网站篡改演练方案演练方案

1、文档编号： 密 级：内部 网站篡改事件应急演练方案北京启明星辰信息技术股份有限公司二一年六月拟 制修 改审 核批 准读 取文档版本控制版本号发布日期简要说明1.02010-06-27初稿目录1引言42适用范围53本次演练目标64演练内容综述74.1演练事件描述74.2本次演练原则74.3演练时间计划74.4方案启动条件75演练工作方案85.1演练准备工作85.2演练场景搭建95.3演练收场工作96演练脚本107改进工作121 引言 通过实施具体场景的应急演练来提高应急组织的应急响应能力，本方案针对特定场景的具体演练情况进行描述，主要从演练技术操作层面描述整个演练实施过程，包括场景搭建、演练脚本

2、等内容。2 适用范围 本演练方案仅适用于本次在广东电网公司对网站被挂马的应急演练。如果其它应急演练需要，则必须对本演练方案内容进行审核及调整。3 本次演练目标 通过本次演练，检验网站篡改预案以及本应急演练方案的完善性和指导性，同时也提高本单位相关工作人员与第三方亚运安保服务机构的协同，并通过后续的演练总结，完善演练预案及方案、改进应急操作及流程、全面提高网站篡改事件的应急响应能力。4 演练内容综述4.1 演练事件描述通过在广东电网公司内网架设一套独立的环境，模拟网站被挂马，在最短时间恢复被篡改的网站对象至正常状态，并追踪攻击来源，清除后门，做好补漏工作。4.2 本次演练原则本次演练在不影响广东

3、电网网络系统的情况下进行。因此，搭建一套专用的演练网络，所有操作均在该网络上进行。4.3 演练时间计划 根据本次演练方案，整个网站挂马应急演练，不超过1小时（不包括前期场景搭建及准备时间）。4.4 方案启动条件架设虚拟网站，模拟被入侵挂马，即启动该应急预案。5 演练工作方案5.1 演练准备工作1、 演练沟通会。（确定演练时间、地点、人员）通过双方召开的演练沟通会，确定本次演练相关人员：角色姓名电话备注实时监测人员应急保障人员管理协调人员系统维护人员应急管理人员。上级协调人员同一工作人员可担任多个角色，同一角色亦可由多人担任。演练地点：XXX演练时间：XXX夜间12点开始2、 确定需要备份的系统

4、 由于本次演练环境为专门搭建，不存在需要备份的系统。3、 确定其它影响 由于本次演练环境为专门搭建，不会对其它任何系统造成影响。5.2 演练场景搭建1、 三层交换机一台，需支持端口镜像功能。交换机设置网关为192.168.0.1；2、 服务器两台（可用虚拟系统代替，均为WINDOWS 2003操作系统），其中一台搭建被攻击网站，另一台搭建超级巡警统一网站安全监控系统，一台PC用来做攻击方；3、 网关IP为192.168.0.1，攻击方IP为192.168.0.5，被攻击网站服务器；4、 软件工具有：网马扫描工具MHTScan、MSScaner，网马分析工具MDecoder。5.3 演练收场工作

5、1、移除演练环境，测试网络是否正常；2、总结演练成果（见“改进工作”一章）。6 演练脚本阶段演练脚本内容1、准备1、由应急保障人员备份以搭建好的网站并准备应急页面；（24:00-24:05）2、由应急保障人员在超级巡警统一网站安全监控系统上加入被攻击网站的URL并在该服务器上安装网马扫描工具MHTScan、MSScaner，网马分析工具MDecoder； （24:05-24:10）3、模拟入侵服务器，在PC上用远控桌面（3389）登陆服务器A并在网站页面上添加模拟木马代码：<iframe id=myIframe src="muma.htm" width="0

6、" height="0" frameborder=0></iframe>。；（24:10-24:15）2、检测1、由实时监测人员登录超级巡警统一网站安全监控系统即查看被攻击网站的被挂马情况；（24:15-24:20）2、由应急保障人员在分别利用工具MHTScan、MSScaner、MDecoder分析网站被挂马情况。（24:20-24:32）3、抑制1、由应急保障人员备份网站日志和网页文件，停止运行网站；（24:32-24:36）2、由应急保障人员暂启用应急网站，避免停止服务。（24:36-24:38）4、恢复1、由应急保障人员恢复网站备份，开启网站；（24:38-24:45）2、由应急保障人员在测试网站可用性。（24:45-24:46）5、 根除1、 由系统维护人员修改加强管理员密码；（服务器密码过于简单）2、 由系统维护人员删除系统、网站和数据库多余账号；（权限）。（被入侵，留下后门）3、 由系统维护人员更新服务器补丁；（服务器本身有楼道）4、 由系统维护人员更新网站版本。（网站代码有漏洞）（24:46-24:55）6、追踪1、由应急管理人员汇报上级（24:55-24:45）2、总结报告7 改进工