光芒闪现 铸造网络的一片晴空

　　记启明星辰沈阳分公司的一次应急响应服务

　　题记

　　计算机信息系统和网络已经成为社会重要的基础设施，而网络安全始终是笼罩在Internet天空的一片乌云。因此，安全服务已成为网络安全里必不可少的一部分。启明星辰公司结合以“安全人”为核心的网络安全服务体系，在国际安全标准 ISO/IEC 17799规范下，提供完整的网络安全风险评估、应急响应服务以及CISP认证培训服务，以此形成国际一流的安全服务能力。她的应急响应安全服务就像一道耀眼的光芒，闪现在政府、金融、电信等各个领域，为网络安全领域铸造了一片晴空。前段时间，启明星辰沈阳分公司为某政府部门提供应急响应服务就是很好的证明。

　　事件梗概

　　2005年1月7日10：00启明星辰沈阳分公司应急响应小组接到用户电话，说他们的网站被恶意更改，请求帮助。“养兵千日，用兵一时”，沈阳分公司工程师闻讯后在10：30急速赶到现场。了解到具体情况是：1月6日下午，某政府机关无意中发现单位网站被恶意更改，由于已经不是第一次发生这种现象，于是向启明星辰公司沈阳分公司报告，要求提供应急响应服务。在与用户充分沟通后，沈阳分公司迅速启动应急方案和工作流程，有条不紊地为用户提供了一套合理而完整的应急响应服务。

　　应急响应服务过程

　　1. 了解网络状况

　　启明星辰沈阳分公司的工程师了解到用户的网络状况是：入口处装了一台NETSCREEN防火墙，仅开了80、25、110端口；服务器使用的是一台X86服务器，上面安装了提供网站服务用的IIS和SQL SERVER数据库，经常开的服务是HTTP，SMTP、POP3服务，同时还装了多种其它软件包括PC ANYWHERE，服务器使用的是默认安装，并开了Windows 自动升级。

　　2. 分析攻击方式，查找攻击源

　　由于防火墙仅仅开了80、25、110端口，IIS的漏洞还是很多的。黑客的攻击方式可能走的是80端口，因此就需要看日志。但是用户的服务器没有保留系统日志和应用程序日志，仅仅留下了防火墙日志，而且防火墙日志还比较简单，如下就是一条标准的防火墙日志：

　　WTsyslog[2005-01-04 00:00:12 ip=192.168.1.25 pri=5] id=firewall time="2005-01-03 21:48:43" fw="ns25" pri=5 rule=2 proto="http" src=222.69.18.229 dst=192.168.1.12 sent=770 rcvd=286 duration=69 msg="Action:Permit"

　　从中可以看到，分析是否为入侵行为的最关键信息——数据包内容没有记录，仅仅记录了数据包大小，很难通过日志确认哪个包是攻击包，用户又没有安装入侵检测系统。因此，这样查找攻击源已经不可能。

　　3. 进行漏洞扫描，系统加固

　　漏洞扫描的目的是希望通过查找用户系统漏洞、修补漏洞，形成坚固的系统以防止下一次攻击。通过漏洞扫描证实了沈阳分公司工程师们原来的猜想：黑客是通过IIS、ASP的漏洞得到ASP源程序与登陆数据库的密码，进而修改数据库达到修改网页的目的。通过扫描发现的高危险漏洞有：

　　①　FrontPage _SmartHTML溢出漏洞

　　②　FrontPage Extention Server shtml.dll漏洞

　　③　FrontPage Server Extensions许可不安全

　　④　IIS INDEX SERVER泄露ASP源程序

　　⑤　Index Server .htw漏洞

　　⑥　ASP+dot源程序泄露 。经过检测和推理，可以看出这几个漏洞确实能够很容易的造成黑客通过用户系统的80端口控制。于是工程师们对其做了系统加固，内容包括：打一些必要的补丁、删除某些不必要的服务和不必要的应用程序、对IIS相关设置进行安全修改。

　　4.跟踪用户运营情况

　　经初步判断攻击暂时停止后，启明星辰沈阳分公司的工程师们继续在现场观察，直到用户网络正常运行才离开，并进行远程跟踪。

　　5.作出系统分析报告

　　事后，启明星辰沈阳分公司向用户提交了一份详细的服务记录文档和安全策略建议，提出用户存在安全技术手段使用不足的问题。为了更好的保障网络安全，建议用户加强信息安全管理，建立信息安全的长效机制，比如：增加入侵检测产品、增加更详细的日志记录、将应用服务器与数据库服务器分开部署，加强数据备份，容灾，应急响应等。

　　后记

　　经历了上述过程，这次应急响应服务基本结束。

　　在此强调的是应急响应远不只是简单的诊断技巧，它需要用户内部的管理人员和技术人员共同参与，有时可能会借助外部的资源，甚至诉诸法律。

　　在互联网日益全球化的今天，计算机应急响应是全社会共同的责任，在具体实施应急响应策略时，需要强有力的机构进行有效处理。各用户在建立应急响应机制前应该认真思考，是自己建立应急队伍还是通过外包的方式建立？关键是要有一支技术过硬，反应迅速的知识队伍作后盾。而且在建立应急响应机制之前，必须提前规划，制定出完善的方案，才能“临危不乱”。

　　作为国家计算机网络应急技术处理协调中心(CNCERT/CC)的主要技术支持单位之一和第一批公共互联网应急处理国家级服务试点单位之一，启明星辰公司几年来已经成功的为政府、金融、电信、军队、能源、交通等领域提供了不同级别的应急响应服务。启明星辰公司的应急服务中心，由服务总监统一指挥协调，调动启明星辰公司的各种资源，保证应急服务的及时性和高质量。这次事件再次体现了启明星辰公司应急响应服务的宗旨：“提供专业的网络安全应急服务，处理计算机网络及信息安全紧急事件，保障客户的最大利益，研究计算机入侵及防范方法，为安全服务提供技术保障。”