风险。
在准备阶段,必须做好系统的备份工作;对已上了备份系统的主机应该利用系统备份软件进行系统的备份;没有系统备份措施的主机,应该对系统的环境文件、数据库数据、数据库环境文件及应用的环境文件进行备份,所有备份的内容应该保证系统在遭到入侵后,能够利用备份进行系统恢复。
安全加固和系统备份工作在做安全快照开始前必须完成。 1.3 应急响应标准工作包的准备
1、 Windows系统应急工具包:将下面的“Windows系统应急处理包”的一些系统的基本命令和第三方检测工具刻录在光盘上,附上说明指南和简单的列表;另外,前面阶段所做的系统镜像也刻录上来。保管在一起,以供应急时统一使用。
2、 Solaris系统应急工具包:将下面的“Solaris系统应急处理包”分类明确的收集并刻录在光盘上,同时应提供一个列表和简单的使用说明指南。前面所做的系统镜像也可以和应急工具包存放在一起,以供检测时对比使用。 在利用应急工具包处理突发事件时,应先用MD5工具对系统的库文件进行对比检测,如果发现不正常的库文件,首先需要进行这些可疑库文件的替换和备份,再进行其它二进制文件的检测和对比。
3、 Oracle数据库的应急处理工具包:用oracle工具包把数据检测后存放到光盘上。在利用应急工具包处理突发事件时,应先对系统的库文件利用MD5工具进行对比检测,如果发现不正常的库文件,首先需要进行这些可疑库文件的替换和备份,再进行一步其它二进制文件
第 32 页 共 89 页
QB-XX-XXX-2004
的检测和对比。
1.3.1 Windows系统应急处理工作包
1.3.1.1 系统基本命令 名称 cmd net netstat arp ipconfig at regedit eventvwr.msc services.msc regedt32 1.3.1.2 其它工具软件 名称 md5sum fport pslist psfile psinfo pskill psloggedon sc regdmp 描述 MD5检验和检测工具 TCP/IP进程及对应端口显示工具 系统及应用程序进程显示工具 列举被远程系统打开的本地文件系统 列举远程/本地系统信息 杀进程命令 远程和本地登录会话显示 服务列举工具 注册表导出工具 工具来源 GNU Windows tool Foundstone, Inc. Sysinternals Sysinternals Sysinternals Sysinternals Sysinternals 微软资源工具箱 微软资源工具箱 描述 命令模式 网络管理命令 网络连接状态命令 显示或修改IP-MAC对应列表 IP状态参数 计划任务 注册表编辑器 事件查看器 服务列表 注册表编辑器 工具来源 Windows系统自带 Windows系统自带 Windows系统自带 Windows系统自带 Windows系统自带 Windows系统自带 Windows系统自带 Windows系统自带 Windows系统自带 Windows系统自带 下载地点:
Md5sum http://unxutils.sourceforge.net/ Fport http://www.foundstone.com
Pstools(pslist.psfile.psinof.pskill.psloggedon) http:// www.sysinternals.com Regsnap http://lastbit.com/regsnap/default.asp
第 33 页 共 89 页
QB-XX-XXX-2004
1.3.2 Unix系统应急处理工作包
1.3.2.1系统基本命令
特别注意:有些工具在使用时会占用大量的系统资源,这些工具应该明确其使用的时间或条件,如Unix下的find、如果要在工作期间使用find,应该使用命令优先级命令(nice)让其降到最低,在系统比较闲的时候执行。 名称 ps ls df netstat pkginfo find more modinfo snoop Nice
1.3.2.2 其它工具软件 名称 chkrootkit john lsof md5 nc ethereal Snort tcpdump openssh nmap Tcp Wrappers 描述 检测常见的rootkit, bkdoor, worm等 检测口令强度 检测文件和进程、端口关联 检查文件校验和 网络实用工具 协议分析、Sniffer工具 入侵检测系统 经典的sniffer 安全的远程系统管理工具 优秀的端口扫描器 基于Ip的权限控制和日志记录软件 工具来源 Sunfreeware Sunfreeware Sunfreeware Sunfreeware Sunfreeware http://www.ethereal.com http://www.snort.org http://www.tcpdump.org http://www.openssh.com http://www.insecure.org ftp://ftp.porcupine.org/pub/security/ 描述 查看系统进程 查看目录、文件列表(相当于dir) 查看磁盘空间使用情况 查看网络连接,端口状况 查看安装包信息 查找文件, 有很多参数 分面显示输出信息 查看内核模块信息 嗅探、监听程序 进程运行优先级控制 工具来源 /usr/bin/ps /usr/bin/ls /usr/bin/df /usr/bin/netstat /usr/bin/pkginfo /usr/bin/find /usr/bin/more /usr/sbin/modinfo /usr/sbin/snoop /usr/bin/nice
工具下载地址:
ftp://ftp.sunfreeware.com/pub/freeware/intel/8/chkrootkit-0.42b-sol8-intel-local.gz ftp://ftp.sunfreeware.com/pub/freeware/intel/8/john-1.6-sol8-intel-local.gz ftp://ftp.sunfreeware.com/pub/freeware/intel/8/lsof-4.68-sol8-intel-local.gz
ftp://ftp.sunfreeware.com/pub/freeware/intel/8/md5-6142000-sol8-intel-local.gz ftp://ftp.sunfreeware.com/pub/freeware/intel/8/nc-110-sol8-intel-local.gz
第 34 页 共 89 页
QB-XX-XXX-2004
1.3.3 Oracle 数据库应急处理工具包
1、 SQLPlus
2、 日志分析工作:LogMiner3、Oracle企业管理器(Enterprise Manager) 3、 数据库管理(Database Administration) 4、 移植工具(Migration Utilities)
5、 网络管理(Network Administration) 6、 DOS窗口下实用程序
SVRMGRL Oracle服务器管理:Oracle Server Manager E:\\Oracle\\Ora81\\BIN\\SVRMGRL.EXE
SQL*Plus DOS窗口下使用的SQL*Plus E:\\Oracle\\Ora81\\BIN\\SQLPLUS.EXE
LSNRCTL 监听器管理程序
E:\\Oracle\\Ora81\\BIN\\LSNRCTL.EXE
EXP/IMP 逻辑备份、恢复工具
E:\\Oracle\\Ora81\\BIN\\EXP.EXE、E:\\Oracle\\Ora81\\BIN\\IMP.EXE
SQL*Loader 大量数据插入工具 E:\\Oracle\\Ora81\\BIN\\SQLLDR.EXE
ORAPWD 修改sys或internal密码工具 E:\\Oracle\\Ora81\\BIN\\ORAPWD.EXE
OCOPY Oracle拷贝工具
E:\\Oracle\\Ora81\\BIN\\OCOPY.EXE
第 35 页 共 89 页
QB-XX-XXX-2004
2检测阶段
详细阐述了结合准备阶段生成的系统初始化状态快照检测安全事件(系统安全事件、网络安全事件、数据库安全事件)相关内容和技术,并以Windows、Solaris系统为例做了详细的说明。
除对比系统初始化快照外,安全事件检测手段还包括部署入侵检测设备、流量监控和防病毒系统集中监控等。其中,入侵检测系统通过侦听网络流量并与事先存在的攻击特征匹配,实现对入侵事件的实时和自动发现。入侵检测系统往往存在较高的误报率。实际应用入侵检测系统时,需要结合部署环境的实际情况定制检测策略,以保证检测的准确性。流量监控的检测方式对于发现有明显流量特征的安全事件,如网络蠕虫十分有效。在事件检测阶段做到“及时发现”,必须合理利用各种已有的检测手段,综合分析发现安全事件的真实原因。本规范主要阐述的基于比较系统初始化快照的方法,适用于业务系统维护人员在日常例行维护工作中执行,此方法具有准确性高,操作简单,不依赖任何其它设备等特点。检测阶段所采用的其它手段不在本规范阐述范围之内,请参阅其他技术规范,如RFC 2196。 2.1概述
2.1.1检测阶段工作内容
本章的内容属于应急响应的检测阶段,检测阶段是应急响应全过程中最重要的阶段,在这个阶段需要系统维护人员使用初级检测技术进行检测,确定系统是否出现异常。在发现异常情况后,形成安全事件报告,由安全技术人员和安全专业技术人员介入进行高级检测来查找安全事件的真正原因,明确安全事件的特征、影响范围和标识安全事件对受影响的系统所带来的改变。最终形成安全事件的应急处理方案。 2.1.2 检测阶段工作流程
第一步:系统维护人员或安全技术人员在执行日常任务和检测中发现系统异常。 第二步:发现异常情况后,形成安全事件报告。 第三步:安全技术人员、系统维护人员和第三方安全事件应急服务人员查找安全事件的原因。 第四步:安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的原因、性质和影响范围。 第五步:安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的应急处理方案。
此阶段工作中应注意:
? 第三方安全事件应急服务人员仅应在必要时参加
? 制定应急处理方案应包含实施方案失败的应变和回退措施
第 36 页 共 89 页
QB-XX-XXX-2004
检测阶段流程图:
发现系统异常 形成安全事件报告 查找安全事件的原因 确定安全事件的原因、性质和影响范围 确定安全事件的应急处理方案
2.1.3 检测阶段操作说明
1)对系统的影响:本章操作不会对系统造成影响,在系统正常运行情况下执行各个步骤,但在事件驱动检测方式中,确定有安全事件发生的情况下必须根据流程采取相应的措施,会中断系统或网络的正常运行;
2)操作的复杂度(容易/普通/复杂/):初级检测,普通;高级检测,复杂;
3)操作效果:例行检测是一种积极的方式,能预先发现系统和网络存在的漏洞,可根据流程采取补救措施;事件驱动方式的检测方法对安全事件能迅速响应,不会让安全事件扩大; 4)操作人员:系统维护人员、安全技术人员、第三方安全事件应急服务人员、安全评估人员 2.2系统安全事件初步检测方法 2.2.1 Windows系统检测技术规范
2.2.1.1 Windows服务器检测技术规范
本小节详细描述了Windows服务器入侵检测技术规范和操作流程,共十一项检测内容: 1)日志检查:
目标:从系统日志中检测出未授权访问或非法登录事件; 从IIS/FTP日志中检测非正常访问行为或攻击行为;
说明:检查事件查看器中的系统和安全日志信息,比如:安全日志中异常登录时间,未知用名登录。
检查 %WinDir%\\System32\\LogFiles 目录下的WWW日志和FTP日志,比如WWW日志中的对cmd.asp文件的成功访问。
第 37 页 共 89 页
QB-XX-XXX-2004
2)帐号检查:
目标:检查系统非正常帐号,隐藏帐号
说明:使用net user,net group,net local group命令检查帐号和组的情况,使用计算机管理查看本地用户和组。利用这些获得的信息和前面准备阶段做的帐号快照工作进行对比。 3)进程检查:
目标:检查是否存在未被授权的应用程序或服务
说明:使用任务管理器检查或使用微软件工具包进程察看工具pulist。利用这些获得的信息和前面准备阶段做的进程快照工作进行对比。 4)服务检查:
目标:检查系统是否存在非法服务
说明:使用“管理工具”中的“服务”查看非法服务或使用sc工具察看当前服务情况,利用这些获得的信息和准备阶段做的服务快照工作进行对比。 5)自启动检查:
目标:检查未授权自启动程序
说明:检查系统各用户“启动”目录下是否存在未授权程序 6)文件检查:
目标: 检查病毒、木马、蠕虫
说明:使用防病毒软件检查文件,扫描硬盘上所有的文件。 7)网络连接检查:
目标:检查非正常网络连接和开放的端口
说明:使用ipconfig, netstat –an或其它第三方工具查看所有连接,检查服务端口开放情况,利用这些获得的信息和准备阶段做的网络连接快照工作进行对比。 8)共享检查:
目标:检查非法共享目录
说明:使用net share检测当前开放的共享,使用$是隐藏目录共享,利用这些获得的信息和前面准备阶段做的共享快照工作进行对比。 9)定时作业检查:
目标:检查是否存在不明定时执行作业
说明:使用at命令,检查当前定时作业情况,利用这些获得的信息和前面准备阶段做的定时作业快照工作进行对比。 10)注册表检查:
目标:检查注册表中是否存在非正常程序
说明:检查以下注册表项,并和前面做的注册表快照工作进行对比。
HKEY_LOCAL_MACHINES\\System\\CurrentControlSet\\Control\\SessionManager\\KnownDLLs HKEY_LOCAL_MACHINES\\System\\ControlSet001\\ Control\\SessionManager\\ KnownDLLs HKEY_LOCAL_MACHINES\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINES\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce HKEY_LOCAL_MACHINES\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx HKEY_LOCAL_MACHINES\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_LOCAL_MACHINES\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Windows(―run=‖line)
HKEY_LOCAL_MACHINES\\sam\\sam
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER \\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
第 38 页 共 89 页
QB-XX-XXX-2004
HKEY_CURRENT_USER \\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx HKEY_CURRENT_USER \\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Windows(―run=‖line)
11)资源使用检查
目标:检查CPU/内存等系统资源使用情况是否正常。
说明:利用Windows任务管理器检测系统CPU,内存系统资源占用情况,利用Windows资源管理器检查系统硬盘使用情况,利用netstat命令检测当前系统网络连接状态是否正常。 2.2.1.2 Windows检测典型案例
情况描述:
国家XX局Windows服务器主页页面被删除,服务器被黑客非法安装多个后门的入侵检测事件。根据Windows初级检测技术,分析该系统服务、帐号、进程等情况,查找出攻击者在系统中留下的后门及一些操作。 入侵分析: 帐号检测:
使用net user 命令,发现存在缺省用户之外的用户test,经过与安全快照对比,系统维护人员确认,此用户不是系统维护人员增加,为黑客留下的后门帐号。 进程检测:
使用任务管理器,发现telnet进程,经过与安全快照对比,系统维护人员并没打开该服务,而系统缺省情况下telnet服务也是关闭的。 服务检测:
打开“管理工具”中的“服务”,经过与安全快照对比,发现telnet服务被启动并被设置到自动启动模式,同时新增加VNC服务,该服务提供一个远程图形界面的控制台,是国内黑客常用的后门程序。 网络连接检测:
利用netstat –an 命令,发现TCP23(telnet程序开放的端口)、TCP5800,5900(VNC后门程序开放的端口)端口开放,经过与安全快照对比,为黑客所为。 2.2.2 Unix系统检测技术规范
2.2.2.1 Solaris 系统检测技术规范
1)日志检查:
目标:检查日志和用户历史记录文件,检查是否存在入侵行为
说明:/var/log,/var/adm./etc/syslog.conf,/.sh_history,/.bash_history和其它用户目录的历史记录文件。如: cd /var/log strings syslog cd /var/adm strings messages 2)帐号检查:
第 39 页 共 89 页
QB-XX-XXX-2004
目标:检查非正常帐号
说明:检查/etc/passwd,/etc/shadow文件,通过和初始化的快照对比发现是否被更改,如果发现了新的超级用户或者是发现了新的shell账户等等, 就可能存在入侵行为。 3)进程检查:
目标:检查系统是否运行未被授权的应用程序或服务
说明:利用ps –ef或ps –aux 命令检测非法进程,通过和快照进行对比,查看是否有异常的进程。
4)服务检查:
目标:检查系统是否存在未被授权服务;
说明:检查/etc/inetd.conf文件中的服务进程是否已被替换;
检查/etc/rc*.d目录下的所有启动服务脚本文件是否被更改; 5)文件和目录检查:
目标:检查系统非正常隐藏文件或可疑文件
说明:检查带setuid和setgid位文件:find / \\(-perm –2000 –o –perm –4000 \\) –type f –exec ls
–la{} \\;
检查无用户或组的文件:find / -nouser –o –nogroup –print
检查/etc/hosts.equiv, /etc/hosts.lpd 和所有目录下的.rhosts文件:find / -name .rhosts –exec –-ls –la {} \\;
检查隐藏目录或文件 find / -name ―.*‖ –print –mdev 6)网络连接检查:
目标:检查非正常网络连接和服务端口开放情况
说明:使用netstat –an查看所有连接,检查当前网络连接和服务端口开放情况 7)定时作业检查:
目标:检查所有cron和at定时调用执行作业中是否存在非法作业
说明:检查如下文件或目录:/etc/default/cron /etc/cron.d/ /var/cron/log /var/spool/cron/* 2.2.2.2 Unix检测典型案例
情况描述:
某省电信Solaris8主机被入侵者安装上rootkit的入侵检测事件。现场分析主要依据是规范里的一些命令,并分析输出和快照进行对比, 查找出攻击行为。 入侵分析: 1)日志检测:
cd /var/log时出错,很可能是入侵者删除了些目录。
通过strings lastlog 和 strings messages和其它一些文件,没有发现明显的不正常记录。
第 40 页 共 89 页
QB-XX-XXX-2004
查看shell的历史记录文件时, 发现.sh_history文件被link到了 /dev/null,,系统默认是记录历史命令的文件,可能是入侵者为了隐藏自己的行为,做了这个设置。 2) 帐号检测:
通过与快照对比,发现了一个uid为0 的sysop帐号。
3) 进程检测:
通过进程的快照对比,,没有发现可疑进程;继续检测。 4) 服务检测:
第 41 页 共 89 页
QB-XX-XXX-2004
查看/etc/inetd.conf,与快照对比,发现一个新增的telnetd服务;
为了确认其监听端口,在命令行输入more /etc/services命令,发现一个在2766端口对应的服务是telnetd。
5) 文件和目录检测:
查找隐藏文件与快照对比,发现了/usr/bin/.login,通过上面的检测结果与快照对比,发现系统新增了telnetd服务和一些隐藏文件,发现这些情况后,如果系统维护人员不能确认其原因,应该立即通报给安全技术人员来处理。
下面是安全技术人员继续检测的过程,查看strings /usr/bin/.login的结果:
第 42 页 共 89 页
QB-XX-XXX-2004
在结果中发现/sbin/xlogin这个不正常的字串, strings /sbin/xlogin发现/usr/lib/libX.a/bin/netstat, 进入/usr/lib/libX.a/目录,看看有些什么异常,
看到wipe --- 日志清除工具. 看到syn --- 拒绝服务工具
这2个工具是入侵者常用的工具,安全技术人员应该掌握。
在./bin下面还发现了更改后的strings ps netstat 等文件。这些是用来隐藏自己的。到这里,可以确认此台机器已经被入侵并被安装了后门。 2.3系统安全事件高级检测方法 2.3.1 Windows系统高级检测技术规范
2.3.1.1 Windows高级检测技术规范
这里介绍的类攻击技术所造成的问题就是相对的一般性检测技术比较难以发现,下面是对一些高级攻击方法进行检测的操作介绍: 1) 系统日志的检测 检测系统日志文件
系统在受到溢出攻击后,会在日志留下记录,因为服务一但被溢出后就会停止:
检查web、ftp和smtp等服务日志,溢出攻击一般会在日志中留下记录;日志通常在%systemroot%\\system32\\logfiles目录下面。 2) 查找是否有隐藏的帐号
打开regedit,打开其中的sam键和快照对比,看其中是否有被修改了的痕迹;
第 43 页 共 89 页
QB-XX-XXX-2004
打开计算机管理器,查看guest帐号是否被激活,看看netshowservies、IUSR_machine、IWAM_machine、TsInternetUser等帐号是否存在,如果存在的话请检测他们有没有被修改密码,对于IUSR_machine、IWAM_machine两个帐号而言,要保证这两个帐号不是administrators组的,而仅仅是Guests组的成员。 3) 查看应用程序的日志
查看应用程序的帐号登录等相关信息,看看有没有人非法使用帐号。 查看应用程序日志是否被修改。 4) 查看有没有非法的web脚本程序
利用find str ―cmd‖ c:\\*.* 查看所有硬盘上的文件有没有非法的web脚本后门,如果含有cmd关键字的动态脚本,那么就一定要注意这个脚本的功能,有可能是用来穿透防火墙的web后门。
2.3.1.2 Windows高级检测技术案例 2004年7月,国内某著名网站受到攻击。 检测方法:
检测系统日志文件,界面如下
发现无数的帐号登录失败的记录,从时间来看在1分钟内不可能登录系统这么多次。 查找是否有隐藏的帐号
安全人员接下来查看了所有用户,发现了一个可疑的用户: D:\\>net localgroup administrators 别名 administrators
注释 管理员对计算机/域有不受限制的完全访问权 成员
Administrator IWAM_CNNS
第 44 页 共 89 页
QB-XX-XXX-2004
这个命令是查看administrators管理员组里有哪些用户,发现iwam_cnns是administrator权限,经与快照对比确认,iwam_cnns是非法新增用户。 接下来net user 查看所有用户: D:\\>net user
\\\\SECURITY 的用户帐户
------------------------------------------------------------------------------- Administrator bobo Guest
IUSR_CNNS IWAM_CNNS TsInternetUser
然后在计算机组件里查看所有用户
发现计算机组件里有一个ipc$,用net user是看不到这个ipc$帐号的,这是个非正常现象,系统维护人员确定了这个帐号是被黑客创建的隐藏的帐号。 2.3.2 Unix系统高级检测技术规范
2.3.2.1 Solaris高级检测技术规范
针对Solaris高级攻击技术和隐藏技术进行检测 1) 检测缓冲区溢出攻击
检测core文件, (find / -name ―core‖ –print)
系统在受到缓冲区溢出攻击后,多会留下core 文件.分析core 文件可以得到一些线索
第 45 页 共 89 页
QB-XX-XXX-2004
检查系统日志,,溢出攻击一般会在日志中留下记录
检查是否有可能存在溢出的服务, 如匿名Ftp服务, telnet服务等, 检查它们是否有当掉等, 有些rpc服务会在被溢出后当掉。 2) 检测rootkit(内核后门)
a.使用chkrootkit工具检测已知的rootkit、worm等 这个工具可在这里下载(这是for Solaris8 x86的):
ftp://ftp.sunfreeware.com/pub/freeware/intel/8/chkrootkit-0.42b-sol8-intel-local.gz
b.查找没有属主的文件(find / -nouser –o –nogroup –print) c查找隐藏文件( find / -name ?.*‘ –print) 与系统快照进行对比, 检测文件是否改变 使用lsof检测文件和进程关联
第 46 页 共 89 页
QB-XX-XXX-2004
这个工具可在这里下载(这是for Solaris 8 x86的):
ftp://ftp.sunfreeware.com/pub/freeware/intel/8/lsof-4.68-sol8-intel-local.gz
e 检测可加载内核模块后门
/usr/sbin/modinfo, 与系统快照进行对比
查找不正常的内核模块,比如id 不正常, 出现不连续的模块id等
f.检测login后门
使用md5检测/usr/bin/login并与快照进行对比 使用strings查看可疑字串
第 47 页 共 89 页
QB-XX-XXX-2004
g检测su后门
使用md5检测su并与快照进行对比 使用strings查看可疑字串
2.3.2.2 Unix高级检测技术案例
针对Unix高级攻击技术和隐藏技术进行检测的案例 情况描述: 这是某省信息港Solaris 8 Sparc主机被人植入rootkit,系统文件被替换的情形。通过基本的检测没有发现不正常现象。因此要采取一些高级的检测方式检测。 案例分析:
缓冲区溢出攻击的检测
第 48 页 共 89 页
QB-XX-XXX-2004
通过检查core文件,没有发现什么. 检查rootkit
通过chkrootkit检查,没有发现异常。 查找没有属主的文件 查找隐藏文件
没有发现异常
与系统快照进行对比, 检测文件是否改变 使用lsof检测文件和进程关联
第 49 页 共 89 页
QB-XX-XXX-2004
这里是lsof | grep *: 的输出结果。在最下面一行标记,发现名为sendmail的进程,,监听TCP:2457端口,正常情况Sendmail不会开这么高的端口; 继续检测,telnet localhost 2457,
发现是SSH服务端,还改了个sendmail的名字,确认为被入侵并被安装了rootkit后门。 总结:
在基本检测中,没有发现它的。可见rootkit隐藏了端口和进程(通过替换netstat 和 ps文件)。这里查出了rootkit.。其实可以用干净的备份系统命令做一下验证。
第 50 页 共 89 页