网站篡改演练方案演练方案.docx
《网站篡改演练方案演练方案.docx》由会员分享,可在线阅读,更多相关《网站篡改演练方案演练方案.docx(7页珍藏版)》请在冰点文库上搜索。
网站篡改演练方案演练方案
文档编号:
密级:
内部
网站篡改事件
应急演练方案
北京启明星辰信息技术股份有限公司
二○一○年六月
拟制
修改
审核
批准
读取
文档版本控制
版本号
发布日期
简要说明
1.0
2010-06-27
初稿
1引言
通过实施具体场景的应急演练来提高应急组织的应急响应能力,本方案针对特定场景的具体演练情况进行描述,主要从演练技术操作层面描述整个演练实施过程,包括场景搭建、演练脚本等内容。
2适用范围
本演练方案仅适用于本次在广东电网公司对网站被挂马的应急演练。
如果其它应急演练需要,则必须对本演练方案内容进行审核及调整。
3本次演练目标
通过本次演练,检验网站篡改预案以及本应急演练方案的完善性和指导性,同时也提高本单位相关工作人员与第三方亚运安保服务机构的协同,并通过后续的演练总结,完善演练预案及方案、改进应急操作及流程、全面提高网站篡改事件的应急响应能力。
4演练内容综述
4.1演练事件描述
通过在广东电网公司内网架设一套独立的环境,模拟网站被挂马,在最短时间恢复被篡改的网站对象至正常状态,并追踪攻击来源,清除后门,做好补漏工作。
4.2本次演练原则
本次演练在不影响广东电网网络系统的情况下进行。
因此,搭建一套专用的演练网络,所有操作均在该网络上进行。
4.3演练时间计划
根据本次演练方案,整个网站挂马应急演练,不超过1小时(不包括前期场景搭建及准备时间)。
4.4方案启动条件
架设虚拟网站,模拟被入侵挂马,即启动该应急预案。
5演练工作方案
5.1演练准备工作
1、演练沟通会。
(确定演练时间、地点、人员)
通过双方召开的演练沟通会,确定本次演练相关人员:
角色
姓名
电话
备注
实时监测人员
应急保障人员
管理协调人员
系统维护人员
应急管理人员。
上级协调人员
同一工作人员可担任多个角色,同一角色亦可由多人担任。
演练地点:
XXX
演练时间:
XXX夜间12点开始
2、确定需要备份的系统
由于本次演练环境为专门搭建,不存在需要备份的系统。
3、确定其它影响
由于本次演练环境为专门搭建,不会对其它任何系统造成影响。
5.2演练场景搭建
1、三层交换机一台,需支持端口镜像功能。
交换机设置网关为192.168.0.1;
2、服务器两台(可用虚拟系统代替,均为WINDOWS2003操作系统),其中一台搭建被攻击网站,另一台搭建超级巡警统一网站安全监控系统,一台PC用来做攻击方;
3、网关IP为192.168.0.1,攻击方IP为192.168.0.5,被攻击网站服务器IP为192.168.0.10,超级巡警服务器IP为192.168.0.11;
4、软件工具有:
网马扫描工具MHTScan、MSScaner,网马分析工具MDecoder。
5.3演练收场工作
1、移除演练环境,测试网络是否正常;
2、总结演练成果(见“改进工作”一章)。
6演练脚本
阶段
演练脚本内容
1、准备
1、由应急保障人员备份以搭建好的网站并准备应急页面;(24:
00-24:
05)
2、由应急保障人员在超级巡警统一网站安全监控系统上加入被攻击网站的URL并在该服务器上安装网马扫描工具MHTScan、MSScaner,网马分析工具MDecoder;(24:
05-24:
10)
3、模拟入侵服务器,在PC上用远控桌面(3389)登陆服务器A并在网站页面上添加模拟木马代码:
。
;(24:
10-24:
15)
2、检测
1、由实时监测人员登录超级巡警统一网站安全监控系统即查看被攻击网站的被挂马情况;(24:
15-24:
20)
2、由应急保障人员在分别利用工具MHTScan、MSScaner、MDecoder分析网站被挂马情况。
(24:
20-24:
32)
3、抑制
1、由应急保障人员备份网站日志和网页文件,停止运行网站;(24:
32-24:
36)
2、由应急保障人员暂启用应急网站,避免停止服务。
(24:
36-24:
38)
4、恢复
1、由应急保障人员恢复网站备份,开启网站;(24:
38-24:
45)
2、由应急保障人员在测试网站可用性。
(24:
45-24:
46)
5、根除
1、由系统维护人员修改加强管理员密码;(服务器密码过于简单)
2、由系统维护人员删除系统、网站和数据库多余账号;(权限)。
(被入侵,留下后门)
3、由系统维护人员更新服务器补丁;(服务器本身有楼道)
4、由系统维护人员更新网站版本。
(网站代码有漏洞)
(24:
46-24:
55)
6、追踪
1、由应急管理人员汇报上级(24:
55-24:
45)
2、总结报告
7改进工作
流程改进:
通过实践演练,确定应急操作流程是否需要改进;
文档改进:
根据应急演练操作,完善ARP攻击预案和演练方案的内容描述;
操作改进:
根据演练过程,总结应急操作过程的不足之处,包括技术处理细节的欠缺,并进行学习和改进。
升级会员 