軟體開發(軟件開發)

網智數位主要提供套裝及客製化的軟體系統解決方案,專為客戶量身訂做客製化的軟體,達成客製化、智慧化及網路化的管理功能。

室內設計、裝潢、窗簾報價估算軟體

網智數位主要提供套裝及客製化的軟體系統解決方案,針對室內設計師、木工、裝潢業產業,量身訂做客製化的軟體,達成客製化、智慧化及網路化的商用軟體。

商用軟體-客製化設計

網智數位主要提供套裝及客製化的軟體系統解決方案,專為客戶量身訂做客製化的軟體,達成客製化、智慧化及網路化的管理功能。

IOT 物聯網-系統開發

根據客戶實際狀況,結合雲端與載具進行客製化物聯網IOT導入與軟體開發

雲端VPS虛擬主機租用

我們的雲端VPS虛擬主機是採用雲端(虛擬化)技術所開發之全新雲端伺服器服務,可以選擇多種作業系統(Windows、Linux等),客戶可載入自訂的應用環境,執行自己所要提供的網路服務,我們的雲端服務可為您的網站提供最完美的解決方案。

ERP軟體客製化導入

ERP軟體客製化導入,室內設計、營造業、裝潢、木作工程、系統櫃工程、會計系統,全面提升公司管理營運效率。

搜尋引擎最佳化SEO

搜尋引擎最佳化(SEO)不僅能提高網站在搜尋結果的排名,更能帶來大量對我們產品或服務真正有需求的訪客。SEO 最棒的特質之一就是不像廣告一樣亂槍打鳥而導致用戶的反感,反而更能提升點閱率跟成交率喔。

服務宗旨

網智數位主要提供套裝及客製化的軟體系統解決方案,專為客戶量身訂做客製化的軟體,達成客製化、智慧化及網路化的管理功能。

我們的成立宗旨就是要以最猛的IT技術讓這個世界更Smart,在我們貫徹我們裡想的同時,我們希望可以把我們所開發的系統帶給台灣的中小企業,除了要推薦好的東西之外,我們也希望做點改變,所以我們的第一目標就是要使用最好用的系統再加上您寶貴的創意,不僅僅可以節省你大量的荷包,還可以有一個像樣的網站。我們可以幫你做的有

企業管理
  • 策略管理
  • 目標管理
  • 行銷管理
  • 財會管理
  • ERP導入
  • 企業流程自訂
資訊管理
  • 網站架設
  • 虛擬化/雲端架設
  • 主機代管
  • 私有雲建制與導入
軟體開發
  • UML設計
  • 版本控管
  • 企業軟體開發
  • APP開發
  • 網頁設計
資訊安全
  • 網頁弱點掃描
  • 主機弱點掃描
  • 木馬檢測
  • 資安鑑識
  • 設計網路架構
  • 資安監控
行銷
  • 關鍵字SEO
  • 社群網路行銷
  • 部落格行銷
  • FaceBook 粉絲團
其他
  • 協助企業申請Google Email
好玩工具開發

講出你的創意吧!沒有甚麼是資訊辦不到的

顯示具有 資安鑑識 標籤的文章。 顯示所有文章
顯示具有 資安鑑識 標籤的文章。 顯示所有文章

2016年8月4日 星期四

伺服器被攻擊後的處理措施

     安全總是相對的,再安全的服務器也有可能遭受到攻擊。作為一個安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊後能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。

hacker_internet_web_attack-100033459-medium


一、處理服務器遭受攻擊的一般思路
系統遭受攻擊並不可怕,可怕的是面對攻擊束手無策,下面就詳細介紹下在服務器遭受攻擊後的一般處理思路。
1.必須馬上切斷網絡
所有的攻擊都來自於網絡,因此,在得知系統正遭受黑客的攻擊後,首先要做的就是斷開服務器的網絡連接,這樣除了能切斷攻擊源之外,也能保護服務器所在網絡的其他主機。
2.開始試著查找攻擊源
可以通過分析系統日誌或登錄日誌文件,查看可疑信息,同時也要查看系統都打開了哪些端口,運行哪些進程,並通過這些進程分析哪些是可疑的程序。這個過程要根據經驗和綜合判斷能力進行追查和分析。下面的章節會詳細介紹這個過程的處理思路。
3.進行分析入侵原因和途徑
既然系統遭到入侵,那麼原因是多方面的,可能是系統漏洞,也可能是程序漏洞,一定要查清楚是哪個原因導致的,並且還要查清楚遭到攻擊的途徑,找到攻擊源,因為只有知道了遭受攻擊的原因和途徑,才能刪除攻擊源同時進行漏洞的修復。
4.一定必須備份用戶數據
在服務器遭受攻擊後,需要立刻備份服務器上的用戶數據,同時也要查看這些數據中是否隱藏著攻擊源。如果攻擊源在用戶數據中,一定要徹底刪除,然後將用戶數據備份到一個安全的地方。
5.重新安裝系統
永遠不要認為自己能徹底清除攻擊源,因為沒有人能比黑客更了解攻擊程序,在服務器遭到攻擊後,最安全也最簡單的方法就是重新安裝系統,因為大部分攻擊程序都會依附在系統文件或者內核中,所以重新安裝系統才能徹底清除攻擊源。
6.修復程序或系統漏洞
在發現系統漏洞或者應用程序漏洞後,首先要做的就是修復系統漏洞或者更改程序bug,因為只有將程序的漏洞修復完畢才能正式在服務器上運行。
7.恢復數據和連接網絡
將備份的數據重新復製到新安裝的服務器上,然後開啟服務,最後將服務器開啟網絡連接,對外提供服務。
二、檢查並鎖定可疑用戶
當發現服務器遭受攻擊後,首先要切斷網絡連接,但是在有些情況下,比如無法馬上切斷網絡連接時,就必須登錄系統查看是否有可疑用戶,如果有可疑用戶登錄了系統,那麼需要馬上將這個用戶鎖定,然後中斷此用戶的遠程連接。
1.登錄系統查看可疑用戶
通過root用戶登錄,然後執行“w”命令即可列出所有登錄過系統的用戶,如下圖所示。

wKioL1ei-aqgJ0VUAAB84CpIZOQ223

通過這個輸出可以檢查是否有可疑或者不熟悉的用戶登錄,同時還可以根據用戶名以及用戶登錄的源地址和它們正在運行的進程來判斷他們是否為非法用戶。
2.鎖定可疑用戶
一旦發現可疑用戶,就要馬上將其鎖定,例如上面執行“w”命令後發現nobody用戶應該是個可疑用戶(因為nobody默認情況下是沒有登錄權限的),於是首先鎖定此用戶,執行如下操作:
[root@server ~]# passwd -l nobody
鎖定之後,有可能此用戶還處於登錄狀態,於是還要將此用戶踢下線,根據上面“w”命令的輸出,即可獲得此用戶登錄進行的pid值,操作如下:
[root@server ~]# ps -ef"grep @pts/3
531 6051 6049 0 19:23 ? 00:00:00 sshd: nobody@pts/3
[root@server ~]# kill -9 6051
這樣就將可疑用戶nobody從線上踢下去了。如果此用戶再次試圖登錄它已經無法登錄了。
3.通過last命令查看用戶登錄事件
last命令記錄著所有用戶登錄系統的日誌,可以用來查找非授權用戶的登錄事件,而last命令的輸出結果來源於/var/log/wtmp文件,稍有經驗的入侵者都會刪掉/var/ log/wtmp以清除自己行踪,但是還是會露出蛛絲馬跡在此文件中的。
三、查看系統日誌
查看系統日誌是查找攻擊源最好的方法,可查的系統日誌有/var/log/messages、/var/log/secure等,這兩個日誌文件可以記錄軟件的運行狀態以及遠程用戶的登錄狀態,還可以查看每個用戶目錄下的.bash_history文件,特別是/root目錄下的.bash_history文件,這個文件中記錄著用戶執行的所有歷史命令。
四、檢查並關閉系統可疑進程
檢查可疑進程的命令很多,例如ps、top等,但是有時候只知道進程的名稱無法得知路徑,此時可以通過如下命令查看:
首先通過pidof命令可以查找正在運行的進程PID,例如要查找sshd進程的PID,執行如下命令:
1 2 [root@server ~]# pidof sshd 13276 12942 4284
然後進入內存目錄,查看對應PID目錄下exe文件的信息:
1 2 [root@server ~]# ls -al /proc/13276/exe lrwxrwxrwx 1 root root 0 Oct 4 22:09 /proc/13276/exe -> /usr/sbin/sshd
這樣就找到了進程對應的完整執行路徑。如果還有查看文件的句柄,可以查看如下目錄:
[root@server ~]# ls -al /proc/13276/fd
通過這種方式基本可以找到任何進程的完整執行信息,此外還有很多類似的命令可以幫助系統運維人員查找可疑進程。例如,可以通過指定端口或者tcp、udp協議找到進程PID,進而找到相關進程:
1 2 3 4 5 6 7 8 9 [root@server ~]# fuser -n tcp 111 111/tcp: 1579 [root@server ~]# fuser -n tcp 25 25/tcp: 2037 [root@server ~]# ps -ef|grep 2037 root 2037 1 0 Sep23 ? 00:00:05 /usr/libexec/postfix/master postfix 2046 2037 0 Sep23 ? 00:00:01 qmgr -l -t fifo -u postfix 9612 2037 0 20: 34 ? 00:00:00 pickup -l -t fifo -u root 14927 12944 0 21:11 pts/1 00:00:00 grep 2037
在有些時候,攻擊者的程序隱藏很深,例如rootkits後門程序,在這種情況下ps、top、netstat等命令也可能已經被替換,如果再通過系統自身的命令去檢查可疑進程就變得毫不可信,此時,就需要藉助於第三方工具來檢查系統可疑程序,例如前面介紹過的chkrootkit、RKHunter等工具,通過這些工具可以很方便的發現系統被替換或篡改的程序。
五、檢查文件系統的完好性
檢查文件屬性是否發生變化是驗證文件系統完好性最簡單、最直接的方法,例如可以檢查被入侵服務器上/bin/ls文件的大小是否與正常系統上此文件的大小相同,以驗證文件是否被替換,但是這種方法比較低級。此時可以藉助於Linux下rpm這個工具來完成驗證,操作如下:
1 2 3 4 5 6 7 8 9 10 11 12 13 [root@server ~]# rpm -Va ....L... c /etc/pam.d/system-auth S.5..... c /etc/security/limits.conf S.5....T c /etc/sysctl.conf S.5....T /etc/sgml/docbook-simple.cat S.5....T c /etc/login.defs S.5..... c /etc/openldap/ldap.conf S.5....T c /etc/sudoers ..5....T c /usr/lib64 /security/classpath.security ....L... c /etc/pam.d/system-auth S.5..... c /etc/security/limits.conf S.5..... c /etc/ldap.conf S.5....T c /etc/ssh/sshd_config
對於輸出中每個標記的含義介紹如下:
S 表示文件長度發生了變化
M 表示文件的訪問權限或文件類型發生了變化
5 表示MD5校驗和發生了變化
D 表示設備節點的屬性發生了變化
L 表示文件的符號鏈接發生了變化
U 表示文件/子目錄/設備節點的owner發生了變化
G 表示文件/子目錄/設備節點的group發生了變化
T 表示文件最後一次的修改時間發生了變化
如果在輸出結果中有“M”標記出現,那麼對應的文件可能已經遭到篡改或替換,此時可以通過卸載這個rpm包重新安裝來清除受攻擊的文件。
不過這個命令有個局限性,那就是只能檢查通過rpm包方式安裝的所有文件,對於通過非rpm包方式安裝的文件就無能為力了。同時,如果rpm工具也遭到替換,就不能通過這個方法了,此時可以從正常的系統上複製一個rpm工具進行檢測。
對文件系統的檢查也可以通過chkrootkit、RKHunter這兩個工具來完成,關於chkrootkit、RKHunter工具的使用,下次將展開介紹。

 

網智數位-軟體開發(軟件開發)
針對各特殊產業都可以量身定做符合貴公司的需求,別人無法克服的就是我們的挑戰
業務合作、軟體委外開發
業務窗口:allen@netqna.com
聯繫電話:0920-883-870
skype: netqna
line:netqna
微信:netqna
黃先生 Allen

2014年5月6日 星期二

[資安鑑識工具]Rootkit 殺手GMER 掃描移除程式

在介紹GMER這套軟體之前,先來介紹一下什麼是Rootkit? 
Rootkit是指其主要功能為:隱藏其他程式行程的軟體,可能是一個或一個以上的軟體組合;廣義而言,Rootkit也可視為一項技術。在今天,Rootkit一詞更多地是指被作為驅動程式,載入到作業系統核心中的惡意軟體。因為其代碼執行在特權模式之下,從而能造成意料之外的危險。最早Rootkit用於善意用途,但後來Rootkit也被駭客用在入侵和攻擊他人的電腦系統上,電腦病毒、間諜軟體等也常使用Rootkit來隱藏蹤跡,因此Rootkit已被大多數的防毒軟體歸類為具危害性的惡意軟體。Linux、Windows、Mac OS等作業系統都有機會成為Rootkit的受害目標。
簡單的來說Rootkit 是躲在系統底層的程式,偽裝成一般的系統檔或應用軟體讓人無法察覺,有些還可躲過防毒軟體的監控與掃描,所以當初Rootkit的出來,對於防毒軟體是一大挑戰。很多中了木馬或被植入Rootkit的電腦在外觀或使用上並無太大的差異,但實際上可能已經暗中竊取資料或等待時機執行其他攻擊任務。

而今天要介紹的Rootkit 掃描移除程式 GMER 是一款來自波蘭的免費多功能系統安全監控分析應用程式。除了具有偵測 Rootkit 的功能外,它還能顯示隱藏的程式、服務、驅動程式、登錄檔項目及隱藏的檔案。再者,它亦能監控自動啟動的程式、程式庫的載入、驅動程式的載入等...。

軟體下載

軟體名稱:GMER
軟體版本:GMER 2.1.19357
作業系統:Windows NT/W2K/XP/VISTA/7/8
軟體語言:英文
軟體性質:免費軟體
官方網站:http://www.gmer.net/
軟體下載:按這裡

使用方式

下載後直接打開 GMER 程式無須安裝,軟體分為「處理程序」、「模組」、「服務」、「檔案」、「登錄」、「Rootkit/惡意程式碼」、「CMD」和「自動啟動」八個標籤頁。

掃描方式非常簡單,選擇「Rootkit/Malware」標籤頁,點選Scan就會開始掃描。


掃瞄的類型如下:
  • 隱藏的處理程序
  • 隱藏的執行緒
  • 隱藏的模組
  • 隱藏的服務
  • 隱藏的檔案
  • 隱藏的磁碟磁區(MBR)
  • 隱藏的替代資料串流
  • 隱藏的登錄機碼
  • 驅動程式鈎子 SSDT
  • 驅動程式鈎子 IDT
  • 驅動程式鈎子 IRP 呼叫
  • 內嵌鈎子
掃描結果如發現到有Rootkit 惡意程式,Gmer會跳出警告視窗。
點選有問題的程式選擇刪除即可。

總結

當然,Gmer程式可能也會有些「誤判」的情況,而視窗中列出來的可能只是「可疑」而已,並不一定真的全部都有問題,如果沒掃到也不代表完完全全沒問題。我們可以根據 Gmer 的掃描結果再一一的詳細檢查、交叉比對一下是否真的非砍掉不可。不過如果你對安全性方面的要求很高,那就盡量不要放過任何一個可疑的檔案,或者多找幾套類似的工具來掃描、檢測一番。

2014年4月19日 星期六

[資安鑑識]檔案校驗工具FCIV (Microsoft File Checksum Integrity Verifier)

說明:

前一陣子有po一篇文章,[資安鑑識]-手動尋找system32目錄中可能存在的木馬,但這個方法需要透過寫批次檔才可執行且檔案只是做個簡單的比對而已,今天介紹一個更方便的工具叫FCIV (Microsoft File Checksum Integrity Verifier)。

檔案總和檢查碼完整性檢查器 (FCIV) 是一個微軟出的命令提示字元公用程式,會計算並驗證檔案的密碼編譯雜湊值。FCIV 可以計算 MD5 或 sha-1 密碼編譯雜湊值。這些值可以在螢幕上顯示或儲存在 XML 檔案資料庫以供日後使用和查驗。 

使用 FCIV 公用程式,您可以也計算所有的重要檔案的雜湊,並儲存為 XML 檔案資料庫中的值。如果您懷疑您的電腦可能已遭入侵,及重要檔案已經變更,您可以執行FCIV並存成 XML 資料庫,以判斷哪些檔案已被修改。

FCIV支援

MD5、SHA1雜湊演算法,預設為MD5,支援遞迴查詢,並將查詢的結果存到XML檔案

檔案下載:

使用方式

語法


fciv.exe [Commands] <Options>

FCIV 常用參數:

-r:是遞迴子目錄
-type:指定檔案類型,如-type *.exe
-exc:要排除的目錄
-wp:是去掉全路徑
-v:校驗雜湊值
-xml:後面加結果的檔案路徑 

範例:

要將網站目錄c:\Inetpub\www 下的所有檔案的MD5雜湊值都計算出來
fciv c:\Inetpub\www -r -xml www.xml

如果要比對現在跟之前的MD5檔案就執行
fciv -v -xml www.xml
www.xml裡面有檔案路徑不需要在命令列在額外輸入路徑

比對過後就會列出有被修改過的檔案。如下圖:



透過檔案總和檢查碼完整性檢查器 (FCIV) 計算出網頁或檔案的雜湊值。當未來如檔案被非法異動過,完整性資訊遭到破壞,系統管理者可以自行回復乾淨的檔案程式。

2014年3月13日 星期四

[資安鑑識]-手動尋找system32目錄中可能存在的木馬

資安事件為因蓄意行為、意外狀況、人為疏失,導致單位系統被駭客植入木馬程式、竊取資料、遭受阻斷式服務攻擊、實體破壞設等等破壞組識資訊通訊的事件。為了迅速抓出淺在電腦裡的木馬元凶,這裡提供簡單的檢測方法。

主機在乾淨且正常的狀態下備份
Cd %systemroot%\system32
dir *.exe > c:\log\exeb.txt & dir *.dll > c:\log\dllb.txt


請自行將dllb.txt妥善保管好,執行一段時間後,當覺得主機怪怪的或有發現異常時,在備份一次(不同檔名或路徑)
dir *.exe > c:\log\exec.txt & dir *.dll > c:\log\dllc.txt

就可以比較前後兩次的檔案列表
fc c:\log\exeb.txt c:\log\exec.txt >> c:\log\diffe.txt && c:\log\dllb.txt c:\log\dllc.txt >> c:\log\diffd.txt


以上圖來說紅框的部分,就可以發現到有異常的程式在執行了。