返回
证券安全事件应急响应报告

证券安全事件应急响应报告

ID:41839231

大小:80.50 KB

页数:5页

时间:2019-09-03

证券安全事件应急响应报告_第1页
证券安全事件应急响应报告_第2页
证券安全事件应急响应报告_第3页
证券安全事件应急响应报告_第4页
证券安全事件应急响应报告_第5页
资源描述:

《证券安全事件应急响应报告》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、文档信息文档名称证券安全事件应急响应报告适用范围本文档是在证券公司安全服务项目屮所制作的文档。扩散范围0证券公司管理层0证券公司项目组0公司项目组分发控制编号读者权限与文档主要关系1公司项目组创建、修改、读取项目组成员负责编制、修改、审核本文档2证券公司项目组读取、建议最终用户3证券公司管理层审阅最终用户版本历史版本编号创建日期制作人说明V0.92009-3-24完成撰写V1.02009-3-25审核1事件概述12事件处理过程13事件分析结果24后续工作建议35附件:具体审计检测结果41事件概述2009年3月23日上午11点左右星辰现场运维人员发现

2、两台FLASH行情服务器受到入侵,在第一时间做出反应,控制了入侵的入口。在信息安全部的领导下、经过启明星辰现场运维技术人员及专家团的努力,对受影响的服务器做了深入分析,确定本次入侵所造成的影响轻微,并且影响范围及危害已经得到了有效控制。2事件处理过程现场运维人员在3月23日上午,接到电子商务部的电话,FLASH行情服务器10.1.50.21、10.1.50.22可能受到入侵,现象为:在TOMCAT的WEBAPPS目录下增加了虚拟目录,并且上传了名为135.exe的可执行程序,另外系统的远程控制功能被自动打开,系统管理员已经删除被增加的虚拟目录和可执

3、行程序,并备份了虚拟目录中的内容,关闭了远程控制功能,要求启明星辰协助对该服务器彻底检查。启明星辰现场运维人员立即赶赴现场,到现场分析后,发现系统被上传了WEBSHELI?程序,初步判断被入侵,立即做岀了反应,将WEBSHELL备份在U盘,并在该服务器上删除了WEBSHELL程序。将系统日志、系统配置文件、TOMCATwebshell是web入侵的脚本攻击工具,简单的说来,webshcll就是一个asp或php木马后门,通过它可以上传下载文件、查看数据库、执行任童程序命令等。TOMCAT是一个世界上广泛使用Web服务程序。0志及系统配置文件进行下载

4、,然后对这些文件及WEBSHELL程序进行综合分析。同时将这些文件发给了我公司的专家团成员,耍求他们协助进行分析。在下午2点左右,现场分析人员通过分析TOMCAT系统日志,找到入侵的入口。原因是由于TOMCAT默认管理员用户存在弱口令,且存在默认的TOMCAT的后台管理程序。入侵者通过TOMCAT的管理员用户登录到系统中,上载了WEBSHELL程序。于是立即通知系统管理员,立即修改TOMCAT管理员用户密码,并增加口令的复杂度,同时删除了默认管理接口。下午4点左右,专家分析人员到达银河现场,指导现场分析人员分析,并对系统齐日志、IDS的报警事件进行

5、分析。通过分析找到针对10.1.50.2K10.1.50.22的异常访问的IP地址,并对这些IP地址进行了追踪。通过追踪发现,入侵者是以这些1P地址作为跳板进行入侵的。并在下午5点左右向信息安全部进行了汇报。通过分析,入侵者技术能力一般,其计划打开操作系统的远程控制功能来进行远程控制,但由于我们已经在防火墙上对远程控制端口进行了限制,因此这种控制方式无法得逞,其入侵造成的影响不大。为确认入侵影响,专家分析人员在晚上继续对口志及配置文件进行分析,并在24日对服务器继续深入分析受到的影响,评估造成的损失。信息安全部对此事高度重视,24日上午专门召开会议

6、对事件处理进行指导。3事件分析结果启明星辰项目组做了深入的日志分析、并对相关设备进行扫描。对10.1.50.2k10.1.50.22这两台服务器的分析项目及结果如下:编号审计项名称

7、子项数异常检测

8、安全审计1系统环境信息33无异常2安装程序信息109无异常3系统启动审计14无异常4系统补丁更新1无异常5外接设备审计7无异常6网络配置审计40无异常7开放端口审计36无异常8系统安全设置审计21无异常9用户及权限审计39无异常10系统驱动审计170无异常11系统服务审计107无异常12系统进程审计57无异常13系统模块审计459无异常14系统动态链接库

9、审计1024无异常15系统可执行文件审计389无异常16系统控件审计11无异常17系统虚拟驱动审计1无异常总检测项2518无异常有部分安全隐患(各具体子项分析结果见附件。)通过分析,没有发现入侵者留下后门、木马等程序,且没有修改系统配置及应用程序设置,这两台FLASH行情服务器,数据是公开数据,因此也不存在信息泄露的影响。10.1.50.21>10.1.50.22两台服务器还将三台服务器(192.168.88.40、192.168.88.35、10.1.30.119)的硬盘做了本地映射,因此对这三台服务器服务器也进行了分析。由于10.1.50.21

10、、10.1.50.22的映射盘为只读权限,因此不能在192.168.88.40、192.168.88.35、10.1.30

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。