安全-HVV防守事记
Posted 小狐狸FM
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全-HVV防守事记相关的知识,希望对你有一定的参考价值。
前言
某医院防守方,资产较少,大多是app,没啥攻击流量
两台防火墙,一台是布在内网的政务网区域(内网防火墙),一台在内外网之间(互联网防火墙)
WAF是布在内外网之间,IPS在内网的政务网区域
人员组成: 4人
攻防时间: 5天
安全设备: WAF(WEB防火墙)、防火墙 x 3、IPS(入侵防御系统)
上一篇笔记: 安全-HVV防守事记(一)
攻防第一天
一直在看WAF设备,攻击日志都是网络扫描的
记录了一些恶意攻击的IP并封禁
攻防第二天
在WAF的攻击日志中大多是扫描的行为,之后看了一下访问日志
有很多的扫描都没有归类到攻击日志中,之后主要看看访问日志
突然想起来了WAF设备可以封禁地区,将WAF的策略设置了一下
仅大陆内部的IP可访问医院,禁止国外的IP访问医院网站。
攻防第三天
WAF基本没有什么日志,就写了一下之前几天封禁IP的报告
今天其他家医院被打穿了好多,查了一下都是和我这个医院一批的
中午的时候,互联网防火墙突然CPU爆满,只能查看一些策略操作
去机房看了一下防火墙的状态已经是红灯了,运维推测只能靠拔插访问防火墙的网线或者是重启防火墙才能恢复
但在白天的时间重启防火墙会影响业务,还有可能让防火墙退休
医院正好有备用的防火墙,所以运维就先把备用的防火墙拿过来配策略
如果现在用的互联网防火墙挂了就能用上,然后那个运维从下午到晚上一直在配置策略
将情况和公司总部说了之后,负责攻防的技术人员和商务协商
说是可以先搞一台备用的防火墙晚上运过来,做好二手准备
政务网的防火墙有点古老,如果之后被攻击的话没办法防护
医院负责人说是还有一台备用的IPS没有装上去,配置是已经提前弄好了的
所以晚上就安装了IPS,调整了一下安全策略
晚上把原先的互联网防火墙重启之后可以查询一些内容,但是没办法添加东西
所以就把新配好的防火墙换了上去,也配了一下对应的安全策略
攻防第四天
开放了政务网的攻击,攻击队可以通过政务专网来进行攻击
WAF上流量很少,都是凌晨的攻击请求
互联网防火墙有很多来自外国的攻击流量,类型是DOS攻击,都是同一个IP的123端口
推测昨天是因为这个DOS攻击才导致原先的互联网防火墙CPU爆满
但是DOS攻击不算很强,只会影响防火墙使用,而不会影响正常业务
又写了几个报告提交上去,拿了点分数
IPS上发现了一些政务专网的漏洞扫描,显示是没有拦截请求
之后就手动对攻击的IP封禁处理了
后来发现IPS策略里面的允许是表示允许流量通过,而不是允许使用某个安全策略的模板
然后就修改了一下IPS所有策略,启用对应的安全策略模板,并拒绝请求
想起来之前的攻击请求都没有被拦截,所以就去了对应的服务器上杀软扫描了一下
netstat -ano
也没有看见什么外联端口,net user
无新建的用户,放心了
晚上的时候发现还是有一些规则是被允许的,就到规则库里面搜索了一下
发现还有一些规则没有添加,所以就全选了一下规则并添加
17点左右发现内网一直出现
Netbios
的漏洞警告,目的都是x.x.x.255广播地址的
刚开始以为是被攻入内网了,所以就登录了好几台的服务器去查看日志、新建用户、外联端口、进程,还用杀软都扫描了一遍
最后都没有发现什么东西,当天攻防结束后就关闭了政务外网
但是这个告警信息还是一直在
之后就出现
Oracle
的SID被爆破的警告,医院的网络管理人员就发现所有和数据库有关的东西都没法弄了
然后查看警告的详细信息发现,阻止了所有内网IP的1521端口流量
根据对应告警的规则ID去规则库查询,关闭了对应的规则,业务正常
之后想到可能是因为开启的规则太多了,有一些规则可能是存在误报的情况
所以就把那个Netbios
告警的规则给关闭了,等了一段时间后没有告警信息
因为只是关闭了规则,还是没办法确定是不是真的被攻击,只能第二天看分数是否变动了。
攻防第五天
今天全都是
apache log4j
的文章,上午的时候组织方打电话过来询问IP归属问题
上午WAF中用于检测log4j
的规则更新了,然后给WAF手动导入了规则库
下午再查看了一下分数发现被扣了几百分,看来昨天服务器确实是被攻击了
但是分数没有扣很多,而且到服务器上没有发现外联的IP和木马,很有可能是红队拿到的是后台的权限还没提权。
晚上把串联的WAF拆了,原先的安全策略也都还原,再确认了一下业务是否受到影响。
以上是关于安全-HVV防守事记的主要内容,如果未能解决你的问题,请参考以下文章