360-2017年應急響應分析報告

1、免費獲取群內(nèi)1、2、5+；當日華爾街日報、3、每周4、每月匯總500+份當月（增值服務）掃一掃 關注公號回復：加入“起點財經(jīng)”群。摘要2017 年全年 360 安服團隊共參與和處置了 199 起應急響應事件.行業(yè)應急處置排三位的分別為部門（59 起）、事業(yè)（24 起）、金融機構（16起），占到所有行業(yè)應急處置的 29.6%、12.1%、8.0%，三者之和約占應急處置事件總量的 49.6%。在 2017 年 360 安服團隊參與處置的所有機構和企業(yè)的應急響應事件中，由行業(yè)自己發(fā)現(xiàn)的安全事件占 88%，而另有 12%的安全事件機構和企業(yè)實際上是不自知的，他們是在得到了機構或主管的通報才得知已被。安

2、全事件的影響范圍主要集中在外部和（42%）、服務器和數(shù)據(jù)庫（39%）。除此之外，還占有一定比例的還有辦公終端（9%）、重要業(yè)務系統(tǒng)（3%）。黑產(chǎn)活動、敲詐仍然是者機構、大中型企業(yè)的主要原因。開展黑產(chǎn)活動謀取暴利；利用者通過黑詞暗鏈、頁面、挖礦程序等機構、大中型企業(yè)終端、服務器，對其實施敲詐。從上述數(shù)據(jù)可以看出，者對系統(tǒng)的所產(chǎn)生現(xiàn)象主要表現(xiàn)為導致生產(chǎn)效率低下、破壞性、聲譽影響、系統(tǒng)不可用。其中，導致生產(chǎn)效率低下占比 29.1%，破壞性攻擊占比 18%，聲譽影響占比 16%。：應急響應、安全服務、敲詐、黑產(chǎn)活動、木馬目錄第一章前言1第二章應急響應監(jiān)測分析2一、二、三、四、五、六、七、月度行業(yè)趨勢分

3、析2分析2事件發(fā)現(xiàn)分析3影響范圍分布分析4意圖分布分析5現(xiàn)象統(tǒng)計分析6事件類型分布分析7第三章應急響應服務分析8一、（一）（二）（三）（四）（五）（六）（七）安全8網(wǎng)頁被篡改8子頁面8DDoSCC.8.8流量異常9異常進程與異常外聯(lián)9安全總結及防護建議9二、 終端安全10（一）（二）（三）（四）運行異常10. 10DDoS. 11終端安全總結及防護建議11三、 服務器安全11（一）（二）（三）（四）（五）運行異常11木馬. 12. 12. 12DDoS服務器安全總結及防護建議12四、 郵箱安全13（一）（二）（三）郵箱異常14郵箱 DDoS. 14郵箱安全總結及防護建議14附錄 360 安服團

4、隊15第一章前言當前，網(wǎng)絡空間安全形勢日益嚴峻，國府機構、大中型企業(yè)的門戶和重要造成嚴重的業(yè)務系統(tǒng)成為者的首要目標，安全事件層出不窮、逐年增加，給各影響。為妥善處置和應對機構、大中型企業(yè)關鍵信息基礎設施發(fā)生的突發(fā)事件，確保關鍵信息基礎設施的安全、穩(wěn)定、持續(xù)運行，防止造成聲譽影響和經(jīng)濟損失，需進一步加強與信息化應急保障能力。2017 年，360 安全服務團隊/360 安服團隊共為各地 100 余家機構、大中型企業(yè)提供了應急響應服務，參與和協(xié)助處置各類應急響應事件 199 次，第一時間恢復系統(tǒng)運行，最大限度減少突發(fā)安全事件對機構、大中型企業(yè)的門戶和業(yè)務系統(tǒng)造成的損失和對公眾的不良影響，提高了公眾服

5、務滿足度。同時，為業(yè)建立完善的應急響應體系提供技術支撐。機構、大中型企應急響應服務是安全防護的最后一道防線，鞏固應急防線對安全能力建設至關重要。360 構建了全流程的應急響應服務體系，為全生命周期的應急服務。機構、大中型企業(yè)提供高效、實時、1第二章應急響應監(jiān)測分析2017 年 360 安服團隊共參與和處置了 199 起一時間協(xié)助用戶處理安全事故，確保了用戶門戶范圍內(nèi)的應急響應事件，第和重要業(yè)務系統(tǒng)的持續(xù)安全穩(wěn)定運行。為進一步提高機構、大中型企業(yè)對突發(fā)安全事件的認識，增強安全防護意識，同時強化第安全服務商的應急響應能力，對 2017 年全年處置的所有應急響應事件從不同維度進行統(tǒng)計分析，反映全年的

6、應急響應情況和者的目的及意圖。一、月度趨勢分析2017 年全年 360 安服團隊共參與和處置了 199 起勢分布如下圖所示：應急響應事件，月度趨從上述數(shù)據(jù)中可以看到，每年年初和年底發(fā)生的應急響應事件請求存在較大反差，年初處置的安全應急請求較少，年底相對較多，3 月份到 10 月份整體上處置的安全應急請求趨于平穩(wěn)。對機構、大中型企業(yè)的從未間斷過，在重要時期的更加頻繁。所以，機構、大中型企業(yè)應做好全年的安全防護工作，特別是重要時期的安全保障工作，同時建立完善的應急響應機制。二、行業(yè)分析通過對 2017 年全年應急響應事件行業(yè)分類分析，匯總出行業(yè)應急處置數(shù)量圖所示：，如下2三位的分別為部門（59 起

7、）、事業(yè)單從上述數(shù)據(jù)中可以看出，行業(yè)應急處置排位（24 起）、金融機構（16 起），占到所有行業(yè)應急處置的 29.6%、12.1%、8.0%，三者之和約占應急處置事件總量的 49.6%，即全年應急響應事件一半是出在部門、事業(yè)、金融機構。而交通了各行業(yè)的 33%。、能源、IT、所產(chǎn)生的應急響應事件也占到從行業(yè)其次為交通可知者的主要、能源、IT對象為各級部門、事業(yè)以及金融機構，、和，從中竊取數(shù)據(jù)、敲詐。上述機構在原有安全防護基礎上，應進一步強化安全技術和管理建設，同時應與第商建立良好的應急響應溝通和處置機制。安全服務三、事件發(fā)現(xiàn)分析通過對 2017 年全年應急響應事件圖所示：發(fā)現(xiàn)類型分析，匯總出事

8、件發(fā)現(xiàn)情況，如下3在 2017 年 360 安服團隊參與處置的所有機構和企業(yè)的應急響應事件中，由行業(yè)自己發(fā)現(xiàn)的安全事件占 88%，而另有 12%的安全事件機構和企業(yè)。實際上是不自知的，他們是在得到了機構或主管的通報才得知已被雖然機構和企業(yè)自行發(fā)現(xiàn)的安全事件占到了 88%，但并不代表其具備了潛在事件總量 39%的事件是的發(fā)現(xiàn)能力。實際上，僅有占安全機構和企業(yè)通過內(nèi)部安全運營巡檢的方式查出的，而其余 49%的安全事件能夠被發(fā)現(xiàn)，則完全是因為其網(wǎng)絡系統(tǒng)已經(jīng)出現(xiàn)了顯著的跡象，或者是已經(jīng)遭到了者的敲詐。更有甚者，某些實際上是在已經(jīng)遭遇了巨大的損失后才發(fā)現(xiàn)自己的網(wǎng)絡系統(tǒng)遭到了。從上述數(shù)據(jù)中可以看出，乏主動

9、發(fā)現(xiàn)隱蔽性較好地機構、大中型企業(yè)仍然普遍缺乏足夠的安全監(jiān)測能力，缺的能力。四、影響范圍分布分析通過對 2017 年全年應急響應事件處置陷區(qū)域分布，如下圖所示：分析，匯總出安全事件的影響范圍分布即失442%）、從上述數(shù)據(jù)中可以看出，安全事件的影響范圍主要集中在外部和服務器和數(shù)據(jù)庫（39%）。除此之外，還占有一定比例的還有辦公終端（9%）、重要業(yè)務系統(tǒng)（3%）。從影響范圍分布可知，者的主要對象為機構、大中型企業(yè)的互聯(lián)網(wǎng)門戶網(wǎng)站、到多重安全、業(yè)務系統(tǒng)服務器以及數(shù)據(jù)庫，其主要原因是門戶在互聯(lián)網(wǎng)上受，者通過對的，實現(xiàn)敲詐、滿足個人利益需求；而網(wǎng)站、敲詐服務器和數(shù)據(jù)庫運行業(yè)務系統(tǒng)、存放重要數(shù)據(jù)，也成為者進

10、行黑產(chǎn)活動、等違法行為的主要目標?；诖?，、機構、大中型企業(yè)應強化對互聯(lián)網(wǎng)門戶的安全防護建設，加強對內(nèi)網(wǎng)中服務器和數(shù)據(jù)庫、終端以及業(yè)務系統(tǒng)的安全防護保障和數(shù)據(jù)安全管理。五、意圖分布分析通過對 2017 年全年應急響應事件處置分析，匯總出者機構、大中型企業(yè)的意圖分布，如下圖所示：5從上述數(shù)據(jù)中可以看出，黑產(chǎn)活動、敲詐仍然是者機構、大中型企業(yè)開展黑產(chǎn)活動謀取暴利；的主要原因利用者通過黑詞暗鏈頁面、挖礦程序等機構、大中型企業(yè)終端、服務器，對其實施敲詐的主要原因是為獲取暴利，實現(xiàn)自身最大利益。對于大部分攻擊者而言，其進行APT和出于政治原因意圖的存在，說明具有組織性、針對性的團隊對政府機構、大中型企業(yè)

11、的目的不單單是為錢財，而有可能出于政治意圖，竊取國家層面、重點領域的數(shù)據(jù)。雖然 APT和出于政治原因的數(shù)量相對較少，但其危害性較重，所以機構、大中型企業(yè)，特別是機構，應強化整體安全防護體系建設。響應事件的減少，表明業(yè)務、運維的安全意識有所。六、現(xiàn)象統(tǒng)計分析通過對 2017 年全年應急響應事件處置分析，匯總出現(xiàn)象，如下圖所示：6從上述數(shù)據(jù)可以看出，者對系統(tǒng)的所產(chǎn)生現(xiàn)象主要表現(xiàn)為導致生產(chǎn)效率低下、破壞性、聲譽影響、系統(tǒng)不可用。其中，導致生產(chǎn)效率低下占比 29.1%，者通過挖礦、服務等使服務器者通過利用服務CPU 占用率異常高，從而造成生產(chǎn)效率低下；破壞性占比 18%，器、配置不當、弱口令、Web等

12、系統(tǒng)安全缺陷，對系統(tǒng)實施破壞性；聲譽影響占比 16%，主要體現(xiàn)在對機構、大中型企業(yè)門戶進行的網(wǎng)頁篡改、黑詞暗鏈、 不可用占比敏感信息子頁面等，對和企業(yè)造成嚴重的聲譽影響，特別是機構；系統(tǒng)10%，主要表現(xiàn)為者通過對系統(tǒng)的，直接造成業(yè)務系統(tǒng)宕機。同時，、數(shù)據(jù)丟失、網(wǎng)絡不可用也是產(chǎn)生的現(xiàn)象，對機構、大中型企業(yè)造成嚴重。從現(xiàn)象統(tǒng)計看者對系統(tǒng)的具備破壞性、針對性，嚴重影響系統(tǒng)正常運行。七、事件類型分布分析通過對 2017 年全年應急響應事件處置分析，匯總出事件類型分布，如下圖所示：從上述數(shù)據(jù)可以看出，安全事件類型主要表現(xiàn)在服務器告警、網(wǎng)頁被篡改、運行異常/異常外聯(lián)、PC告警等方面。，占 28%，成為攻其

13、中，服務器擊者主要的告警是者利用對服務器進行的；網(wǎng)頁被篡改是者對互聯(lián)網(wǎng)門戶進行的常見，占 12%，嚴重損害機構、大中型企業(yè)的聲譽；運行異常/異常外聯(lián)是者利用不同的造成服務器、系統(tǒng)運行異?；虍惓Ｍ饴?lián)，降低生產(chǎn)效率；PC告警是者利用感染對辦公終端進行，占 8%，是對終端的主要。/遲緩、webs除此之外，還有流量監(jiān)測異常、被通報安全事件、無法告警等安全事件類型。所以，作為機構、大中型企業(yè)的安全和安全主管，應清楚地認識到者可通過不同的方式，對安全防護需要。的服務器或系統(tǒng)進行，單一、的安全防護措施已7第三章應急響應服務分析根據(jù) 2017 年 360 安服團隊的現(xiàn)場處置情況，機構、大中型企業(yè)在自行發(fā)現(xiàn)或被

14、通告事件，并主動尋求應急響應服務時，絕大多數(shù)情況是因為互聯(lián)網(wǎng)（DMZ 區(qū)）、辦公區(qū)終端、質(zhì)量。重要業(yè)務服務器以及郵件服務器等遭到了網(wǎng)絡，影響了系統(tǒng)運行和服務下面將分別對這四類對象從主要現(xiàn)象、主要危害、行分類分析。方法，以及者的主要目的進一、安全（一） 網(wǎng)頁被篡改主要現(xiàn)象：首頁或關鍵頁面被篡改，出現(xiàn)各種不良信息，甚至信息。主要危害：散步各類不良或低其公。信息，影響機構、企業(yè)聲譽，特別是機構，降方法：利用 webs等木馬后門，對網(wǎng)頁實施篡改。目的：宣泄對社會或的不滿；炫技或挑釁中招企業(yè)；對企業(yè)進行敲詐。（二）子頁面主要現(xiàn)象：存在、等子頁面。主要危害：通過搜索引擎搜索相關，將出現(xiàn)、等信息；通過搜索引

15、擎搜索、信息，也會出現(xiàn)相關；對于被植入網(wǎng)頁的情況，當用戶相關網(wǎng)站頁面時，安全可能不會給出風險提示。對于難度相對較大。而言，該現(xiàn)象的出現(xiàn)將嚴重降低的性及在民眾中的公，挽回利用 webs方法：等木馬后門，對進行子頁面的植入。目的：的 SEO 優(yōu)化；為網(wǎng)絡詐騙提供“相對安全”頁面。（三） DDoS主要現(xiàn)象：機構或企業(yè)無法、遲緩。主要危害：業(yè)務中斷，用戶無法。特別是對于官網(wǎng)，影響民眾網(wǎng)上辦事，降低公利用多類型DDoS 技術對方法：進行分布式抗服務。目的：敲詐或企業(yè)；企業(yè)間的競爭；宣泄對的不滿。（四） CC主要現(xiàn)象：無法、網(wǎng)頁緩慢、業(yè)務異常。8主要危害：業(yè)務中斷，用戶無法、網(wǎng)頁緩慢。方法：主要采用發(fā)起遍

16、歷數(shù)據(jù)行為、發(fā)起 SQL 注入行為、發(fā)起頻繁請求行為等方式進行。目的：敲詐；競爭；宣泄對的不滿。（五）流量異常主要現(xiàn)象：異常現(xiàn)象不明顯，偶發(fā)性流量異常偏高，且非業(yè)務繁忙時段也會出現(xiàn)流量異常偏高。主要危害：盡管從表面上看，受到的影響不大。但實際上，已經(jīng)處于被控制的高度狀態(tài)，各種有危害的都有可能發(fā)生。方法：利用 webs等木馬后門，控制；某些者甚至會以為跳板，對企業(yè)的網(wǎng)絡實施滲透。目的：對進行掛馬、篡改、暗鏈植入、頁面植入、數(shù)據(jù)竊取等。（六） 異常進程與異常外聯(lián)主要現(xiàn)象：操作系統(tǒng)響應緩慢、非繁忙時段流量異常、存在異常系統(tǒng)進程以及服務，存在異常的外連現(xiàn)象。主要危害：系統(tǒng)異常，系統(tǒng)資源耗盡，業(yè)務無法正

17、常；同時，也可能會成為攻擊者的跳板，或者是對其他發(fā)動DDoS的源。方法：使用系統(tǒng)資源對外發(fā)起DDoS實施。作為 IP；將，隱藏者，目的：長期潛伏，竊取重要數(shù)據(jù)信息。（七）安全總結及防護建議1) 安全以上六類安全，是機構、大中型企業(yè)門戶所的主要，也是網(wǎng)站安全應急響應服務所要解決的主要問題。通過對現(xiàn)場處置情況的匯總和分析得知，主要采用以下對實施：第一、利用門戶弱口令以及第利用該 websTomcat、IIS 等中間件已有組件或服務配置不當?shù)?，?webs對服務器進行操作；、各類應用上傳、上傳至門戶 web 服務器，第二、利用已有上傳，如挖礦木馬等，造成運行異常；第三、利用多類型 DDoS技術（SY

18、N Flood、ACK Flood、UDP Flood、ICMPFlood 等），對實施 DDoS；第四、發(fā)起遍歷數(shù)據(jù)、SQL 注入、頻繁請求等方式進行攻擊。2) 安全防護建議9針對所的安全以及可能造成的安全損失，機構、大中型企業(yè)應采取以下安全防護措施：第一、針對對，建立完善的監(jiān)測行為進行防護；機制，及時發(fā)現(xiàn)行為，啟動應急預案并有效加強控制 ACL 策略，細化策略粒度，按區(qū)域按業(yè)務嚴格限制各網(wǎng)絡第二、區(qū)域以及服務器之間的口，其他端口一律，采用白機制只允許開放特定的業(yè)務必要端，僅管理員 IP 可對管理端口進行，如 FTP、數(shù)據(jù)庫服務、桌面等管理端口；第三、配置并開啟應用日志，對應用日志進行定期異

19、地歸檔、備份，避免在攻擊行為發(fā)生時，導致無法對途徑、行為進行溯源等，加強安全溯源能力；第四、加強防御能力，建議在服務器上安裝相應的防或部署防病毒網(wǎng)關，即時對力；庫進行更新，并且定期進行全面掃描，加強防御能第五、定期開展對系統(tǒng)、應用以及網(wǎng)絡層面的安全評估、滲透測試以及代碼審計工作，主動發(fā)現(xiàn)目前存在的安全隱患；第六、建議部署全流量監(jiān)測設備，及時發(fā)現(xiàn)網(wǎng)絡流量，同時可進一步加強追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)；第七、加強日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡設備配合、安全日志以及安全策略情況進行檢查，常態(tài)化工作。二、終端安全（一） 運行異常主要現(xiàn)象：操作系統(tǒng)響應緩慢、非繁忙時段流量異

20、常、存在異常系統(tǒng)進程以及服務、存在異常的外連現(xiàn)象。主要危害：被的終端被者控制；機構和企業(yè)的敏感、數(shù)據(jù)可能被竊取。個別情況下，會造成比較嚴重的系統(tǒng)數(shù)據(jù)破壞。方法：針對機構、企業(yè)辦公區(qū)終端的，很多情況下是由高級者發(fā)動的，而高級者的行動往往動作很小，技術也更隱蔽，所以通常情況下，并沒有太多的異?，F(xiàn)象，被者往往很難發(fā)覺。目的：長期潛伏，收集信息，以便于進一步滲透；竊取重要數(shù)據(jù)并外傳；使用終端資源對外發(fā)起 DDoS。（二）主要現(xiàn)象：內(nèi)網(wǎng)終端出現(xiàn)藍屏、反復重啟和文檔被加密的現(xiàn)象。主要危害：。機構、企業(yè)向者付費用；造成內(nèi)網(wǎng)終端無法正常運行；數(shù)據(jù)可能方法：通過弱口令探測、系統(tǒng)、等方式，使內(nèi)網(wǎng)終端10。目的：向

21、機構、企業(yè)錢財，以到達自身目的。（三） DDoS主要現(xiàn)象：內(nèi)網(wǎng)終端不斷進行的請求。主要危害：造成內(nèi)網(wǎng)終端資源的浪費；等。者可能對內(nèi)網(wǎng)進行，造成業(yè)務中止、數(shù)據(jù)方法：可通過網(wǎng)絡連接、異常進程、系統(tǒng)進程注入可疑 DLL 模塊以及異常啟動項等多種方式進行。目的：使用機構、企業(yè)的內(nèi)網(wǎng)終端資源對外發(fā)起 DDoS，以達到敲詐、勒索以及競爭等目的。（四） 終端安全總結及防護建議1) 安全以上三類終端安全，是機構、大中型企業(yè)內(nèi)網(wǎng)終端所的主要，也是終端安全應急響應所要解決的主要問題。通過對現(xiàn)場處置情況的匯總和分析得知，主要采用以下對終端實施：第一、 通過弱口令、系統(tǒng)、社會人工學以及其他等，使內(nèi)網(wǎng)終端；第二、 通過

22、網(wǎng)絡連接、異常進程、系統(tǒng)進程注入可疑 DLL 模塊以及異常啟動項等多種方式進行。2) 安全防護建議針對內(nèi)網(wǎng)終端所的安全取以下安全防護措施：以及可能造成的安全損失，機構、大中型企業(yè)應采第一、 定期給終端系統(tǒng)及安裝補丁，防止因為利用帶來的；第二、 采用的防，并定時更新，抵御常見木馬；第三、 在網(wǎng)絡層面采用能夠?qū)θ髁窟M行持續(xù)和分析的設備，對已知安全事件進行定位溯源，對未知的高級進行發(fā)現(xiàn)和捕獲；機構和企業(yè)的 IP 和終端位置信息關聯(lián)，并第四、 完善到日志中，方便根據(jù) IP 直接定位機器位置；第五、 加強員工對終端安全操作和管理培訓，提高員工安全意識。三、服務器安全（一） 運行異常主要現(xiàn)象：操作系統(tǒng)響

23、應緩慢、非繁忙時段流量異常、存在異常系統(tǒng)進程以及服務、存11在異常的外連現(xiàn)象。主要危害：被的服務器被者控制；機構和企業(yè)的敏感、數(shù)據(jù)可能被竊取。個別情況下，會造成比較嚴重的系統(tǒng)數(shù)據(jù)破壞。方法：針對機構、企業(yè)服務器的，很多情況下是由高級者發(fā)動的，攻擊過程往往更加隱蔽，更加難以被發(fā)現(xiàn)，技術也更隱蔽。通常情況下，并沒有太多的異?，F(xiàn)象。目的：長期潛伏，收集信息，以便于進一步滲透；竊取重要數(shù)據(jù)并外傳；使用服務器資源對外發(fā)起 DDoS。（二） 木馬主要現(xiàn)象：服務器無法正常運行或異常重啟、管理員無法正常登陸進行管理、重要業(yè)務中斷、服務器響應緩慢等。主要危害：被的服務器被者控制；機構和企業(yè)的敏感、數(shù)據(jù)可能被竊取

24、。個別情況下，會造成比較嚴重的系統(tǒng)數(shù)據(jù)破壞。方法：。通過利用弱口令探測、系統(tǒng)、應用等方式，種植進行目的：利用內(nèi)網(wǎng)服務器資源進行虛擬幣的挖掘，從而賺取相應的虛擬幣，以到達獲利目的。（三）主要現(xiàn)象：內(nèi)網(wǎng)服務器文件被加密，無法打開，索要天價贖金。主要危害：用戶無法打開文件，機構、企業(yè)向者付費用；造成內(nèi)網(wǎng)服務器無法正常運行；數(shù)據(jù)可能。方法：通過利用弱口令探測、共享文件夾加密、系統(tǒng)、數(shù)據(jù)庫等攻擊方式，使內(nèi)網(wǎng)服務器。目的：通過使服務器，向機構、企業(yè)錢財，以到達自身目的。（四） DDoS主要現(xiàn)象：向發(fā)起大量異常網(wǎng)絡請求、請求等。主要危害：嚴重影響內(nèi)網(wǎng)服務器性能，如服務器 CPU 以及帶寬等，導致服務器上的業(yè)

25、務無法正常運行；者可能竊取內(nèi)網(wǎng)數(shù)據(jù)，造成數(shù)據(jù)等。方法：可能利用弱口令、系統(tǒng)、應用。等系統(tǒng)缺陷，通過種馬的方式，讓服務器DDoS 木馬，以此發(fā)起DDoS目的：使用機構、企業(yè)的內(nèi)網(wǎng)服務器對外發(fā)起 DDoS以及競爭等目的。，以達到敲詐、（五） 服務器安全總結及防護建議121) 安全以上四類服務器安全，是機構、大中型企業(yè)內(nèi)網(wǎng)服務器所的主要，也是服務器安全應急響應服務所要解決的主要問題。通過對現(xiàn)場處置情況的匯總和分析得知主要采用以下對服務器實施：第一、 通過弱口令探測、共享文件夾加密、系統(tǒng)；、數(shù)據(jù)庫以及 Webs等多種方式，內(nèi)網(wǎng)服務器第二、利用弱口令、系統(tǒng)、應用等系統(tǒng)缺陷，通過種馬的方式，讓服務器各類木

26、馬（如挖礦木馬、DDoS 木馬等），以此實現(xiàn)目的。2) 安全防護建議針對內(nèi)網(wǎng)服務器所的安全采取以下安全防護措施：以及可能造成的安全損失，機構、大中型企業(yè)應第一、 及時清除發(fā)現(xiàn)的 webs后門、木馬文件、挖礦程序。在不影響系統(tǒng)正常運行的前提下，建議重新安裝操作系統(tǒng)，并重新部署應用，以保證程序被徹底；第二、 對受害內(nèi)網(wǎng)機器進行全盤查殺，可進行全盤重裝系統(tǒng)更好，同時該機器所屬使用者的相關賬號信息應及時更改；第三、 系統(tǒng)相關用戶杜絕使用弱口令，設置高復雜強度的，盡量包含大小寫字母、數(shù)字、特殊符號等的混合出現(xiàn)；，加強運維安全意識，重用的情況第四、 有效加強控制 ACL 策略，細化策略粒度，按區(qū)域按業(yè)務嚴

27、格限制各個網(wǎng)絡區(qū)域以及服務器之間的其他端口一律理端口；，采用白機制只允許開放特定的業(yè)務必要端口，僅管理員 IP 可對管理端口進行，如桌面等管第五、服務器主動發(fā)起外部連接請求，對于需要向外部服務器推送共享數(shù)據(jù)的，加入相關策略，對主動連接 IP 范圍進行限應使用白制；的方式，在出口第六、 加強防御能力，建議在服務器上安裝相應的防或部署防網(wǎng)關，防御能力；即時對庫進行更新，并且定期進行全面掃描，加強第七、 建議增加流量監(jiān)測設備的日志周期，定期對流量日志進行分析，及時發(fā)現(xiàn)網(wǎng)絡流量，同時可進一步加強追蹤溯源能力，對安全事件發(fā)生時可提供可靠的追溯依據(jù)；第八、 定期開展對服務器系統(tǒng)、應用以及網(wǎng)絡層面的安全評估、滲透測試以及代碼審計工作，主動發(fā)現(xiàn)目前系統(tǒng)、應用存在的安全隱患；第九、 加強日常安全巡檢制度，定期對系統(tǒng)配置、網(wǎng)絡設備配合、安全日志以及安全策略情況進行