安全服务的一些思考

总结一些安服遇到的问题及思考（一）安全服务小组的主要工作（1）应急响应和取证溯源。
（2）对客户中出现的网络威胁进行分析和处置。
（3）配合公司自有产品发现威胁和解决网络安全问题。
（4）关注重大威胁事件，跟踪并能及免费云主机域名时将解决方案同步到客户侧。（二）安全服务小组在现实中的任务1）网络安保 ：在国家重大活动中提供的安保服务，分两种；
由公安部牵头，支撑单位配合的无偿安保任务。在活动期间派驻一名工程师7*24小时驻守，不需要主动接管安保单位的网络安全。发生安全事件，而安保单位自己的安全团队不能解决时，我方需介入并上报CNCERT；
另一种为甲方购买了重大活动安保服务。我方将按合同派1到2名工程师到现场值守，需要主动利用网络安全设备来发现问题，解决问题。2）会议交流：为宣传文化或由主管部门组织的行业专题交流。3）应急响应：客户网络遭受***，派工程师前往阻止网络***，恢复系统正常运行，完成后期加固溯源。4）项目支撑：支持其他部门项目，主要为销售、售前、售后、研发。5）威胁分析：样本、流量，安全日志等分析工作。6）产品巡检：按合同，依据公司产品提供安全检查服务，完成巡检报告，配合客户处理威胁。7）培训项目：主要为恶意代码分析方向、安全意识、***、加固等培训。8）技术研究：个人技术提升或项目技术研究。9）研发项目：平台搭建，工具编写等研发。10）其他项目： 不在以上9类的。（三）按照任务和规划要求小组具备以下能力（1）样本分析能力，主要是快速鉴别的能力。
（2）网络流量分析能力
（3）综合***场景认知能力
（4）网络安全设备日志分析能力
（5）客户有效沟通能力。
（6）重大项目交付能力
（7）态势感知平台化服务能力以下是面对各任务下的思考（一）应急响应思考（描述问题比解决问题重要）2 、现场
要求管理员陪同全程参与、以将业务恢复正常为主要目的、充分了解网络架构完 成溯源和加固。目前在实施过程中较为突出的问题有：安服人员对linux服务器应急经验薄弱、网络设备日志没有重点。（二）样本分析思考
1、查看md5值，将ms5值或文件名在威胁情报平台检索或google。
2、动态监控，查看文件行为，网络行为。将监控到的文件路径、注册表、网络地址等在威胁平台关联。
3、脱壳后，静态查看字符串，在威胁平台关联字符串。
4、调试分析。
注意关键点的截图。目前问题：漏洞利用类样本分析难度较大，感染式病毒修复、批量样本分析，勒索解密。（三）基于公司安全产品的巡检工作思考了解客户的关注点，有些客户关注威胁，有些希望大事化小。（1）监管部门事件通报。
（2）网页篡改
（3）服务器故障
（4）数据泄露甲方可能面临的高级威胁场景：
（1）个人U盘带到内网的高级***。
（2）以员工个人PC作为跳板的横向***。
（3）员工点击网络链接，利用浏览器0day的***。
（4）员工邮件附件文档或可执行程序的***。
（5）员工账号信息获取转入下一环节的***。
（6）服务器弱口令用户账户爆破***。
（7）服务器组件0day漏洞利用***。某些高级威胁场景现象：（1）深夜时段连接通信。
（2）服务器主动外联IP。
（3）文件传输量大，数据包大，引发的威胁场景。
（4）ddos拒绝服务***。
（5）主动防御拦截的威胁
（6）沙箱前置检出的未知威胁的威胁场景。（四）小组其它规划

相关推荐: 帝国cms 后台getshell

见http://www.wooyun.org/bugs/wooyun-2010-03787以前6.5的有人发的方法是，（进入后台—系统设置—管理数据表—管理系统模型—导入新型模块,直接把修改过的php的shell改名为shell.php.mod…