导读: 在操作系统内核以外,构建一道无形屏障,不仅可拦截病毒、黑客对系统内核的侵入,而且还提高了服务器操作系统的免疫力。
“我们的网站被黑了,首页被改得面目全非,无法正常访问……”
夜里,正在熟睡的老李被一阵急促的电话铃声惊醒,电话那头传来小罗焦急的声音。这已是这个月以来的第三个“午夜凶铃”了,老李觉着有些恼怒,但还是无奈地爬了起来,谁叫自己是信息中心的“头儿”呢,这就叫“兵来将挡,水来土淹”。
仔细问了一遍网站的“症状”后,老李打开自己的笔记本电脑开始登录首页。果然,网页打开得奇慢,时间在等待中一分一秒地流逝着,当网页打开后,老李在画面前愣住了,原来的办公网站现在已经被改成了黄色和广告网站,并且添加了很多其它网站的链接,眼前的一切让老李又着急又生气。但是,现在最迫切的事情就是先把眼前的问题解决了。
“午夜凶铃”的背后
老李急忙赶到机房。他一边向小罗询问情况,一边忙着把服务器系统、防火墙、IPS、数据库等日志做备份。然后,他耐心地查看着每一条日志记录。这时,小罗趁机把网站关闭,并将原来备份的网站系统还原回去。虽然网站能够运行了,但是网站仍然存在着严重漏洞,即便是在有网络安全设备保护下,服务器还是“掌握”在黑客手中。
不一会儿,老李发现网站的问题出在“被黑客植入木马,并且添加了广告链接至其它站点”。
经过分析,小罗决定对网站现在的源码进行一番细致的分析。他将网站代码用记事本打开,用关键词找到那些木马及网站链接,然后全部删除,再把从老李和同行那边了解到的安全语句添加进去,再更新到现在的发布站点上,问题终于算是基本解决了……
老李在准备走的时候,还嘱咐小罗把漏洞补好,并安慰了他几句:“我们的网站几乎全是外包给第三方做的,你后来只是负责增加做了一个子网。而前几次被黑都是通过外包网站侵入的,你做的子网能撑到现在实属不易了。”
操作系统需要提高“免疫力”
通过这次化险“午夜凶铃”,老李感触颇多。服务器系统就像人的身体,如果长得比较健壮,免疫力强,碰上什么流行病毒都能安然无恙,否则,免疫力弱,一遇有风吹雨淋就要卧榻半天,病毒、黑客也会乘虚而入。服务器里最重要的部分就是操作系统了,因为很多重要数据、应用程序、网站程序都是在它上面运行的,如果操作系统“垮”了,一切都得玩完。
经过了几次网站被黑事件后,老李又觉着网站就像是人的皮肤、嘴、鼻子,病毒从这些地方进来后,如果碰上免疫力好的操作系统的话就只能无功而返,否则就惨了。
在提高操作系统“免疫力”方面,老李跟大多数同行一样,能做的只是升级防火墙、杀毒软件,勤打系统补丁,查杀病毒和完善网页代码等,还有就是对网站访问权限进行设定。
但是,由于目前黑客的“技术进步迅速”,新病毒层出不穷,依靠原病毒特征码进行防御的传统安全产品就显得力不从心了,而且目前很多黑客、病毒都能穿透防火墙进行攻击,之前所做的“防御工事”在这种情况下就形如虚设了。
最可怕的是,不少黑客在攻击中往往以获取管理员权限为目标,一旦成功,网络管理员所作的安全设定、安全策略等将全部付之东流。
硬件多不治本,老总起疑
在上一次“挂马事件”中,老李和小罗一夜没睡把事摆平了,第二天早上网站正常,总算没造成什么大的影响。本来他们都以为太平无事了,没想到周一还在上班路上的时候,老李就又接到了领导的电话,叫他赶紧到单位来瞧瞧自己管的网站。
原来,有些早到的同事访问政务网站时,发现原先的首页已被改得面目全非,一排“螃蟹”在上面横行霸道,头上还顶着十几个大红字:“我的,就是我的;你的,经过努力,还是我的。”在一些二三级页面上,还有不少恶意网站的链接以及一些不健康图片。上班没多久,单位就接到了不少下辖地方的电话询问,领导的脸色很难看。
老李不敢含糊,将服务器日志下到自己的电脑上一条条地细看。经过分析,发现服务器下载并运行了一些程序(后来证明是木马),很多陌生的端口被打开了,攻击者甚至获取了服务器操作系统的最高管理权限。
当下,老李升级了最新的杀毒软件,进行查杀,之后关闭了所有新开的端口及以前没注意到的服务。由于此次破坏面极大,时间上已不允许他再使用原先的方法消除网站上的黑客内容,只好暂时将备份文件拿来还原,恢复了网站的原貌。
事后,领导对老李说,我们一直很重视对网络安全的投入啊,每年都花几十万元在这上面,我们装备的防火墙、IPS、IDS难道还不够用,不管用吗? 为什么还出现这样或那样的问题,早知如此,就不买了。作为这个单位信息中心的主任,老李感到脸上无光。
师兄出马,施出安全加固术
发生篡改网站事件后,老李提高了警惕性,并对下属的上网行为进行严加管理,但还是小事不断,要么是网页打开慢,要么无形中被挂了马。老李过得很不顺,跟朋友聊天发牢骚时对方笑呵呵地问:“为什么不找老张,忘了他的操作系统安全加固理论了?”
老张跟老李在同一所大学读计算机系,是在学校的网络中心认识的,比老李高一届,毕业后一直在信息安全领域奋斗,目前是浪潮信息安全事业部的技术工程师。张工程师详细询问了老李的境遇后,当即说,你们服务器现在最需要的就是增强“免疫力”。
几天后,老张带了几位安全技术顾问奔到信息中心机房。略叙寒暄后,老张他们即开始对服务器进行安全检测。查出的结果倒把老李吓了一跳,系统里仍然活跃着不少木马,其中一些是嵌在常规的系统进程中运行的(难怪老李昼也查、夜也查,就是揪不出眼皮底下的病毒),更有甚者,正在检测的当口仍有开着的端口与外界进行通讯。技术顾问当即建议中止该通讯。通过抓包进行数据分析得知,黑客正试图通过这些端口下载文件系统里一些重要数据。
设置安全屏障
在清除掉系统里潜伏的木马之后,老张拿出了他的安全法宝—浪潮服务器操作系统安全加固系统(SSR)。这件法宝是在操作系统的内核,包括文件系统、过程控制、内存控制、硬件界面等方面以外,构建一道无形的安全屏障,拦截了病毒、黑客对系统内核的入侵行为,这无异于从根本之处提高了服务器的操作系统的免疫力。
在部署SSR系统的过程中,老张运用了 “三权分立”的思想,将传统超级管理员的权力分散成三块:安全管理员由老李担任,负责对其他管理员的具体权限如文件读写、访问控制、文件完整性检测等进行分配,安全管理员权限是通过强数字认证U盘配合口令实现认证,也就是说,这项权力实实在在地掌握在老李手中,非黑客技术所能抢夺;审计管理员是小罗的职责,对服务器上发生的安全事件进行统计分析,以供老李及系统管理员制定出具有针对性的安全策略;系统管理员则是在安全管理员的授权下,负责具体事务的管理,如编辑网站、安装软件、运行(或中止)应用程序、删除病毒等。
系统管理员能做到的访问权限,具体事务的前提是得到安全管理员即老李的许可,这样一来,即使黑客通过各种手段获得了管理员的账号密码,也无法再像以前一样为所欲为了—这项权力由老李直接负责。
通过SSR系统,信息中心的人还能对来访的用户制定权限,即规定了什么人只能做什么事。老李说这一点很重要,一些流行病毒大都具有关闭防火墙、杀毒软件的功能,使系统处于不设防状态。SSR强制访问控制的实现,使这类病毒即使拥有高超的技能也只能无功而返。
告别“午夜凶铃”的日子
在部署了SSR系统以后,由于服务器中招而导致的网站访问速度慢问题再没发生,关于网站被挂马的投诉也很少了。老李说他现在总算告别“午夜凶铃”的日子。
评论列表
|
||||||
OA
