主页 > 怎么退出imtoken钱包 > 常见网络攻击类型的原理和危害分析及相应的解决方案

常见网络攻击类型的原理和危害分析及相应的解决方案

怎么退出imtoken钱包 2023-04-08 05:43:51

1.Webshell 攻击

威胁等级：高

原理：Webshell攻击是asp、php、jsp或cgi等web文件形式的命令执行环境，也可以称为web后门。黑客入侵网站后，通常会将asp或php后门文件与网站服务器web目录下的正常网页文件混合，然后使用浏览器访问asp或php后门，获取命令执行环境来达到控制网站服务器的目的，因为Webshell大多以动态脚本的形式出现，也被称为网站的后门工具。攻击者一般使用中国菜刀工具将webshells上传到服务器。

危害：1、Webshell 攻击被隐藏。一般是隐藏在普通文件中，通过修改文件的时间来实现隐藏，也有利用服务器漏洞进行隐藏。

2、Webshell 攻击可以通过服务器防火墙。由于它们通过 80 端口与受控服务器通信或远程通信，因此不会被防火墙阻止。

3、使用Webshell攻击一般不会在系统日志中留下记录，只会在网站的web日志中留下一些数据提交记录

4、攻击者可以使用 webshell 攻击来编辑、删除、下载任意文件或从网站执行命令。

处置建议：

1、[收容]：

通过防火墙配置IP黑名单，阻断威胁源IP地址危害挖矿，断开受威胁主机的网络连接，防止恶意攻击的持续蔓延。

2、[可追溯性]：

检查被感染主机的系统日志、Web服务器日志、历史CIS攻击事件中是否包含恶意文件下载、远程代码执行等事件，并针对该事件的处理建议进一步处理（如漏洞修复）。

3、[清理]：

(1）通过事件中的URL找到Webshell文件所在目录并删除，防止恶意行为继续发生；

（2）对于以上主机，建议使用终端杀毒软件查杀，或者手动查看主机进程等信息，定位是否有通过Webshell植入的恶意文件。清理恶意后文件，恢复主机的网络连接。。

4、[预防]：

（1）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，加强主机安全，及时更新补丁，防止攻击者利用漏洞进行攻击；

(2）在网络入口配置防火墙等安全设备，减少Webshell植入的可能性。

2.蠕虫攻击（蠕虫）

威胁等级：高

原理：蠕虫是一种通过网络主动攻击的恶意计算机病毒。它利用网络进行复制和传播，感染途径是通过网络和电子邮件。蠕虫是一种独立的程序，能够传播自己的功能或将其部分复制到其他计算机系统。蠕虫具有病毒的一些共同特征，如传播性、隐蔽性、破坏性等。但与普通病毒不同的是，蠕虫不需要将自身附加到宿主程序上，因此可以潜入目标系统，让他人远程控制电脑。

危害：1、蠕虫具有主动攻击、隐匿行踪、利用漏洞、降低系统性能、潜在安全风险、可重复性和破坏性等特点。

2、控制主机进行文件传输和信息泄露。

3、消耗内存或网络带宽，导致计算机崩溃。

4、用于勒索目的的文件加密。

处置建议：

1、[收容]：

隔离受感染主机，断开网络连接，防止恶意行为进一步蔓延。

2、[可追溯性]：

检查被感染主机的系统日志、应用日志、CIS历史攻击事件是否包含恶意文件下载事件。建议对事件进行进一步处理。

3、[清理]：

危害挖矿

使用终端杀毒软件进行扫描查杀，或手动查看主机进程、注册表等信息，定位蠕虫文件并进行清理。完成后，恢复主机的网络连接。恢复后建议继续观察一段时间，以保证业务正常。

4、[预防]：

（1）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，加强主机安全，及时更新补丁，防止攻击者利用漏洞进行攻击；

（2）在网络入口配置防火墙等安全设备，减少恶意入侵的可能性；

（3）提高员工的安全意识，小心打开来历不明的邮件中的附件和从网上下载的未经杀毒处理的软件。

3.单一来源和多个（单一）目的地的可疑攻击

威胁等级：高

原理：单源多用途攻击是指一个源主机对多台主机实施相同类型或多种类型的攻击。这些主机大多位于同一网段。通常的攻击形式多为扫描攻击。通过扫描整个网段，来检测易受攻击的主机。

危害：单源多用途攻击大多通过扫描获取主机组的漏洞信息，因此此类攻击的成功率较高。通过扫描发现存在漏洞的主机，对该主机进行攻击。攻击成功后，使用sidenote的方法继续攻击。同一网段的其他主机对资产造成严重破坏。

处置建议：1、[收容]：

防火墙配置 IP 黑名单来阻止威胁源 IP 地址。

2、[可追溯性]：

搜索受感染主机的历史事件，查看它们是否包含 Web 扫描事件以识别攻击源。

3、[清理]：

如果有漏洞ID，根据漏洞ID检查受威胁主机上是否存在漏洞，根据应用软件的版本修补漏洞。如果有网址信息，重点检查网址是否有漏洞。

4、[预防]：

(1）在系统中部署漏洞扫描产品，定期检查漏洞，加强主机安全，及时更新web服务器，防止攻击者利用漏洞进行攻击；

（2）在网络入口配置防火墙等安全设备，减少恶意入侵的可能性。

4.平隧道

威胁等级：高

原理：Ping数据隧道也称为ICMP数据隧道。ICMP协议可以用来穿透防火墙的检测（通常防火墙不会拦截ICMP协议的Ping数据包），这为Ping作为隐蔽通道提供了条件。攻击者可以将恶意IP流量封装成Ping数据包，从而窥探主机信息或执行攻击指令等有害操作。

危害：Ping数据隧道不会带来直接危害，但攻击者可以利用Ping数据隧道在ICMP传输过程中封装恶意流量数据，从而间接带来被攻击的可能。攻击者使用 Ping 数据隧道传输的数据可以包括但不限于：

1、端口扫描数据包。

2、重要数据泄露。

3、木马和流氓软件等

处置建议：

1、[收容]：

该事件表示主机发生数据泄露或异常访问。请确认流量是否是正常服务造成的。如果没有，通过防火墙配置IP黑名单，阻断威胁源IP地址，断开受威胁主机的网络连接。, 防止数据被连续发送出去。

2、[可追溯性]：

搜索受威胁主机的CIS历史攻击事件，查看是否存在恶意C&C、DGA、恶意文件下载事件，针对事件的处理建议进一步处理（如漏洞修复）。

3、[清理]：

危害挖矿

对于上述主机，使用终端杀毒软件检测杀毒，或手动查看主机进程、注册表等信息定位恶意文件，清理恶意文件后，恢复主机网络连接。

4、[预防]：

（1）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，加强主机安全，及时更新补丁，防止攻击者利用漏洞进行攻击；

（2）在网络入口配置防火墙等安全设备，减少恶意入侵的可能性；

（3）提高员工的安全意识，小心打开来历不明的邮件中的附件和从网上下载的未经杀毒处理的软件。

5.疑似挖矿病毒（比特币）

威胁等级：高

原理：常见挖矿病毒将挖矿程序封装，伪装成系统程序，添加自启动等持久化操作，然后植入肉鸡运行，通过占用系统资源帮助黑客挖矿。挖矿攻击流程为：矿机登录-任务分发-账号登录-挖矿-结果提交。

危害：挖矿攻击的危害性不如注入攻击，但会严重消耗系统资源，导致CPU利用率飙升，严重时会导致拒绝服务甚至主机瘫痪。

处置建议：

1、[收容]：

在不影响正常业务的前提下，通过防火墙配置IP黑名单，对矿池IP地址进行屏蔽，阻断其访问；隔离受威胁主机，断开网络连接，防止恶意行为进一步蔓延。

2、[可追溯性]：

检查被感染主机的系统日志、应用日志、CIS历史攻击事件是否包含恶意文件下载事件。建议对事件进行进一步处理。

3、[清理]：

使用终端杀毒软件查杀，或手动查看主机进程、注册表等信息，定位挖矿程序，进行清理。完成后，恢复主机网络连接，恢复正常业务。恢复后，继续观察一段时间，保证业务正常。

4、[预防]：

(1）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，加强主机安全，及时更新补丁，防止攻击者利用漏洞；在网络入口配置防火墙等安全设备减少恶意入侵的可能性；

（2）提高员工的安全意识，小心打开来历不明的邮件中的附件和从网上下载的未经杀毒处理的软件。

6.勒索病毒

威胁等级：高

原理：病毒先复制原文件危害挖矿，生成加密文件，然后删除原文件。

危害：勒索软件通常会锁定受害者的主机或系统地加密受害者硬盘上的文件，然后要求受害者支付赎金以重新获得对计算机的控制权，或者取回受害者自己无法获得的解密密码。解密文件的密钥。

处置建议：

1、[收容]：

隔离受感染主机，断开网络连接，防止恶意行为进一步蔓延。

2、[可追溯性]：

检查被感染主机的系统日志、应用日志、CIS历史攻击事件是否包含恶意文件下载事件。建议对事件进行进一步处理。

3、[清理]：

根据勒索软件信息，查找勒索软件是否有对应的数据解密程序。如果找不到解密程序，需要重装系统，或者找专业的安全人员恢复系统；系统恢复后，打开主机的网络连接。

4、[预防]：

危害挖矿

（1）勒索软件加密数据后，恢复的可能性很小，所以需要定期对数据进行备份，并将重要数据加密传输到安全的存储介质，如云盘、移动硬盘；

（2）在系统中部署漏洞扫描产品，定期检查是否存在漏洞，加强主机安全，及时更新补丁，防止攻击者利用漏洞进行攻击；

（3）在网络入口配置防火墙等安全设备，减少恶意入侵的可能性；

（4）提高员工的安全意识，小心打开来历不明的邮件中的附件和从网上下载的未经杀毒处理的软件。

7.SQL 注入

威胁等级：中

原理：SQL注入是指Web应用不判断用户输入数据的合法性。攻击者可以通过将 SQL 命令插入 Web 表单提交或 URL 页面请求的查询字符串中来欺骗数据库服务器执行。未经授权的任意查询。该 SQL 语句可以测试目标网站是否存在数据库安全漏洞。当检测到数据库漏洞时，攻击者执行相应的SQL查询语句，从数据库中获取用户、密码等重要信息。

危害：SQL注入攻击危害更大，可以表示为：

1、数据库信息泄露。

2、通过操纵数据库伪造特定网页。

3、网站被暂停，传播恶意软件。

4、数据库服务器被攻击，数据库系统管理员账号被篡改。

5、服务器被远程控制和后门。数据库服务器提供的操作系统支持允许攻击者修改或控制操作系统等。

处置建议：

1、[收容]：

防火墙配置IP黑名单，阻断攻击IP地址，隔离受威胁主机的网络连接，防止攻击持续蔓延。

2、[可追溯性]：

搜索受感染主机的历史事件，查看它们是否包含 Web 扫描事件以识别攻击源。

3、[清理]：

检查并修改包含SQL注入漏洞的网页代码，修复后重启Web服务；为了检查攻击者是否通过注入攻击植入了恶意软件，建议使用终端杀毒软件进行查杀，或者手动查看主机进程等信息，定位恶意程序，清理，恢复主机网络连接完成后。

4、[预防]：

(1）在系统中部署漏洞扫描产品，定期检查漏洞，加强主机安全，及时更新web服务器，防止攻击者利用漏洞进行攻击；

（2）在网络入口配置防火墙等安全设备，减少恶意入侵的可能性。

8.XSS 攻击

威胁等级：中

原理：XSS攻击是一种跨站脚本攻击。XSS 是一种计算机安全漏洞，经常出现在 Web 应用程序中。攻击者在提供给其他用户的页面中植入恶意代码，包括HTML代码和客户端脚本，一旦用户通过浏览器浏览带有XSS的网页，就会触发XSS攻击。一般来说，XSS 攻击多为反射型和存储型。攻击者经常使用“弹窗”来测试是否存在 XSS 漏洞。

危害：XSS 攻击虽然没有 SQL 注入那么危害，但可以灵活使用，它可能造成的危害可以包括但不限于：

1、实施钓鱼，盗取浏览用户的账号信息。

2、窃取用户 cookie 信息。

3、强制弹出广告页面。

4、执行大量客户端攻击，例如 DDoS。

危害挖矿

处置建议：

1、[收容]：

防火墙配置IP黑名单来拦截XSS攻击的IP地址，并通过关闭网络连接来隔离受威胁主机的网络连接，防止攻击的持续蔓延。

2、[可追溯性]：

搜索受感染主机的历史事件，查看它们是否包含 Web 扫描事件以识别攻击源。

3、[清理]：

通过事件中的HTTP URL查看XSS漏洞页面，清理数据库中存储的XSS植入的payload，更新Web服务器或修改包含XSS漏洞的网页代码，完成后重启Web服务以上操作，恢复被入侵的主机网络连接。

4、[预防]：

(1）在系统中部署漏洞扫描产品，定期检查漏洞，加强主机安全，及时更新web服务器，防止攻击者利用漏洞进行攻击；

（2）在网络入口配置防火墙等安全设备，减少恶意入侵的可能性。

9.Dos攻击事件

威胁等级：中

原理：DoS攻击是一种拒绝服务攻击，是指故意攻击网络协议的缺陷或通过野蛮手段野蛮地耗尽被攻击对象的资源，目的是使目标计算机或网络无法提供正常服务或资源访问，停止目标系统服务系统的响应，通过利用主机的特定漏洞，以及正常的网络服务功能，重点关注网络栈故障、系统崩溃、主机崩溃无法提供，从而导致拒绝服务。该攻击不包括入侵目标服务器或目标网络设备。

危害：DoS攻击会使受害主机或网络无法及时接收和处理外部请求，或者无法及时响应外部请求。其具体表现如下：

1、造成网络拥塞导致被攻击主机，使被攻击主机无法与外界正常通信。

2、向服务器提交大量请求，导致服务器过载。

3、阻止用户访问服务器。

4、阻止服务与特定系统或个人通信。

处置建议：

1、[收容]：

（1）在不影响正常业务的前提下，通过防火墙配置IP黑名单，阻断恶意攻击源地址，阻断其访问；

(2）断开被感染主机的网络连接进行隔离，防止恶意攻击不断蔓延。

2、[可追溯性]：

进一步通过智能查询DoS攻击源IP的详细信息。

3、[清理]：