常规漏洞处置方案

收集下常规漏洞处置方案,在生产环境中,基本上首先都要封禁攻击者IP。

内网IP攻击

升级免疫网络,基因式终端网卡绑定,对身份严格控制审计,对发出的任何数据做到严格验证封包。

structs2远程命令执行漏洞

升级Struct2框架,在不影响业务前提下,对lib目录中对应jar包进行替换。

注入攻击

封禁攻击IP,对用户输入进行验证,过滤特殊字符,使用类型安全的sql参数,业务代码中检测注入点。

跨站攻击

封禁攻击IP,对于存储型攻击,找到业务代码进行修复,过滤特殊字符串,严格检测用户输入,对用户上传文件进行检测。

Web插件漏洞攻击

封禁攻击IP,对系统使用的Web插件进行定期插件检测,使用安全的Web插件,关注相关插件漏洞。

Webshell攻击

封禁攻击IP,及时删除攻击文件,配置好服务器FSO权限,对asp上传文件进行严格审核,设置上传白名单。

弱口令探测

封禁探测IP,系统可以采取动态口令验证,定期更改口令,系统强制使用强口令。

Web漏洞扫描

封禁攻击IP,使用第三方的防御策略来设置过滤。

口令爆破

封禁探测IP,系统可以采取动态口令验证,定期更改口令,系统强制使用强口令。

命令执行攻击

封禁攻击IP,对敏感字符进行转义,对参数进行过滤,系统少用或者禁用命令执行函数。

Sql注入攻击

封禁攻击IP,查询语句使用数据库提供的参数化查询接口,对特殊字符进行转义或者编码处理,严格限制变量类型、数据长度以及操作权限。

社会工程学攻击

保证数据库安全,防止被暴库泄露用户信息,重视邮件系统信息以及用户敏感信息保护。

网络钓鱼攻击

各类文章链接或文件一律不点击、不查看、不下载、不传播。

Apache Tomcat 远程代码执行攻击

封禁攻击IP,根据厂商进行升级补丁修复漏洞。

RDP爆破攻击

封禁攻击IP,根据业务需求,关闭没必要RDP服务,更新RDP版本,系统账号设置强密码,限制密码尝试次数。

挖矿木马攻击

封禁攻击IP,找到木马来源,切断入口;找到木马守护进程并杀死,然后杀死木马进程;持续监视服务器资源消耗,发现异常进程及时处置。

勒索病毒

1.断网处理,防止勒索病毒内网传播感染,造成更大的损失;

2.查找样本和勒索相关信息,确认是哪个勒索病毒家族的样本;

3.确认完勒索病毒家族之后,看看是否有相应的解密工具,可以进行解密;

4.进行溯源分析,确认是通过哪种方式传播感染的进来的,封堵相关的安全漏洞;

5.做好相应的安全防护工作,以防再次感染。