当客户与您的业务交互时,他们很可能首先通过Web应用程序。这是你公司的公众形象——由于这种暴露,这是一个明显的弱点。
对Web应用程序的大多数攻击都是隐秘的,难以解决。这是一个问题,因为一旦攻击者进入,他们潜伏在网络上平均为205天,据2015年Verizon数据泄露调查报告.大多数组织发现他们已经从其他人那里受到了威胁,比如当他们接到执法部门的电话或愤怒的客户的电话时。
如何判断Web应用程序是否被黑客攻击?信息安全论坛常务董事Steve Durbin说:“当你的Web应用程序被破坏时,它就会开始做一些不同寻常的事情。”关键是要彻底理解应用程序的正常行为是什么,然后睁大眼睛观察异常情况。
以下是您的Web申请已被妥协的五个迹象 - 以及开始调查的地方。您还可以找到有关保护您的Web应用程序的一些致辞建议,无论您是否被攻击。
签署1:申请不是在做它旨在做的事情
监视应用程序是注意到可疑情况发生的唯一最佳方法。
也许应用程序现在从数据库中呈现结果页所花费的时间比以前长得多。也许应用程序在意外的时间显示页面,或者将用户重定向到不同的页面。也许网络流量增加了,但并没有相应的营销活动来解释这种激增。例如,一个通常每天看到50个订单的小型网络商店,每天应该对5000个订单提出质疑。
当然,这些不一定是指示者网络应用程序已受到损害。如果您认为攻击者将有任何理由启动一个,则慢页面负载可以很容易地引起临时连接问题 - 甚至是DDOS攻击。但是,可以更好地调查一些螺钉而不是等待重大干扰。
如果应用程序将用户重定向到不同的页面,请找出为什么。是一种恶意广告,接管页面功能吗?最近有页面上的代码是否已修改?数据库中的信息是否被篡改了?定期与生产环境中的应用程序交互以解析正常行为,以便立即将意外行为标记,以便立即进行调查。
迹象2:您发现了意想不到的日志消息
如果设置正确,日志可以成为获取攻击信息的金矿。通过筛选数据库日志可以显示意外查询,并揭示何时转储信息。如果数据库日志在短时间内显示多个错误,这可能表明有人正在应用程序中四处寻找——或者已经找到——SQL注入向量。追溯数据库查询的发源地,并确保应用程序正确地处理输入。
您的Web服务器软件可以通过系统FTP和HTTP日志记录入站和出站网络连接。(它们已打开,右?)这些日志可以拿起未经授权或恶意活动的警告迹象。
Web服务器通常只初始化与内部数据库的连接。如果有从您的Web服务器到公共IP地址的出站网络连接,那么是时候问问为什么了。无法解释的文件传输显示数据正在离开Web服务器。这可能是一个线索,说明攻击者已经从应用程序中抽取了数据,并正在将内容传输到远程服务器。
不要太关注网络外的移动,而忽略了横向移动。如果Web服务器正在与其他内部网络资源(如用户文件共享和个人用户计算机)通信,那么这可能是攻击者已获得入口并正在网络中移动的迹象。如果应用程序允许用户上传文件,那么请确保它使用专用的文件服务器,而不是企业内部使用的通用文件服务器。
与服务器日志类似,应用程序日志可以告诉您什么时候出现了问题,前提是它们已经正确设置并受到了监控。确保应用程序记录admin级别的任务,例如创建用户帐户或管理帐户。如果应用程序创建了管理级别或其他特权帐户,请验证帐户是合法的——不是由攻击者建立的。
Web应用程序还应该显示管理员登录的时间,因此应该定期检查来自意外地点和时间的访问。验证管理员帐户正在做什么。无法解释的Web应用程序管理员帐户访问实例通常是违规的一个强烈迹象。
如果与表单提交相关的错误数量增加,或者页面加载时出现更多错误,那么很有可能是应用程序试图做一些它没有设计的事情。如果您注意到错误增加了,请跟踪触发错误的页面,并找出可能发生更改的内容。
迹象3:您发现了新的流程、用户或工作
监视Web服务器上运行的进程,以检测服务器何时生成未知进程或在不正常的时间运行已知进程。未知进程通常是您的应用程序不再受您控制的重要线索。
一旦攻击者在服务器上有一个帐户,就没有攻击者就不能做到了。定期监视服务器的用于创建的用户,尤其是具有提升权限的用户。这些帐户通常不会在飞行中创建,因此每当创建帐户时都值得跟进。如果某些不应该请求提升的权限或root访问权限的用户突然突然制作那些请求,则可能会目睹攻击者使用被盗凭证。
养成在Windows服务器上查看CRONTABS或在Windows服务器上计划任务,并知道正常条目看起来像什么。如果添加了新的作业,那可能是应用程序正在做出意外的内容的线索。也许这只是一个ad hoc维护工作 - 但它可能是攻击者的尝试将应用程序定期将应用程序获取到电话,以获取命令和控制服务器的新指令。攻击者还可以在小型自动批处理中发送提取的数据到远程服务器。
4号标志:文件已更改
您的Web应用程序文件上的时间戳是否显示了几年前更改的文件已最近被编辑?如果未正确配置Web服务器或应用程序具有漏洞,则攻击者可以修改应用程序以运行自己的恶意代码。这可以注入JavaScript或重写模块。检查时间戳以确保未经授权未经修改文件。如果文件已被修改,请将文件与早期版本进行比较以找出更改的内容。
有几个实用程序可以扫描应用程序以查找恶意代码。定期运行它们,以确保更改不会潜入。(Sucuri就是这样一种工具。)
Web服务器上是否有很多新文件无法正常使用?出现在Web根目录中的新文件是一个问题,特别是当它们是脚本或其他类型的可执行文件时。将文件添加到Web根目录应该是一个完整的文档化的过程,并且永远不会令人惊讶。如果您在Web根目录或服务器的其他地方发现了新文件,那么您就遇到了漏洞。攻击者可能正在使用您的应用程序向毫无戒心的网站访问者提供恶意软件,或运行脚本将他们重定向到别处。它也可以是一个包含收集数据的文本文件。
攻击者已经创建了一个全新目录并安装自己的应用程序。他们不是触摸实际的Web应用程序,他们捎带域和服务器以运行自己的工具。
如果应用程序使用第三方插件,请检查确保插件不会在没有警告的情况下被更新或安装。不要仅仅因为插件让你的网站看起来很酷而安装插件——要确保插件不会给网站添加恶意功能。扫描工具,例如白色帽子安全可以帮助发现潜在的攻击代码。
迹象5:你得到了警告
如果您的应用程序已经被破坏,并且正在积极传播恶意软件,那么可能是其他安全工具已经发现了它。谷歌是非常快速的阻止页面有一个坏的声誉在Chrome用户;其他浏览器也会定期更新黑名单。定期从其他浏览器检查你的应用程序,看看是否有任何消息-或查看你的网站使用谷歌的安全浏览工具。
监控社交媒体和帮助台的电子邮件,以了解用户的投诉。如果用户说他们没有收到密码重置邮件,因为消息被视为垃圾邮件,那么就有必要调查你的应用程序是否被标记为垃圾邮件中继。
记住:安全卫生也适用于Web应用程序
如果发现问题,对应用程序和服务器进行备份,以便稍后进行分析。如果您从备份恢复,请确保您有一个干净的副本,这样您就不仅仅是重新安装了恶意软件。识别受影响的文件,并用干净的文件替换它们。当然,这意味着需要定期进行备份。
恢复应用程序并删除不必要的文件后,请更改所有密码,包括CMS密码、管理员帐户和所有个人服务的密码。在可能的地方打开双因素身份验证,在不可能的地方设置VPN访问。这使应用程序更加安全,并防止攻击者重新进入。
强化应用程序。删除不需要的写权限,并且永远不要使用默认密码。使用更难猜测的目录路径是有意义的(如果可以控制的话,不要只在控制面板中使用/admin)。对于PHP应用程序,它可以像在PHP .ini文件中启用安全模式一样简单。安全扫描器将检查应用程序中的已知安全漏洞。
在您的个人或工作笔记本电脑上,您使用防病毒软件,小心您下载的程序,并定期将更新应用于操作系统和第三方软件。该建议也适用于Web服务器和应用程序。定期更新第三方应用程序以确保漏洞已被修补。服务器上的现代防病毒工具将捕获最公开的Web Shell,并检测服务器上安装的恶意软件。
在几乎所有的情况下,您需要恢复应用程序并关闭允许攻击者的漏洞。在重建从头开始并设置应用程序的可能性,它通常会保存为最后的手段。如果您没有最新和清洁备份,则完全刷新可能是您唯一的选项。但如果您不定期寻找攻击者已经破损,您将不会知道修复您的应用程序。
这篇文章,“Web应用程序被黑客攻击的5个迹象”最初是由infoworld. .