系统安全事件应急预案v10.doc

系统应急预案 V 1.0 2010年10月22日 目　录 TOC \o "1-5" \h \z 1 可能面临的威胁 1 1.1 拒绝服务攻击 1 1.2 网页挂马 1 1.3 网络扫描探测 2 1.4 口令攻击、暴力破解/穷举 2 1.5 网页篡改 2 1.6 漏洞攻击 3 1.7 注入攻击 4 1.8 跨站脚本攻击 4 1.9 病毒、恶意代码攻击 5 2 应急处理方案 6 2.1 拒绝服务攻击 6 2.1.1 发现手段 6 2.1.2 抑制和根除 6 2.1.3 恢复 7 2.1.4 跟进 7 2.2 网页挂马 7 2.2.1 发现手段 7 2.2.2 抑制和根除 7 2.2.3 恢复 7 2.2.4 跟进 8 2.3 网络扫描探测 8 2.3.1 发现手段 8 2.3.2 抑制和根除 8 2.3.3 恢复 9 2.3.4 跟进 9 2.4 口令攻击、暴力破解/穷举 9 2.4.1 发现手段 9 2.4.2 抑制和根除 9 2.4.3 恢复 10 2.4.4 跟进 10 2.5 网页篡改 10 2.5.1 发现手段 10 2.5.2 抑制和根除 11 2.5.3 恢复 11 2.5.4 跟进 12 2.6 漏洞攻击 12 2.6.1 发现手段 12 2.6.2 抑制和根除 12 2.6.3 恢复 13 2.6.4 跟进 13 2.7 注入攻击 13 2.7.1 发现手段 13 2.7.2 抑制和根除 14 2.7.3 恢复 14 2.7.4 跟进 14 2.8 跨站脚本攻击 15 2.8.1 发现手段 15 2.8.2 抑制和根除 15 2.8.3 恢复 15 2.8.4 跟进 16 2.9 病毒、恶意代码攻击 16 2.9.1 发现手段 16 2.9.2 抑制和根除 17 2.9.3 恢复 17 2.9.4 跟进 17 可能面临的威胁 拒绝服务攻击 DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。 分布式拒绝服务(DDoS：Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。 网页挂马 网页挂马就是黑客入侵了一些网站后，将自己编写的网页木马嵌入被黑网站的主页中，利用被黑网站的流量将自己的网页木马传播开去，以达到自己不可告人的目的。例如很多游戏网站被挂马，黑客的目的就是盗取浏览该网站玩家的游戏账号，而那些大型网站被挂马，则是为了搜集大量的肉鸡。网站被挂马不仅会让自己的网站失去信誉，丢失大量客户，也会让普通用户陷入黑客设下的陷阱，沦为黑客的肉鸡。 挂马的目的就是将木马传播出去，挂马只是一种手段。挂马使用的木马大致可以分为两类：一类是以远程控制为目的的木马，黑客使用这种木马进行挂马攻击，其目的是为了得到大量的肉鸡，以此对某些网站实施拒绝服务攻击或达到其他目的（目前绝大多数实施拒绝服务攻击的傀儡计算机都是挂马攻击的受害者）。另一类是键盘记录木马，我们通常称其为盗号木马，其目的不言而喻，都是冲着游戏帐号或者银行帐号来的。 网络扫描探测 扫描一个系统或者一个网络/网站，通常是为了发现这个被扫描的对象在提供哪些服务。目的是为了找出漏洞，进而实施攻击。如通过网络扫描探测，便可以得到当前服务器所运行的操作系统、WEB服务，或者邮件服务器、BIND、Telnet、FTP、RPC等详细信息和脆弱性。 目前主流的网络扫描探测的方法是：FIN扫描。FIN秘密扫描的工作原理就是向它的目的地一个根本不存在的连接发送FIN信息，如果这项服务没有开，那么目的地会响应