网站闪退，安全运维工程师是怎么做的？

我们常说，细节决定成败。在现今企事业单位的安全运维过程中，也不乏这样的实例。如某用户的网络管理员反映互联网上的门户网站不时出现闪断现象，即使是在非业务繁忙时段，也会出现这种现象，但由于一、两分钟后就会自行恢复，他认为有可能是运营商链路的切换所至，并没有在意。
通过分析客户闪断时间段前后的网站服务器日志、防火墙日志，发现闪断前的流量较大，更可疑的是大量的数据包是由网站服务器主动向外网地址20、21端口（多用于FTP）发送的，而不是网站访问流量。经该用户确认，门户网站的业务主要是信息发布，不存在为用户提供下载等需要对外发送数据的业务。根据经验，可以怀疑这台网站服务器已经遭到了入侵。通过分析发现这些数据包主要发送到两个可疑地址，定位地址后，于是在日志中开始捕捉这两个地址的行为，希望能有所收获。果然，在大约一个半月前的网站日志中，发现其中一个183.129.155.XX的地址对网站进行了大量的攻击探测行为（包括SQL注入探测、文件上传等）。并发现攻击者上传了一个oy.asp.txt的变异木马，通过日志验证该上传行为返回200，并在网站应用目录里找到了对应的木马。接下来通过安全检测发现该网站应用层存在严重的安全漏洞，包括SQL注入、XSS跨站、敏感信息的泄露，并能上传shell脚本，黑客绕过传统的防御设备针对应用漏洞进行攻击，通过提权拿到网站服务器的权限，再利用内网嗅探，拿到其它服务器权限并收集自己感兴趣的数据，再通过网站服务器发送给自己。
至此，已经大致确定了攻击行为的时间点、源地址、攻击的途径和手段，进行了必要的取证，并通过对木马的清除、漏洞的修复和复测，暂时解决了问题，但大量的数据外泄已经为客户带来了巨大的损失。回想起整件事，发现安全问题只是源于定位网站系统的闪断现象，这是很多管理员在安全运维过程中经常遇到也会经常忽略的问题，然而就是这样一个细节，背后隐藏着大问题。同时，这件事中的几个细节，也值得我们反思：
如果黑客经验更丰富，对IP地址进行伪装，对自己的操作日志进行修改和删除，将给我们后期的分析和取证带来极大的难度。
如果管理员没有在网站服务器开启必要的审计策略，记录相关的日志，如果我们没有对闪断情况提出质疑，我们可能至今还不知道发生过什么。
安全运维过程中存在各式各样的安全问题，任何一个细节，往往决定着结果。然而对客户而言，多数企业由于受到人员编制、资金投入、技术能力等条件的限制，无法保障在安全运维工作方面的资源投入，这给企业信息安全保障体系的运行造成了负面影响。
抓住细节，把握细节
为了帮助客户解决安全运维方面遇到的问题，天融信安全云服务中心（前“天融信安全运维中心”）经过十年的探索与发展，总结了一套面向不同行业的安全运维服务体系。
事前
通过规范运维体系，制定运维相关的安全制度、安全规范，从“人”的角度提出管理办法。
通过安全风险评估，渗透测试，主动发现信息系统中存在的安全隐患，包括网络区域划分、主机系统、应用、数据库等，及时对漏洞进行修复并提供修复后的复测，确保安全风险得到有效控制。
开启必要的日志审计策略，并对日志进行转存及备份，确保出现安全事件后有据可循。
事中
通过7*24小时不间断的安全审计，建立业务系统与安全设备之间的关联分析，及时发现潜在的安全威胁，出现违规操作实时告警，通过人工验证保证预警的准确性，并提供解决建议，协助用户阻断攻击行为。
事后
发生安全问题后，配合客户进行响应与处置，包括安全事件的定位、取证，追溯并解决问题，修复漏洞后进行验证，并更新必要的安全策略。