XXX攻防演习协同防护
工作简报
2018年7月25日
奇安信集团
1) 数据周期
2018年7月24日17时至2018年7月25日17时。
2) 工作职责
本次攻防演习网神公司负责利用天眼设备、观星系统、失陷检测平台、主机日志分析系统,对XXX上报的目标系统以及同一机房部署的其它网站应用系统进行监测,对发生的安全事件进行协调处置。
3) 目标系统
● XXX官方网站(外网)
● XXX网(外网)
4) 安全设备
XXX共部署天眼传感器1台,分析平台1台,观星系统1套。
5) 驻场人员
现场共派驻驻场人员3人。
通过天眼等安全设备,共监测到网络攻击告警69945次,主要包含SQL注入17434次、代码执行24205次、密码登陆尝试5030次、信息泄露21262次、webshell上传21次、网页漏洞利用154次。
对以上告警进行人工分析,共确认并封禁IP地址567个。
通过对攻击告警进行分析,发现并处置漏洞扫描事件,封禁攻击IP地址567个,流量分析与WEB失陷检测暂未发现有效攻击事件。
在风险分析过程中发现:
1. XXX管理系统上传了webshell,已经对攻击IP进行了封禁,对系统进行暂时下线整改,待删除后门程序后再重新上线。
2.XXX外网邮件系统的一个账户被爆破成功,邮箱用户:XXX,邮箱密码:1234!@#$qwer,但在外部登录该用户需要手机验证码进行身份验证,故攻击者未能进入邮件系统中。目前已经将该用户账号和攻击者IP进行了封禁。
3.XXXXXX管理系统存在验证码无效,可进行口令爆破。目前已经沟通整改完毕,复测通过。
4. XXX信息管理系统存在可绕过验证码界面直接爆破、存在验证码无效两个问题。目前已经提交了整改建议。后续会继续关注修复情况。
5. XXXXXX,在前端和服务器之前通信的时候未对用户名和口令进行加密,目前已经提交了整改建议,后续会继续关注修复情况。
6. XXX平台存在SQL注入漏洞,目前已经提交了整改建议,后续会继续关注修复情况。
本文来源:https://www.2haoxitong.net/k/doc/b92854a2504de518964bcf84b9d528ea80c72f63.html
文档为doc格式