应急响应步骤（白底）.pdfVIP

应急响应步骤

信息收集

对业务有什么影响

被⼊侵项⽬名称

⼤体架构

报警信息

受害主机数量

⿊客域名、IP

安全系统的⽇志

⽊⻢样本

服务器是否能出⽹

是否统⼀管理⼊⼝（堡垒机）

对外开放端⼝

⿊客所有⾏为记录

操作系统版本

补丁情况

⼊侵分析

情报威肋平台查看URL、病毒⽂件、IP.域名

定位⿊客⾁机，或第⼀⼊侵点

服务器外联哪个地址，⿊客IP

分析⼊侵点，哪台机器最先被渗透

通过蜜罐看攻击源

查看所有安全设备的⽇志，定位攻击⾯

是否是办公⽹机器执⾏的操作

通过服务器所属组，是否云账号泄露

病毒分析

所有可能受攻击机器

预加裁库配置⽂件是否被修改

动态链接库配置⽂件是否被修改

查看系统启动项

使⽤公司知识库参考以往类以案例

安全事故类型/快速应急⽅案

被远控

把⿊客IP加⼊⿊名单，直接给DDoS⼲掉，把应⽤切换⾛

⽊⻢植⼊

禁⽌主动出⽹，阻断⿊客远控⾏为

留后⻔

查对外的端⼝，如果有⾼危漏洞应⽤就加⽩名单

CPU飙⾼

删除⽊⻢⽂件，杀死进程，如果rootkit就服务器下线

异常流量

找到还能出⽹机器重点做安全加固

rootkit

深度安全检测，不重要服务器直接下线

挖矿

不允许直接访问服务器，防⽌正向shell，⽤代理即可

勒索病毒

把⿊客IP加⼊⿊名单

查对外的端⼝，如果有⾼危漏洞应⽤就加⽩名单

禁⽌主动出⽹，阻断⿊客远控⾏为

机器直接下线

看公开漏洞就⾏了，redis、Mongodb、MySQL等

不允许直接访问服务器，防上正向shell，⽤代理即可

sql拖库

把⿊客IP加⼊⿊名单

web渗透

在加⼀层云waf，只启⽤owasp防御功能

开发修改接⼝

留⿊⻚，⽹⻚挂⻢

给接⼝添加验证码做⼈机识别

IP每分钟限制访问10次同⼀接⼝

通过ngingx⽇志找到有漏洞的接⼝

查服务器上是否有⽊⻢和webshell

webshell

找到⽇志，看哪台机器产⽣的，把关键字找到

去到⽂件⾥，确认真的被注⼊webshell，有很多是⿊客的扫描⽇志

⽴刻删除，去看从哪个接⼝进来的，根据webshell内容作为关键词全盘搜索，尤其是

Java⽇志

找所有nginx⽇志，找到这个请求接⼝，⽤ack命令，⽐grep还好⽤

确定具体的接⼝，让开发去修改过滤

云账号泄露

⽴即修改云账号，修改密钥，云平台远程桌⾯做⼀次远程连接，第⼆次就需要⼿机号验

证了，敏感操作和登录启⽤⼿机验证码，不要在电脑上⽤验证码

监守⾃盗

把⿊客IP加⼊⿊名单

办公电脑断⽹，重做系统

查堡垒机所有⽇志

查服务器后⻔

所有服务器深度安全检测

禁⽌主动出⽹，阻断⿊客远控⾏为

更换全部密码和密钥和token

爆破

Ip每分钟限制访问10次同⼀接⼝

挂⼀个云waf，只启⽤owasp防御功能

给接⼝添加验证码做⼈机识别

加个云锁，做频率限制，iptables也⾏

做⽩名单

改个复杂密码或改成密钥

账密泄露

把⿊客IP加⼊⿊名单

禁⽌主动出⽹，阻断⿊客远控⾏为

不允许直接访问服务器，防上正向shell，⽤代理即可

修改密码或密钥

深度安全检测

找到代码泄露⼈和泄