网工安全攻击 – 运维日常

Table of Contents

一句话木马

一句话木马是一种简短的脚本代码，通常用于远程控制Web服务器。这种木马之所以被称为“一句话”，是因为它的代码通常非常短小，可以轻松地通过HTTP POST请求等方式上传到Web服务器。一句话木马的主要目的是提供一个后门，使攻击者能够在没有授权的情况下访问和控制Web服务器。

常见的一句话木马形式:

php 的一句话木马:php@eval ($_POST [‘pass’])
asp 的一句话是:eval (request (“pass”))
asp 的一句话是:@Page Language=”Jscript” eval (Request.Item [“pass”],”unsafe”)

防御方法:
1. 限制文件上传类型。禁止用户上传 php 文件。
2. 禁止上传目录的可执行权限。
3. 禁用 eval 函数等等。
4.使用WAF

APT攻击

APT (Advanced Persistent Threat，高级持续性威胁)，是一种针对特定目标进行长期持续性网络攻击的攻击模式。

典型的 APT 攻击一般会带有以下特征：持续性攻击者通常会花费大量的时间来跟踪、收集目标系统中的网络运行环境，并主动探寻被攻击者的受信系统和应用程序的漏洞。即使一段时间内，攻击者无法突破目标系统的防御体系。但随着时间的推移，目标系统不断有新的漏洞被发现，防御体系也会存在一定的空窗期 (例如设备升级、应用更新等)，而这些不利因素往往会导致被攻击者的防御体系失守。

终端性：攻击者并不是直接攻击目标系统，而是先攻破与目标系统有关系的人员的终端设备 (如智能手机、PAD、(USB 等等)，并窃取终端使用者的账号、密码信息。然后以该终端设备为跳板，再攻击目标系统。

针对性：攻击者会针对收集到的目标系统中常用软件，常用防御策略与产品，内部网络部署等信息，搭建专门的环境，用于寻找有针对性的安全漏洞，测试特定的攻击方法能否绕过检测。

未知性：传统的安全产品只能基于已知的病毒和漏洞进行攻击防范。但在 APT 攻击中，攻击者会利用 0DAY 漏洞进行攻击，从而顺利通过被攻击者的防御体系。

隐蔽性：攻击者访问到重要资产后，会通过控制的客户端，使用合法加密的数据通道，将信息窃取出来，以绕过被攻击者的审计系统和异常检测系统的防护。

APT 防御措施

目前，防御 APT 攻击最有效的方法就是沙箱技术，通过沙箱技术构造一个隔离的威胁检测环境，然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量，则可以通知 FW 实施阻断。

内网电脑中毒常见的措施

如果是可以传播病毒类型，则断开网络、升级操作系统补丁修复漏洞、隔离主机、屏蔽相应的端口、备份数据。

SQL 注入

SQL注入是一种常见的安全漏洞，攻击者通过在输入中插入恶意的SQL代码来操纵数据库查询。为了防范SQL注入攻击，可以采取以下措施：

1. 使用参数化查询或预编译语句
参数化查询：这是最有效的防止SQL注入的方法之一。参数化查询将数据与SQL命令分离，确保用户输入不会被解释为SQL代码。
预编译语句：在执行之前编译SQL语句，并绑定参数值，这样可以有效防止SQL注入。
2. 输入验证和清理
输入验证：对所有用户输入进行严格的验证，确保输入符合预期的格式和类型。例如，数字字段只允许数字输入。
输入清理：去除或转义特殊字符（如单引号、双引号、分号等），以防止它们被用作SQL代码的一部分。
3. 最小权限原则
数据库用户权限：为应用程序使用的数据库用户分配最小必要的权限。例如，如果应用只需要读取数据，则不要赋予其写入或删除数据的权限。
限制敏感操作：避免使用管理员级别的账户运行应用程序，而是使用具有有限权限的账户。
4. 存储过程
使用存储过程：存储过程可以在数据库服务器上预先定义并编译，减少SQL注入的风险。但是，需要注意的是，即使使用存储过程，仍然需要正确处理输入参数，否则仍可能受到注入攻击。
5. 错误信息管理
隐藏详细错误信息：不要向用户显示详细的错误信息，因为这些信息可能包含有助于攻击者的信息。应该记录错误日志并在前端显示通用的错误消息。
6. 使用ORM（对象关系映射）框架
ORM框架：使用如Hibernate、Entity Framework等ORM框架可以帮助开发者自动处理SQL查询，从而减少SQL注入的风险。但需要注意的是，即使是ORM框架，也需要正确配置和使用。
7. Web应用防火墙（WAF）
WAF：部署Web应用防火墙可以检测并阻止一些常见的SQL注入攻击。WAF可以作为额外的安全层，但它不能替代上述其他防护措施。
8. 定期安全审计和更新
代码审查：定期进行代码审查，检查是否有潜在的SQL注入漏洞。
安全补丁：及时更新和打补丁，特别是数据库管理系统和应用程序框架的安全补丁。
9. 使用安全编码实践
培训开发人员：确保开发人员了解SQL注入的风险，并掌握预防SQL注入的最佳实践。
遵循安全编码指南：遵守OWASP（开放网络应用安全项目）等组织提供的安全编码指南

网络钓鱼

网络钓鱼是一种常见的网络安全威胁，攻击者通过伪装成可信实体（如银行、社交媒体平台或其他服务提供商）来诱骗用户提供敏感信息，如用户名、密码或信用卡信息。以下是一些有效的防范措施：

1. 教育和培训
用户意识：定期对员工和用户进行安全意识培训，教育他们识别钓鱼邮件、短信和网站的特征。
模拟演练：通过模拟钓鱼攻击来测试员工的反应，并提供反馈和进一步的培训。
2. 使用多因素认证（MFA）
增强安全性：启用多因素认证可以增加账户的安全性，即使密码被窃取，攻击者也难以访问账户。
3. 验证发送者身份
检查发件人地址：仔细检查电子邮件的发件人地址，确保它与官方域名一致。
警惕紧急请求：对任何要求立即采取行动或包含紧迫性的消息保持警惕。
4. 不点击可疑链接
手动输入URL：如果收到需要登录某个网站的邮件，不要点击邮件中的链接，而是手动输入官方网站的URL。
鼠标悬停检查：将鼠标悬停在链接上查看其实际指向的URL，以确保其真实性。
5. 检查网站的安全性
HTTPS：确保网站使用HTTPS协议，这表示数据传输是加密的。
安全证书：检查网站的安全证书是否有效，避免访问没有有效证书的网站。
6. 安装和更新安全软件
防病毒软件：安装并定期更新防病毒软件，以检测和阻止恶意软件。
防火墙：配置和使用防火墙来监控和控制网络流量。
7. 谨慎处理个人信息
保护个人数据：不要轻易在不可信的网站上输入个人信息，尤其是敏感信息。
隐私设置：在社交媒体和其他在线平台上加强隐私设置，限制个人信息的公开程度。
8. 使用垃圾邮件过滤器
邮件过滤：使用垃圾邮件过滤器来自动筛选出潜在的钓鱼邮件。
黑名单：将已知的钓鱼邮件发送者加入黑名单。
9. 报告可疑活动
内部报告机制：建立一个简单易用的内部报告机制，鼓励员工报告可疑邮件或活动。
外部报告：向相关机构（如ISP、反欺诈组织等）报告可疑的钓鱼活动。
10. 使用最新的浏览器和操作系统
保持更新：使用最新版本的浏览器和操作系统，因为这些版本通常包含了最新的安全补丁和防护措施。
11. 双重检查信息
独立验证：对于涉及金钱交易或重要信息变更的请求，通过其他渠道（如电话）独立验证信息的真实性。
12. 避免使用公共Wi-Fi
安全连接：尽量避免在公共Wi-Fi网络上进行敏感操作，因为这些网络可能不安全。

网络常见防护设备

根据公安部要求，公司需要针对某业务系统开展等保三级测评，结合该公司网络拓扑图，需要购置相关安全设备。
针对要求点“应在关键网网络节点检测、防止或限制从外部或内部发起的网络攻击行为”选购的设备是（IPS/IDS）；
针对要求点“应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析”选购的设备是（安全审计）；
针对要求点“应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并针对这些操作进行审计”选购的是设备是（堡垒机）；
针对要求点“应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞”选购的设备是（漏洞扫描器）。