公司网络信息系统恶意代码排查服务内容及方案.docxVIP

公司网络信息系统恶意代码排查服务内容及方案 服务范围 恶意代码排查的服务范围主要针对被入侵网站、应用系统等服务器，同时包括与其同网段或同一区域的服务器。具体范围我们建议如下： 被入侵网站服务器、数据库服务器 同网段内疑似被攻击的服务器 同一区域疑似被攻击的服务器 其次，该项服务主要针对以B/S架构为主的网站系统，因此，支持的服务器操作系统类型包括如下： Windows系列服务器：Windows2000、Windows2003、Windows2008等 Linux系列服务器：Redhat Linux、Debian GNU/Linux、SUSE Linux等 Unix系列服务器：HPUX、Solaris、FreeBSD、AIX等 服务内容 恶意代码排查的服务内容包括操作系统排查和应用程序排查两部分。详细内容如下： 操作系统排查包括： 可疑账号排查（隐藏、克隆账号） 可疑文件排查 可疑进程排查 可疑网络连接排查 Rootkit排查 应用程序排查包括： WebShell网页后门排查 一句话网页木马排查 数据库JS挂马排查 恶意插件排查 流氓软件排查 恶意代码排查服务内容框架见下图： 服务流程 恶意代码排查服务过程中，会涉及到下面几个步骤。 首先确认待检查对象的范围和工作内容范围：包括检查对象的数量，例如20台windows2003服务器、10台Redhat linux服务器；具体检查工作内容，例如WebShell网页后门检查。 其次，绿盟科技安排安全工程师准备检查工具，包括检查工具的升级更新，工具的光盘刻录等事项。 安全工程师到达客户现场，对于网页WebShell后门和一句话木马的检查，我们建议客户使用专机对待检查对象进行检查。对于操作系统级检查，需要管理员配合上传或拷贝检查工具至服务器，由安全工程师进行检查操作。 安全工程师检查完毕后，将审计结果信息记录并整理，最后输出报告。 服务报告 在进行恶意代码排查服务后，安全工程师会将排查结果信息记录并整理，输出如下报告： 《XX系统恶意代码排查报告》 《XX网站恶意代码排查报告》 《XX服务器恶意代码排查报告》