成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

五種征兆提醒我們Web應用正遭受攻擊

譯文
開發 前端
網站內容被篡改?數據庫出現轉儲?神秘的文件不時出現?沒錯,這一切都意味著你的Web應用程序很可能已經受到黑客攻擊——今天我們要探討的就是判斷這類問題的存在,并以具備通行性的方式加以解決。

網站內容被篡改?數據庫出現轉儲?神秘的文件不時出現?沒錯,這一切都意味著你的Web應用程序很可能已經受到黑客攻擊——今天我們要探討的就是判斷這類問題的存在,并以具備通行性的方式加以解決。

當客戶與我們的業務進行互動時,其首先接觸到的往往正是Web應用程序。Web應用可以說是企業公眾形象的關鍵性代表——但正是這種極高的曝光度也使其成為惡意人士們的主要針對對象。

[[154776]]

大多數指向Web應用程序的攻擊活動非常隱蔽而且難于發現。根據Verizon 2015數據泄露調查報告所言,目前攻擊者們一旦侵入到企業內部環境,其潛伏而未被發現的平均周期長達205天——這顯然構成了嚴重的安全問題。大多數企業其實根本無力主動發現自身已經被惡意人士所入侵的事實,直到他們接到執法部門或者憤怒客戶發來的消息。

那么我們要如何判斷自身的Web應用程序是否已經受到攻擊?“當大家的Web應用程序被入侵,最重要的初始征兆就是其開始出現行為異常,”Information Security論壇管理負責人Steve Durbin指出。因此要想及時發現入侵事故,關鍵在于深入理解Web應用程序的正常行為狀態,而后認真排查各類不合常理的運作表現。

在今天的文章中,我們將探討五種可能預示著Web應用程序遭到入侵的顯著征兆——而這也應該成為大家排查問題的最佳起點。除此之外,大家還能夠從中了解到與Web應用程序安全保護相關的常識性建議,并利用它們更為準確地判斷自身當前安全態勢。

征兆之一:應用程序的運行狀況與設計規劃不符

對應用程序進行監控可以說是大家揪出異常狀況的最佳途徑——是的,沒有之一。

也許大家會發現自己的應用程序如今需要耗費更多時間來渲染由數據庫提供的結果頁面,且整個時間周期遠高于過去。另外,應用程序也許會以預期不同的次數顯示某些頁面,或者將用戶重新定向至完全不同的其它頁面。也許網絡流量會突然增加,但企業本身卻沒有任何合理的營銷活動來支持這種莫名其妙的高訪問量。舉例來說,某家每天平均訂單數量為50筆的小型在線店鋪突然出現每天高達5000次的訪問流量,那么別急著開心——這肯定是出了問題。

當然,這些還不足以完全證明我們的Web應用程序已經遭到攻擊。緩慢的頁面載入狀況很可能源自某些臨時性的網絡連接問題——甚至是某些DDoS攻擊,如果大家有理由相信攻擊者可能采取這種手段的話。不過相比之下,積極采取行動進行調查肯定要比坐到更大的問題突然降臨好得多。

如果應用程序將用戶重新指向至其它頁面,請務必馬上調查其實際原因。這到底是惡意廣告劫持頁面功能所導致?還是頁面中的代碼最近進行過變更?抑或是數據庫當中的信息遭到了篡改?總而言之,請大家養成利用正常行為對生產環境下的應用進行解析的好習慣,這樣預期之外的狀況會被立刻發現并接受我們的深入調查。

征兆之二:發現預期之外的日志信息

如果設置得當,那么日志信息將成為我們揪出攻擊活動的寶貴礦脈。經過篩選的數據庫日志能夠昭示出與預期不符的查詢活動,同時顯示該信息的出現時間。如果數據庫日志在短時間內顯示出多項錯誤,這可能代表著某人正在應用程序當中游弋以搜尋——或者已經找到——SQL注入載體。這時我們需要回溯該數據庫查詢的具體來源,并確保相關應用程序以正確方式處理了這些輸入請求。

我們的Web服務器軟件能夠通過系統FTP及HTTP日志記錄下所有入站與離站網絡連接(因此大家務必保證其處于啟用狀態)。通過提取與篩選,我們能夠從這些日志中發現未經授權或者惡意活動所留下的蹤跡。

Web服務器一般來講只需要與內部數據庫建立連接。如果出現了來自Web服務器并指向公共IP地址的離站網絡連接,那么我們必須馬上考慮其發生原因以及有可能代表的問題。某些沒有正當理由的文件傳輸行為則昭示著有數據離開了該Web服務器。這可能會成為重要的線索,進而幫助我們發現攻擊者從應用程序當中竊取數據并將相關內容發送至遠程服務器的活動。

另外,不要單純關注數據流出網絡之外的狀況,而忽略了業務環境內部的數據移動現象。如果Web服務器與其它內部網絡資源進行過通信,例如用戶文件共享與個人用戶計算機,那么這可能代表著攻擊者已經入侵到了企業內部環境當中并在網絡內到處游蕩。舉例來講,如果相關應用程序允許用戶進行文件上傳,那么請務必確保其使用專用的文件服務器而非企業內部的任意傳輸載體。

與服務器日志類似,應用程序日志也能夠在出現問題時向大家發出提醒,當然前提是其經過正確設置并受到嚴格監控。請確保對管理員級別的任務進行應用日志記錄,例如創建用戶賬戶或者管理員賬戶。如果Web應用程序創建了管理員級或者具備其它權限級別的賬戶,請立即驗證該賬戶的合法性——以避免高權限賬戶為攻擊者所獲取。

Web應用程序還應當顯示管理員們的確切登錄時間,這樣大家才能夠定期檢查并發現在意外位置以及時段進行的訪問操作。另外我們需要驗證管理員賬戶的實際行為。一般來講,不合常理的Web應用程序管理員賬戶操作往往意味著大家的業務環境已經遭遇到了惡意入侵。

如果我們發現表單提交相關錯誤數量增加或者在頁面載入的過程當中出現大量錯誤的狀況,那么很有可能意味著該應用程序正在嘗試進行一些與原始設計不符的操作。如果大家遇到了這類錯誤數量增長的現象,請立即追蹤觸發這些錯誤的對應頁面并排查其中可能被篡改的代碼。

征兆之三:發現新的進程、用戶或者任務

對Web服務器上的各項進程加以監控,這能夠幫助大家快速了解服務器上未知進程的擴散或者已知進程在非正常時間段內運行等異常狀況。一般來講,未知進程的出現在很大程度上意味著我們的應用程序已經不再處于正常的受控范圍之內。

一旦攻擊者在服務器上獲得了一個賬戶,那么其幾乎已經能夠為所欲為了。定期對服務器進行監控以掌握用戶創建活動因而十分重要,特別是那些具備一定權限的用戶賬戶。這些賬戶通常并非新近創建而成,因此我們有必要對全部賬戶進行篩查——無論其具體創建時間如何。如果特定用戶不應要求提升自身權限或者root訪問資格,但卻出現了請求提交的情況,那么我們幾乎可以認定其登錄憑證已經為攻擊者所竊取。

我們應當養成在Linux服務器上查看定時任務(即crontab)或者在Windows服務器上查看計劃任務的好習慣,這能幫助大家切實掌握正常狀況下的各條目運作情況。如果有新任務被添加進來,這可能意味著我們的Web應用程序正在進行一些預期之外的活動。也許最終大家會發現其根源只是一項臨時性維護任務——但我們也不能排除這是攻擊者在家中利用自己的手機從應用程序處定期獲取來自命令與控制服務器新指令。攻擊還可能會以自動化方式分批向遠程服務器發送額外數據,這些都是值得關注的顯著征兆。

征兆四:文件內容遭到修改

Web應用程序當中幾年以來始終未被修改過的文件是否會在近期顯示出時間戳變更?如果我們的Web服務器沒有經過正確配置或者應用程序當中存在安全漏洞,那么攻擊者們很可能會對應用進行修改以運行他們的惡意代碼。相關惡意代碼往往會被注入至JavaScript或者經過重量寫的模塊。有鑒于此,大家需要檢查時間戳以確保各文件沒有在未經授權的情況下受到修改。如果文件已經遭到修改,那么請將其與原有版本進行比對,從而了解其中的具體變更內容。

目前有多款實用程序能夠掃描應用程序,從而揪出其中的惡意代碼。因此請定期運行以確保我們不至于遺漏任何重要的文件內容變更。(Sucuri就是這樣一款出色的工具。)

另外,我們的Web服務器上是否出現了大量在正常使用情況下不可能存在的新文件?Web root當中出現新文件明顯不屬于正常情況,特別是在這些新文件屬于腳本或者其它類型的可執行文件時。將文件添加至Web root下應當是一個經過詳盡記錄的過程,而且所有相關活動都應遵循既定計劃的引導。如果大家在Web root或者服務器的其它位置發現了新文件,那么恭喜——您已經中招了。攻擊者可能在利用大家的應用程序進行惡意軟件傳播,包括針對其它不知情網站的訪問者或者運行腳本將其重新定向至其它位置。當然,新出現的文件也可能以純文本格式出現,其中包含有攻擊者已經收集到的各類有價值數據。

曾經有攻擊者創建了一個全新目錄,并在其中安裝自己的應用程序。相較于直接與Web應用程序發生接觸,他們更依賴于利用域以及服務器來運行自己的惡意工具。

如果大家的Web應用程序使用第三方插件,那么請檢查這些插件以確保它們不會在未經提醒的情況下進行更新或者安裝。千萬不要隨便安裝此類插件,因為它們雖然能夠讓我們的網站看起來更酷炫,但同時也會給站點帶來惡意代碼入侵的可能性——因此大家必須以審慎的態度加以對待。以White Hat Security為代表的這類掃描工具能夠切實幫助大家發現潛在的攻擊性代碼。

征兆之五:收到警示信息

如果大家的應用程序遭到入侵并已經開始傳播惡意軟件,那么其它安全工具很有可能已經將其列入了高危名單。谷歌公司在匯總Chrome瀏覽器用戶的使用經歷并對高危頁面進行屏蔽方面做得非常到位;當然,其它瀏覽器廠商也會定期更新自己的惡意站點黑名單。定期利用這些瀏覽器來檢查自己的應用程序,觀察其中是否給出了任何警示信息——或者直接利用谷歌推出的Safe powsing工具對自己的站點加以審查。

監控社交媒體及幫助臺電子郵件以了解來自用戶的真實聲音。如果用戶表示他們由于相關郵件被自動標記為垃圾郵件而無法進行密碼重置,那么我們就應當考慮自己的應用程序是否已經被網絡安全行業認定為垃圾郵件中繼。

請記住:安全保護工作對于Web應用程序同樣重要

如果發現了安全問題的存在,我們應當立即對應用程序以及相關服務器進行備份,從而保留可供未來取證的重要信息。如果大家從某套備份處進行恢復,那么請確保該副本清潔無污染,這樣我們才不至于在恢復的同時將惡意軟件也一同引入了業務環境。找出受到感染的文件,并將其替換為安全清潔的版本。當然,這也意味著備份需要定期進行以滿足當前業務的發展需要。

一旦應用程序已經恢復完成且不必要的文件被移除,請大家立刻變更全部現有密碼,其中包括面向CMS、管理員賬戶以及其它所有個別服務的密碼內容。另外,盡可能啟用雙因素難機制并設置VPN訪問,這能夠在保障應用程序安全的同時防止攻擊者利用原有登錄憑證重新侵入。

強化應用程序自身。移除其中不必要的權限,且永遠不要使用默認密碼。使用較難被猜到的目錄路徑是個不錯的辦法(最好不要使用/admin這種爛大街的路徑,攻擊者最先嘗試的肯定就是這一控制面板存儲位置)。對于PHP應用程序來講,其能夠在php.ini文件當中輕松啟用安全模式。安全掃描工具也能夠對應用程序當中的已知安全漏洞進行排查。

在我們的個人或者工作筆記本電腦中,大家肯定會使用反病毒軟件、關注自己所下載的程序并定期對操作系統以及第三方軟件進行更新。同樣的作法也適用于Web服務器以及應用程序。定期更新第三方應用程序能夠確保各類安全漏洞得到及時修復。服務器之上的現代反病毒工具亦可以捕獲大多數公開的Web shell并檢測到已經被安裝在服務器當中的惡意軟件。

在幾乎所有情況下,我們都需要恢復應用程序并解決其中可能會被攻擊者們所利用的漏洞。盡管從零開始重建服務器并設置應用程序的方式也是可行的,但這往往只是我們挽回局面的最后手段。如果沒有及時更新且清潔安全的備份數據,那么全盤重來恐怕將是大家惟一的選項。另外,如果大家沒有定期審視上文中提到的各項攻擊者已然入侵的征兆,那么各位也根本無法意識到自己的應用程序需要修復。總之,這是一項艱難且綜合性的任務,同志們加油!

原文標題:5 signs your Web application has been hacked

責任編輯:王雪燕 來源: 51CTO
相關推薦

2017-08-21 13:23:46

ERPExcel

2013-09-11 09:29:01

2012-11-01 14:02:04

2015-02-01 09:40:48

軟件項目

2016-02-29 15:44:01

云服務供應商服務水平協議云安全

2015-04-28 10:14:13

混合云混合云存儲私有存儲

2022-02-18 11:58:40

惡意電子郵件惡意軟件網絡攻擊

2018-03-16 08:49:00

職業生涯Python漸進式Web應用

2022-02-16 14:38:52

勒索軟件攻擊

2012-12-21 15:11:04

IE末日征兆

2015-07-22 14:34:58

私有云

2020-06-01 07:00:00

智能安全系統黑客網絡安全

2009-07-15 13:21:42

2013-11-15 11:24:04

2012-08-22 14:57:00

2012-09-24 10:01:37

虛擬化

2014-08-22 11:24:18

2024-12-11 12:35:43

2014-06-12 13:14:51

2013-03-21 09:24:28

點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 国产在线中文字幕 | 亚洲一区二区久久 | 国产在线不卡 | 久草网址| 国产精品区一区二区三区 | 国产高清免费 | 久久精品免费一区二区 | 亚洲成人免费视频在线 | 91黄色片免费看 | 熟女毛片 | 欧美日韩在线一区二区三区 | 婷婷福利视频导航 | 亚洲性网 | 国产精品日韩高清伦字幕搜索 | av不卡一区 | 国产精品久久久久久 | 亚洲精品视频久久 | 欧美日韩精品专区 | 久久99精品久久久久久国产越南 | 国产激情视频在线免费观看 | 国产精品夜夜春夜夜爽久久电影 | 亚洲一区中文字幕 | 毛片a级| 亚洲综合视频 | 久久成人免费视频 | 国产精品一区一区 | 欧美激情视频一区二区三区免费 | 精品粉嫩超白一线天av | 在线视频一区二区三区 | 综合久久一区 | 久久只有精品 | 亚洲国产精品久久久久婷婷老年 | 成人h免费观看视频 | 一区二区三区国产 | 欧美激情精品久久久久久 | 国产第一页在线观看 | 久久久久久久久国产成人免费 | 欧美日韩国产不卡 | 国产精品久久久久久久久久久免费看 | 成人在线网址 | av一二三区|