PHP远程DoS漏洞深入分析及防护方案.doc

防护方案：匿名者攻击跟踪分析 Content 攻防态势 3 攻击：匿名者及#opchina 3 DDoS攻击及网页篡改为主 3 防护：主管机构 6 防护：用户 6 网站监测 6 防护：安全厂商 7 云端监测 7 匿名者攻击防护方案 8 漏洞加固 8 DDoS防护 9 应用防护 9 解决方案 10 We’re keeping, we’re watching 11 关于绿盟科技 11 We’re keeping,We’re watching 5月响应工作随即启动 28日，绿盟科技威胁响应中心接报，匿名者（Anonymous）发起Opchina的动作，信息监测升级； 29日 30日，将线上及线下信息汇总 1日对各方面信息汇总发布防护方案 绿盟科技威胁响应中心持续关注匿名者攻击事件的进展如果您需要了解更多信息请联系 绿盟科技威胁响应中心 /threatresponse 绿盟科技微博 /nsfocus 绿盟科技 搜索公众号 绿盟科技 攻防态势 攻击：匿名者及#opchina 匿名者该组织从诞生的那天起，就有着极为浓厚的政治背景。 其攻击展开一般分成3个阶段，第一个阶段是进行网路的招募和沟通，第二个阶段是识别并进行针对网络应用的攻击，第三个阶段是大规模的DDoS攻击。由于其组织比较松散，其招募和沟通过程，常常会有一个关键词来标识对应的行动。早在2011年，Twitter上就出现了针对中国的关键词#opchina ，后续在Facebook上又出现了 Operation China的账户意指针对中国的攻击行动opSyria等 事实上，匿名者针对中国的攻击从未停止。2015年 DDoS攻击及网页篡改为主 截止5月30日24时止，从获取的信息来看，已知的攻击源主要来自日本、菲律宾和越南，攻击的主要形式依然是DDoS，配合一些网页篡改的攻击形式。结合以往的经验来看， DDoS攻击方面 中相关介绍可以看到。但目前从监测情况来看，并未发现大规模DDoS攻击事件。 网页篡改方面 常见的网页篡改形式，包括利用漏洞控制Web服务器，XSS跨站攻击，DNS劫持与污染，ARP攻击诱使访问者访问其他页面等，从历次攻击情况来看，前面几种使用的较多。 目前监测情况 以上数据覆盖的地区分布情况如下 防护：主管机构 面对匿名者发起攻击的形式 防护用户 随着主管机构的通报以及各界媒体的快速报道广大的用户也积极行动起来通过自建系统或安全厂商提供的安全设备对相关的业务环境进行监测及防护也有相当多的用户主动找到我们要求获取相关信息及持续的技术支持 网站监测 ），该系统能够帮助监管者和运营者，在面对辖区大量网站安全评估时，通过自建网站监测统一平台，从网站漏洞扫描、页面挂马、篡改、域名劫持、敏感内容、可用性多个维度，实现7*24小时综合高效监测，最大程度提高网站安全风险管理。 WSM不仅仅使用通常的水印技术来判断篡改，而是通过分析目标网页，提取网页中包含的各种特征，用这些网页特征来记录网页。依据数据库特征对比分析页面，更准确的判断页面发生的变化是属于正常变化还是非法篡改，提高了页面篡改检测的准确度。如下为网页篡改监测设置选项及告警画面。 根据以往应对“匿名者”攻击的防护经验来看，在一些大型的企业或组织中，这样的防护或许并不能快速执行，其原因在于：1需要考虑业务系统的可用性；2需要考虑整体实施方案制定；3需要尽可能降低加固动作对业务环境的二次伤害。这就需要企业自身、漏洞相关厂商、安全厂商一起协作才能形成快速、安全、有效的行动方案，避免业务系统在获得安全加固之前遭受攻击。 而另外一方面，一些小型的网站也有可能面临无法快速防御的局面，这些网站往往知道漏洞情况，并且也知道面临的威胁，但限于资源配备及专业技术支持，面对攻击的时候往往有心无力。 防护安全厂商 从目前获取数据来看一线城市大中型客户受到此次攻击影响极小 云端监测 针对这种情况/ 匿名者攻击防护方案 漏洞加固 在此次攻击中还出现一些利用系统漏洞进行攻击的形式 最近一周显示，近期值得关注的高危漏洞如下： CVE编号 CVSS评分 厂商 CVE-2015-2110 10 hp CVE-2015-3331 9.3 linux CVE-2015-1550 9 arubanetworks CVE-2015-2123 9 hp CVE-2015-0160 9 ibm CVE-2014-6628 9 arubanetworks CVE-2015-2120 8.7 hp CVE-2015-3810 7.8 wireshark CVE-2015-2122 7.8 hp CVE-2015-2121 7.8 hp CVE-2015-1157 7.8 ap