IT运维服务

“日照日报社门户网站”安全应急运维服务方案

【导读】日照新闻网是日照日报社主办的综合性门户网站，是日照市网上新闻宣传和舆论引导的重要力量。由于最近一段时间日照新闻网遭受了不明原因的攻击，致使服务器负载居高不下，严重时甚至停止对外提供服务。日照日报社委托山东省软件评测中心对日照新闻网系统进行安全性测评。通过测评解决网站的安全困境，指导网站系统下一步的建设工作。

【单位介绍】《日照日报》创刊于1988年，是中共日照市委机关报，日照地区唯一一份有国家统一刊号的报纸，日照地区最具权威性、指导性、开放性和前瞻性的强势媒体。日照新闻网，是日照日报主办的综合性门户网站，是日照市新闻宣传力量的重要组成部分。日照新闻网依托日照日报的新闻资源，以本地新闻为主，为广大网民提供一个健康向上、文明开放的信息网络平台。整个新闻网由26个频道100多个栏目组成。 涉及新闻、旅游、财经、楼市等众多内容，为用户提供日照最新的新闻信息，以及当天的《日照日报》、《日照日报黄海晨刊》。

【项目背景】日照新闻网由于网络结构简单，安全防御不到位，遭到大量的外部攻击，造成服务器负载居高不下，严重时甚至停止对外提供服务。网络攻击给报社带来很大的负面影响，包括网站排名急剧下降、网站访问量锐减、甚至有广告投放商要求赔偿。为有效解决网站面临的安全问题，日照日报社委托山东省软件评测中心对日照新闻网系统进行安全性测评。通过测评找出网站被攻击的原因和网站系统潜在的其他安全隐患，为下一步的整改工作指明了方向。

【实施过程】

安全运维人员分成两组工作。一组进行日志分析,通过对安全设备日志、主机日志、应用系统日志等进行查看分析，找出系统遭受的攻击类型。另一组熟悉网络结构,并对网络设备、主机、应用进行等进行安全检查和工具扫描，找出系统存在的安全隐患。最后两组的工作成果进行汇总、综合分析，逐一排查，找出网站被攻击的原因。

由于在进行安全测评之前，攻击事件已发生一段时间，而且网络结构也发生了变化，无法把之前的攻击复现。测评组工作人员通过检测各种日志、服务器、网络设备、安全设备等查找原因。在经过近8个工作日的紧张现场测评后，测评组理清了当前网络结构，分析了大量的日志文件，采取工具扫描和人工检测的方式检查了六台服务器（其中包括五台Linux服务器、一台windows服务器），检测了网站数据库和日照新闻网网站系统，查看了防火墙、IPS等安全设备的策略配置，检测了三台交换机的策略配置，并对当前机房存在的安全隐患进行了系统测评。通过检测分析，找出了之前网站被攻击的原因，并且发现了其他潜在的安全威胁，为下一步的整改工作提供了思路。

一、网站被攻击的原因分析

通过对反向代理服务器、Web服务器、数据库服务器、防火墙的扫描、检测，发现整个网站系统存在较多安全隐患。结合对大量日志的分析结果,工作人员判定之前网站不能访问的直接原因是受到了外界的DDOS攻击。

DDOS即分布式拒绝服务攻击，是一种常见的网络攻击方式。其表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

日志分析

在通过对天融信防火墙NGFW4000日志状态截图，反向代理服务器日志，启明星辰入侵防御系统日志，天泰WEB防后墙日志与截图的日志分析后，测评人员发现：可疑IP地址80余条，攻击种类共24种。在众多攻击方式中，主要攻击方式为SYN Flood。并且实施SYN Flood攻击IP地址地理位置为天津和日照五莲，所有攻击方式仅针对2004年以前版本的操作系统或者网页漏洞进行攻击。初步判断近期针对网站攻击发起人为初级黑客。

网站扫描

工作人员使用绿盟远程安全评估系统对网站进行了安全扫描，发现网站存在跨站漏洞；robots文件网站结构信息泄露；网站存在大量无效链接；服务器可能存在系统路径信息泄露。

数据库扫描

工作人员利用北京安信通数据库扫描系统对数据库进行扫描，发现攻击者利用mysql数据库中的示例数据库攻击服务器；Super权限授予了除root账户的backup用户，拥有该权限的用户可以终止其他用户的mysql进程；另外，数据库在参数值设定、端口选择、口令设置、漏洞修补方面都存在较多问题。

主机检测

测评单位通过使用工具扫描和人工检测结合的方式，对反向代理服务器和网站服务器进行安全检测。其中，操作系统口令存在漏洞；未设置SYN Flood攻击防范；日志信息本地保存等问题都对网站系统安全性产生巨大影响。

二、潜在的其他安全问题

为使网站系统更加安全，山东省软件评测中心的测试人员查找了其他潜在的安全隐患，对物理安全、网络安全、主机安全等也进行了全面的安全检测。

在物理安全方面，设备未进行防破坏、防雷击、防火、电磁防护以及温度湿度的控制，设备容易受到来自各方面的安全影响。

在网络安全方面，远程连接方式存在窃听风险；口令简单易篡改；未进行远程登录限制；没有关闭未使用的端口；不同VLAN之间没有做访问控制等。

在主机安全方面，部分主机操作系统的口令复杂度不符合要求；主机未启用登录失败处理功能；主机未对SYN Flood攻击进行防范；存在漏洞；开启了很多不必要服务。

三、整改建议

测评人员在本次测评工作中发现了很多网站系统潜在的安全隐患，同时还指出要实现网站的安全性和高可用性，需要对存在的问题进行整改，以提高网站的综合防范能力。

测评结束后提供的安全运维报告主要分为两大部分，第一部分为网站安全现状，主要包括应急服务人员现场检测过程中发现的问题；第二部分为整改建议，包括对发现的问题的整改措施。

第一阶段可达到以下防御能力：物理方面可具有一般的防盗、防火、防水、防雷、防静电等威胁。网络方面通过使用IPS、WAF、流量清洗、防火墙等安全设备抵御来自内部或外部的恶意攻击，在网络的关键位置通过负载均衡设备、冗余设备实现了部分高可用。

第二阶段可达到以下防御能力：物理方面可具有较强的防盗、防火、防水、防雷、防静电等威胁、可使机房的温湿度保持在设备高效运转的访问内、可以避免长时间断电带来的电力供应问题，可以对进出机房的人员进行全面记录监控。网络方面通过增加负载均衡设备、设备冗余、链路冗余、集群等技术实现新闻网系统的高可用性，可以避免因为某台设备、某条链路损坏带来的单点故障问题。

【项目成效】山东省软件评测中心对网站系统进行安全测评后，日照新闻网的安全状况得到有效改善，为今后网站系统的稳定运营打下基础，大大提高了网站的可靠性与稳定性。

具体成效突出表现在以下3方面：

（1）通过此次应急救援服务，实现了网站系统的快速恢复，有效降低了故障的影响程度和影响围；

（2）通过后续的加固措施，提高了系统抗攻击、抗风险的能力，从一定程度了加强了日报报社的信息安全管理工作，避免类似风险造成的危害，系统可用性大大加强。

（3）测评单位为日照新闻网提供的日常的安全运维和网站信息管理制度，对于保障后期的信息和数据安全，提高系统安全稳定性具有重要作用。