应急响应步骤（白底） conv.docxVIP

应急响应步骤

信息收集

对业务有什么影响被?侵项?名称?体架构报警信息受害主机数量?客域名、IP安全系统的?志??样本服务器是否能出?

是否统?管理??（堡垒机）对外开放端??客所有?为记录操作系统版本

补丁情况

?侵分析

情报威肋平台查看URL、病毒?件、IP.域名定位?客?机，或第??侵点服务器外联哪个地址，?客IP分析?侵点，哪台机器最先被渗透通过蜜罐看攻击源查看所有安全设备的?志，定位攻击?是否是办公?机器执?的操作通过服务器所属组，是否云账号泄露病毒分析

所有可能受攻击机器预加裁库配置?件是否被修改动态链接库配置?件是否被修改查看系统启动项使?公司知识库参考以往类以案例

安全事故类型/快速应急?案

被远控

把?客IP加??名单，直接给DDoS?掉，把应?切换???植?

禁?主动出?，阻断?客远控?为留后?

查对外的端?，如果有?危漏洞应?就加?名单CPU飙?

删除???件，杀死进程，如果rootkit就服务器下线异常流量

找到还能出?机器重点做安全加固rootkit

深度安全检测，不重要服务器直接下线挖矿

不允许直接访问服务器，防?正向shell，?代理即可勒索病毒

把?客IP加??名单查对外的端?，如果有?危漏洞应?就加?名单禁?主动出?，阻断?客远控?为机器直接下线

看公开漏洞就?了，redis、Mongodb、MySQL等不允许直接访问服务器，防上正向shell，?代理即可

sql拖库

把?客IP加??名单web渗透

在加?层云waf，只启?owasp防御功能开发修改接?

留??，??挂?给接?添加验证码做?机识别

IP每分钟限制访问10次同?接?通过ngingx?志找到有漏洞的接?查服务器上是否有??和webshell

webshell

找到?志，看哪台机器产?的，把关键字找到

去到?件?，确认真的被注?webshell，有很多是?客的扫描?志

?刻删除，去看从哪个接?进来的，根据webshell内容作为关键词全盘搜索，尤其是Java?志

找所有nginx?志，找到这个请求接?，?ack命令，?grep还好?确定具体的接?，让开发去修改过滤

云账号泄露

?即修改云账号，修改密钥，云平台远程桌?做?次远程连接，第?次就需要?机号验证了，敏感操作和登录启??机验证码，不要在电脑上?验证码

监守?盗

把?客IP加??名单办公电脑断?，重做系统查堡垒机所有?志查服务器后?所有服务器深度安全检测

禁?主动出?，阻断?客远控?为更换全部密码和密钥和token

爆破

Ip每分钟限制访问10次同?接?挂?个云waf，只启?owasp防御功能给接?添加验证码做?机识别加个云锁，做频率限制，iptables也?做?名单

改个复杂密码或改成密钥账密泄露

把?客IP加??名单禁?主动出?，阻断?客远控?为不允许直接访问服务器，防上正向shell，?代理即可修改密码或密钥

深度安全检测找到代码泄露?和泄露途径，全部改?遍

办公?被?侵

把?客IP加??名单

把办公?IP全部不是?名单，只?VPN为?名单不?的机器或下班后，机器全部关机，重做系统密码全部修改或添加?次验证，?机作为验证码

应急收尾?作

??及后?清除弱密码扫描清除预加裁库溯源安全事故报告打补丁渗透测试

通过NIDS找到异常流量主机，定位?侵点安全加固

清除报警，取消噪?看堡垒机?志，看是不是???的操作适过?志找web漏洞渗透接?分析?客渗透思维，以他的思维思考?遍查看内?是否被渗透

最后前端要做加签，和js加密和请求参数加密，后端验签就够

永久解决?案

不影响其他项?不影响其他?段应?迁移打补丁

机房ip不允许直接对外开放，可加?层代理内外?防?墙策略和安装安骑?找到重要机器，重点做防御

给出安全建议

最?化原则是否统?管理??（堡全机）渗透测试??作时间禁?连接办公电脑和服务器

有必须上外?机器，可以?代理或者临时令牌所有机器可以快速迁移持续跟踪检测类似报警?志统?放服务器上，防上?客清理痕迹安全意识培训