Web應用程序遭黑客入侵的五大征兆
大多數針對 Web 應用程序的攻擊都非常隱蔽,不容易發現。從2015 威瑞森數據泄漏調查報告來看,攻擊者平均可以在網絡上潛伏 205 天不被發現。許多組織都是從其他人那里發現安全受到了威脅。近日,InfoWorld 資深編輯 Fahmida Y. Rashid在一篇文章中分析了 Web 應用程序遭黑客入侵的五大征兆,并提出了一些確保應用程序安全的建議。
征兆1:應用程序行為反常
應用程序監控是發現可疑行為的最好方式。Fahmida 提到了以下幾種異常行為:
- 從數據庫中渲染結果頁面的時間比以前長了;
- 應用程序在意料之外的時間展示頁面,或者將用戶重定向到不同的頁面;
- 在沒有營銷活動的情況下,網絡流量陡增。 </ul>
- 數據庫日志:從數據庫日志中可以查到意料之外的查詢;如果數據庫日志中短期內出現了多個錯誤,那么可能有人在嘗試 SQL 注入;
- Web 服務器日志:Web 服務器軟件會記錄出站和入站連接,并針對未經授權的訪問或惡意活動記錄警告信息;Web 服務器通常只會發起到內部數據庫的連接,如果存在到公網 IP 的連接,那么就需要檢查一下原因;Web 服務器同其它內部資源(如個人文件共享目錄、個人電腦)通信也可能是一個遭到入侵的線索;
- 應用程序日志:如果應用程序創建了管理員級別的賬戶或者其它特權賬戶,就要驗證下該賬戶是否合法;從應用程序日志中可以查到時間或地點異常的訪問;如果與表單提交或頁面加載相關的錯誤增加,那么有可能是頁面遭到了修改。 </ul>
不過,這些指標都不能明確地說明應用程序遭到了黑客入侵。但及早調查異常行為的原因總是好過出現了問題再去調查。所以要定期同生產環境中的應用程序進行交互以達到分析正常行為的目的。這樣,一旦有異常行為就可以立即發現并展開調查。
征兆2:日志信息異常
如果設置得當,日志可以很好地提供攻擊信息。Fahmida 分析了如何從以下三類日志中發現異常的日志信息:
征兆3:發現了新的進程、用戶或任務
定期監控服務器進程,檢測服務器何時產生了未知進程,或者已知進程在不正常的時間運行。未知進程通常是應用程序遭到入侵的重大線索。
定期監控服務器上用戶的創建,尤其是那些請求提升權限的用戶。如果某個用戶不應該請求提升權限或進行 root 訪問,那可能是攻擊者使用了偷來的憑證。
定期檢查 Linux 服務器上的 crontab 任務和 Windows 服務器上的 Scheduled Tasks,并與正常的條目做對比。如果出現了新的任務,那可能是應用程序行為異常的線索。
征兆4:文件異常修改
攻擊者可能會通過注入 JavaScript 或重寫模塊向應用程序添加惡意代碼。檢查文件時間戳,確保文件沒有在未經授權的情況下被修改。如果文件被修改了,那么要搞清楚,與先前的版本相比發生了什么變化。有一些工具可以掃描應用程序查找惡意代碼,如 Sucuri。
Web 根目錄中出現新文件也是個問題,尤其是腳本或其它類型的可執行文件。如果在 Web 根目錄或服務器上其它地方意外發現了新文件,那么攻擊者可能正在利用應用程序向沒有防備的訪問者提供惡意軟件,或者通過運行腳本將他們重定向到其它地方。
如果應用程序使用了第三方插件,那么要確保它們在升級或安裝前會進行提示。
征兆5:收到警告信息
如果應用程序在積極傳播惡意軟件,那么其它安全工具可能會發現,比如瀏覽器會有安全提示。可以定期通過其它瀏覽器訪問 Web 應用程序,看看是否有提示信息。此外,還要監控社交媒體和服務臺上用戶的抱怨郵件。
Fahmida 還給出了發現問題后的處理方法。首先,備份應用程序和服務器,用于后續調查取證。如果要從備份還原,那么一定要確保備份中沒有惡意軟件。其次,應用程序還原完成后,修改所有的密碼,包括 CMS、管理員賬戶及個人服務的密碼。必要時啟用雙重認證及設置 V*N 訪問。另外,刪除不必要的寫權限,避免使用默認密碼。最后,定期升級服務器及個人電腦的操作系統和第三方軟件。