“日照日报社门户网站”安全应急运维服务方案.docVIP

IT运维服务 “日照日报社门户网站”安全应急运维服务方案 【导读】日照新闻网是日照日报社主办的综合性门户网站，是日照市网上新闻宣传和舆论引导的重要力量。由于最近一段时间日照新闻网遭受了不明原因的攻击，致使服务器负载居高不下，严重时甚至停止对外提供服务。日照日报社委托山东省软件评测中心对日照新闻网系统进行安全性测评。通过测评解决网站的安全困境，指导网站系统下一步的建设工作。 【单位介绍】《日照日报》创刊于1988年，是中共日照市委机关报，日照地区唯一一份有国家统一刊号的报纸，日照地区最具权威性、指导性、开放性和前瞻性的强势媒体。日照新闻网，是日照日报主办的综合性门户网站，是日照市新闻宣传力量的重要组成部分。日照新闻网依托日照日报的新闻资源，以本地新闻为主，为广大网民提供一个健康向上、文明开放的信息网络平台。整个新闻网由26个频道100多个栏目组成。 涉及新闻、旅游、财经、楼市等众多内容，为用户提供日照最新的新闻信息，以及当天的《日照日报》、《日照日报黄海晨刊》。 【项目背景】日照新闻网由于网络结构简单，安全防御不到位，遭到大量的外部攻击，造成服务器负载居高不下，严重时甚至停止对外提供服务。网络攻击给报社带来很大的负面影响，包括网站排名急剧下降、网站访问量锐减、甚至有广告投放商要求赔偿。为有效解决网站面临的安全问题，日照日报社委托山东省软件评测中心对日照新闻网系统进行安全性测评。通过测评找出网站被攻击的原因和网站系统潜在的其他安全隐患，为下一步的整改工作指明了方向。 【实施过程】 安全运维人员分成两组工作。一组进行日志分析,通过对安全设备日志、主机日志、应用系统日志等进行查看分析，找出系统遭受的攻击类型。另一组熟悉网络结构,并对网络设备、主机、应用进行等进行安全检查和工具扫描，找出系统存在的安全隐患。最后两组的工作成果进行汇总、综合分析，逐一排查，找出网站被攻击的原因。 由于在进行安全测评之前，攻击事件已发生一段时间，而且网络结构也发生了变化，无法把之前的攻击复现。测评组工作人员通过检测各种日志、服务器、网络设备、安全设备等查找原因。在经过近8个工作日的紧张现场测评后，测评组理清了当前网络结构，分析了大量的日志文件，采取工具扫描和人工检测的方式检查了六台服务器（其中包括五台Linux服务器、一台windows服务器），检测了网站数据库和日照新闻网网站系统，查看了防火墙、IPS等安全设备的策略配置，检测了三台交换机的策略配置，并对当前机房存在的安全隐患进行了系统测评。通过检测分析，找出了之前网站被攻击的原因，并且发现了其他潜在的安全威胁，为下一步的整改工作提供了思路。 一、网站被攻击的原因分析 通过对反向代理服务器、Web服务器、数据库服务器、防火墙的扫描、检测，发现整个网站系统存在较多安全隐患。结合对大量日志的分析结果,工作人员判定之前网站不能访问的直接原因是受到了外界的DDOS攻击。 DDOS即分布式拒绝服务攻击，是一种常见的网络攻击方式。其表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。 日志分析 在通过对天融信防火墙NGFW4000日志状态截图，反向代理服务器日志，启明星辰入侵防御系统日志，天泰WEB防后墙日志与截图的日志分析后，测评人员发现：可疑IP地址80余条，攻击种类共24种。在众多攻击方式中，主要攻击方式为SYN Flood。并且实施SYN Flood攻击IP地址地理位置为天津和日照五莲，所有攻击方式仅针对2004年以前版本的操作系统或者网页漏洞进行攻击。初步判断近期针对网站攻击发起人为初级黑客。 网站扫描 工作人员使用绿盟远程安全评估系统对网站进行了安全扫描，发现网站存在跨站漏洞；robots文件网站结构信息泄露；网站存在大量无效链接；服务器可能存在系统路径信息泄露。 数据库扫描 工作人员利用北京安信通数据库扫描系统对数据库进行扫描，发现攻击者利用mysql数据库中的示例数据库攻击服务器；Super权限授予了除root账户的backup用户，拥有该权限的用户可以终止其他用户的mysql进程；另外，数据库在参数值设定、端口选择、口令设置、漏洞修补方面都存在较多问题。 主机检测 测评单位通过使用工具扫描和人工检测结合的方式，对反向代理服务器和网站服务器进行安全检测。其中，操作系统口令存在漏洞；未设置SYN Flood攻击防范；日志信息本地保存等问题都对网站系统安全性产生巨大影响。 二、潜在的其他安全问题 为使网站系统更加安全，山东省软件评测中心的测试人员查找了其他潜在的安全隐患，对物理安全、网络