【干货】应急响应所有流程!

于 2025-06-27 10:24:48 发布
阅读量896 收藏 11
点赞数 22
CC 4.0 BY-SA版权
分类专栏: 网络安全 学习 网络操作 文章标签: web安全 php 安全 网络 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/logic1001/article/details/148947541

【干货】应急响应所有流程!

应急响应所有流程

img

重点:一切考虑业务稳定

先启用运维应急预案,保证业务稳定运行 系统稳定(网络、系统文件、启动项、库、内存) 经验是不可替代的 以事件关联思维思考安全事故 所有操作必须有记录和时间。

1. 部署安全系统

  • 所有主机时钟同步
  • 服务器监控系统
  • 系统日志系统
  • NIPS、WAF、HIDS
  • 蜜罐
  • 主机加固
  • 数据库审计
  • NTA流量可视化
  • 代码密钥泄露扫描
  • 堡垒机
  • 漏洞预警平台
  • SIEM

2. 收到入侵告警

  • 安骑士
  • 蜜罐
  • NIDS
  • DNS日志
  • 外联域名
  • 数据库审计系统
  • 大量拖库日志
  • 服务器崩溃或重启
  • 客服接到黑客信息
  • 服务器响应速度太慢
  • 非工作时间链接服务器
  • 异常网络流量,比如ping或扫描操作;
  • 一批服务器被远程外联
  • 文件完整性报警
  • 客户数据流失
  • 服务器发现文件被加密

3. 信息收集

  • 对业务有什么影响
  • 被入侵项目名称
  • 大体架构
  • 报警信息
  • 受害主机数量
  • 黑客域名、IP
  • 安全系统的日志
  • 木马样本
  • 服务器是否能出网
  • 是否统一管理入口(堡垒机)
  • 对外开放端口
  • 黑客所有行为记录
  • 操作系统版本
  • 补丁情况

4. 入侵分析

  • 情报威胁平台查看URL、病毒文件、IP、域名
  • 定位黑客肉机,或第一入侵点
  • 服务器外联哪个地址,黑客IP
  • 分析入侵点,哪台机器最先被渗透
  • 通过蜜罐看攻击源
  • 查看所有安全设备的日志,定位攻击面
  • 是否是办公网机器执行的操作
  • 通过服务器所属组,是否云账号泄露
  • 病毒分析
  • 所有可能受攻击机器
  • 预加载库配置文件是否被修改
  • 动态链接库配置文件是否被修改
  • 查看系统启动项
  • 使用公司知识库参考以往类似案例

5. 安全事故类型

  • 被远控
  • 木马植入
  • 留后门
  • CPU飙高
  • 异常流量
  • rootkit
  • 挖矿
  • 勒索病毒
  • sql拖库
  • web渗透
  • 留黑页,网页挂马
  • webshell
  • 云账号泄露
  • 监守自盗
  • 爆破
  • 账密泄露
  • 办公网被入侵
  • 网络攻击
  • 劫持
  • 查看所有应用的爆破日志和登录日志,比如ssh和mysql,dns;
  • 杀死恶意进程
  • 查看动态链接库后门

6. 快速应急方案

  • 把黑客IP加入黑名单,直接给DD死,把应用切换走
  • 禁止主动出网,阻断黑客远控行为
  • 查对外的端口,如果有高危漏洞应用就加白名单
  • 删除木马文件,杀死进程,如果rootkit就服务器下线
  • 找到还能出网机器重点做安全加固
  • 深度安全检测,不重要服务器直接下线
  • 不允许直接访问服务器,防止正向shell,用代理即可
  • 把黑客IP加入黑名单
  • 查对外的端口,如果有高危漏洞应用就加白名单
  • 禁止主动出网,阻断黑客远控行为
  • 机器直接下线
  • 看公开漏洞就行了,redis、mongodb、MySQL等
  • 不允许直接访问服务器,防止正向shell,用代理即可
  • 把黑客IP加入黑名单
  • 在加一层云waf,只启用owasp防御功能
  • 开发修改接口
  • 给接口添加验证码做人机识别
  • ip每分钟限制访问10次同一接口
  • 通过ngingx日志找到有漏洞的接口
  • 查服务器上是否有木马和webshell
    1. 找到日志,看哪台机器产生的,把关键字找到
    1. 去到文件里,确认真的被注入webshell,有很多是黑客的扫描日志
    1. 立刻删除,去看从哪个接口进来的,根据webshell内容作为关键字全盘搜索,尤其是Java 日志
    1. 找所有nginx 日志,找到这个请求接口,用ack命令,比grep 还好用
    1. 确定具体的接口,让开发去修改过滤
  • 立即修改云账号,修改密钥,云平台远程桌面做一次远程连接,第二次就需要手机号验证了,敏感操作和登录启用手机验证码,不要在电脑上用验证码。
  • 把黑客IP加入黑名单
  • 办公电脑断网,重做系统
  • 查堡垒机所有日志
  • 查服务器后门
  • 所有服务器深度安全检测
  • 禁止主动出网,阻断黑客远控行为
  • 更换全部密码和密钥和token
  • ip每分钟限制访问10次同一接口
  • 挂一个云waf,只启用owasp防御功能
  • 给接口添加验证码做人机识别
  • 加个云锁,做频率限制,iptables也行
  • 做白名单
  • 改个复杂密码或改成密钥
  • 把黑客IP加入黑名单
  • 禁止主动出网,阻断黑客远控行为
  • 不允许直接访问服务器,防止正向shell,用代理即可
  • 修改密码或密钥
  • 深度安全检测
  • 找到代码泄露人和泄露途径,全部改一遍
  • 把黑客IP加入黑名单
  • 把办公网IP全部不是白名单,只用VPN为白名单
  • 不用的机器或下班后,机器全部关机,重做系统
  • 密码全部修改或添加二次验证,手机作为验证码
  • 给IP做限速
  • 加CDN,比如cloudflare
  • 加https
  • 修复百度快照劫持服务器的漏洞
  • HTTPDNS
  • 查看前端js代码,oss,清cdn缓存,前端代码服务器;
  1. 定义后查看动态链接库的方式(动态链接库在/usr/lib64):echo $PATH echo $LD_PRELOAD cat /etc/ld.so.preload ls /etc/ld.so.conf.d / cat /etc/ld.so.conf 用starce命令检查下系统命令:strace -f -e trace=file /bin/ls
  2. 中动态链接库木马的现象:使用普通命令得到的结果,和使用busybox的结果不同;有些命令用stat查看,时间被修改了;ldd elf文件名(如果正常系统没这个库就是木马了)
  3. 修复方法:./busybox lsattr -ia /etc/ld.so.preload ./busybox chattr -ia /etc/ld.so.preload ./busybox rm -rf/etc/ld.so.preload /lib/cub3.so

7. 应急收尾工作

  • 木马及后门清除
  • 弱密码扫描
  • 清除预加载库
  • 溯源
  • 安全事故报告
  • 打补丁
  • 渗透测试
  • 通过NIDS找到异常流量主机,定位入侵点
  • 安全加固
  • 清除报警,取消噪音
  • 看堡垒机日志,看是不是自己人的操作
  • 通过日志找web漏洞渗透接口
  • 分析黑客渗透思维,以他的思维思考一边
  • 查看内网是否被渗透
  • 最后前端要做加签,和js 加密和请求参数加密,后端验签就够了

8. 永久解决方案

  • 不影响其他项目
  • 不影响其他网段
  • 应用迁移
  • 打补丁
  • 机房ip不允许直接对外开放,可加一层代理
  • 内外网防火墙策略和安装安骑士
  • 找到重要机器,重点做防御

9. 给出安全建议

  • 最小化原则
  • 是否统一管理入口(堡垒机)
  • 渗透测试
  • 非工作时间禁止连接办公电脑和服务器
  • 有必须上外网机器,可以用代理或者临时关闭防火墙就行
  • 所有机器可以快速迁移
  • 持续跟踪检测类似报警
  • 日志统一放服务器上,防止黑客清理痕迹
  • 安全意识培训

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,之前都是内部资源,专业方面绝对可以秒杀国内99%的机构和个人教学!全网独一份,你不可能在网上找到这么专业的教程。

内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,200多G的资源,不用担心学不全。
在这里插入图片描述
因篇幅有限,仅展示部分资料,需要见下图即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————

本文转自 https://blog.youkuaiyun.com/yy1715713348/article/details/148945237?spm=1001.2014.3001.5502,如有侵权,请联系删除。

Window应急响应(二):蠕虫病毒
08-05 1198
0x00 前言 ​ 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序。 常见的蠕虫病毒:熊猫烧香病毒 、冲击波/震荡波病毒、conficker病毒等。 0x01 应急场景 ​ 某天早上,管理员在出口防火墙发现内网服务器不断向境外IP发起主动连接,内网环境,无法连通外网,...
it系统应急响应流程图_ProcessTools 2.6 流程图绘制辅助工具
weixin_29057065的博客
12-24 627
ProcessTools For Visio插件主要用于绘制IT系统流程图。宗旨是当开展大型IT项目时,使项目组成员绘制的流程图格式规范统一!兼容Microsoft Visio 2010-2019,32/64位,Win7-Win10。免费,无需注册链接:https://pan.baidu.com/s/1XGgFnPolgmQg4gae5aXmnQ 提取码:z263在IT项目中,我们经常要绘制...
网络安全面试题汇总(附答案)
2301_76694151的博客
05-25 2698
作为从业多年的网络安全工程师,我深知在面试过程中面试官所关注的重点及考察的技能点。网络安全作为当前信息技术领域中非常重要的一部分,对于每一个从事网络安全工作的人员来说,不仅需要掌握一定的技术能力,更需要具备全面的综合素质。在我职业发展的过程中,我多次参与并负责面试网络安全相关岗位的候选人,同时也自己经历过多次网络安全方面的面试。通过这些经验和总结,我将为大家分享一些常见的网络安全面试题及答案,希望能对各位在网络安全领域的求职和职业发展提供一些实质性的帮助。
应急响应所有流程
lurenjia404的博客
04-22 748
定义后查看动态链接库的方式(动态链接库在/usr/lib64):echo $PATH echo $LD_PRELOAD cat /etc/ld.so.preload ls /etc/ld.so.conf.d / cat /etc/ld.so.conf 用starce命令检查下系统命令:strace -f -e trace=file /bin/ls。立即修改云账号,修改密钥,云平台远程桌面做一次远程连接,第二次就需要手机号验证了,敏感操作和登录启用手机验证码,不要在电脑上用验证码。
网络安全岗位面试题
热门推荐
流浪法师的博客
03-05 1万+
介绍了网络安全岗位常见的面试题,仅供参考!
面试必问之应急响应
m0_62373986的博客
07-23 1309
勒索病毒和挖矿木马是应急响应里最常见到的两种类型,危害性和影响性也是最大。在两者应急响应的排查过程中,都需要对日志、进程、服务、启动项、计划任务、网络连接等方面进行分析。1、先隔离,避免其它主机受影响,把损失降到最小2、根据组织架构排查其它受影响的主机,确定排查范围3、对受害主机进行排查,主要是日志、进程、服务、网络连接、计划任务、启动项等4、定位到突破点,分析攻击者利用何种方式入侵主机5、清除攻击利用点,全盘扫描,加固修复6、流程总结。
网络安全面试题
qq_53058639的博客
07-16 3946
恶意软件-Malicious Software,malware把未经授权便干扰或破坏计算机系统/网络功能的程序或代码(一组指令)称之为恶意程序。一组指令:可能是二进制文件,也可能是脚本语言/宏语言等。
精品干货-Linux 应急响应手册-479页.pdf
最新发布
03-13
应急响应手册通常会包含从预防到检测,再到响应及恢复的整个流程。 首先,预防措施包括系统加固、定期更新软件包、使用防火墙、入侵检测系统、定期备份和维护安全日志等。Linux系统管理员需要对系统进行定期的检查...
阿一网络安全学院干货科普篇之应急响应【上】
qq_69775412的博客
06-17 1290
安全人员在遇到突发事件后所采取的措施和行动。发生在计算机系统或网络上威胁安全的事件。如黑客入侵、信息窃取等。信息安全生命周期的必要组成部分,这个生命周期包括:对策、检测和响应。运维人员无法迅速处理安全事件时,需要第三方厂商提供一种能发现并解决问题的有效服务手段。控制影响范围确保业务正常运转、还原攻击场景、找到问题根源、最后追溯攻击源。以最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。积极预防、及时发现、快速反应、确保恢复。
阿一网络安全学院干货科普篇之应急响应【下】
qq_69775412的博客
06-18 895
概念:存在于web服务器端的脚本后门,以asp、php、jsp等网页文件形式存在的一种命令执行环境特性:与服务端正常脚本运行原理相同。可以绕过防火墙对主机进行操作。可进行文件上传、下载、命令执行等。webshell操作权限取决于解析器运行权限2、一句话木马概念:通过向服务端提交一句简短代码,配合本地客户端来实现webshell功能特性:变形多,易隐藏、难发现NTFS文件系统中文件可以存在多个数据流,其他文件流可以寄宿在主文件流中(流寄托于宿主)。
干货——消防检测验收经验分享!.docx
11-06
综上所述,通过遵循消防检测验收的规范流程,并结合上述实战经验的分享,我们可以有效地保障建筑工程项目的消防安全,同时也能提高施工效率和质量,确保工程顺利验收,为社会带来更多的安全和保障。
软件系统部署应急预案
05-24
网络安全岗位面试题_网络安全面试题
Galaxy_0的博客
04-11 969
介绍了网络安全岗位常见的面试题,仅供参考!
网络安全岗位面试题(附答案)
Karka_的博客
06-25 1880
攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。
it系统应急响应流程图_智能自动化的内网应用系统应急响应处置的方法与流程...
weixin_42491886的博客
02-06 1252
本发明涉及计算机数据安全技术领域,特别是涉及一种智能自动化的内网应用系统应急响应处置的方法。背景技术:随着电网企业信息化建设的快速发展,电网根据业务要求,部署和实施了多套应用系统,同时也需要大量的安全运维人员来保障应用系统的安全性。但是由于应用系统数量繁多,当内网中的服务器或网络设备等发生网络安全事件时,需要安全运维人员花费大量的时间和精力来进行加固修复,而且响应处置的时间未能及时处置修复,加固修...
2024年信息安全管理与评估竞赛——网络安全应急响应案例①解题过程_受攻击的server服务器已整体打包成虚拟机文件保存(2)
HUAXIAL的博客
04-05 620
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
80篇+网络安全面试经验帖
Dou_Hua_Hua的博客
05-17 3475
网络安全面试经验80篇+,看完妈妈再也不用担心我面试的问题了 汇总以下安全服务岗的面经: •渗透测试(红队攻防)•代码审计•安全研究•红队开发•... 主要由两部分组成: •个人面试•互联网收纳整理 一、我的实习 & 校招 2020实习 安全服务工程师(驻场) #2020年暑期实习 1.挖过的一些漏洞(举例说明) 2.渗透测试的思路(结合自己的经验) 3.安全工具的使用(xray,sqlmap,awvs等) 4.owasptop10 -记住是哪10个 -知道漏洞原理 -...
史上最全网络安全面试题+答案
2301_77285187的博客
05-30 1万+
文件包含漏洞是一种导致服务器上的文件被非法访问的安全漏洞,这种漏洞通常是由不当的 Web 编程实现引起的,允许攻击者从外部文件中读取服务器上的数据。要防止跨站请求伪造攻击,可以采取一些防御措施,比如在每个JSON请求中添加一个CSRF令牌,在每个请求头中添加一个Referer头来确认请求发起者的网站,在JSON客户端中添加一个安全令牌,启用HTTPOnly来防止JSON反序列化注入,编写坚固的代码来限制JSON请求的数量,以及启用内网环境的安全控制等。此时,每个路由器都会尝试同步它们的LSDB。
2023网络安全面试题(附答案)+面试经验
qq_44005305的博客
06-22 1549
随着国家政策的扶持,网络安全行业也越来越为大众所熟知,相应的想要进入到网络安全行业的人也越来越多,为了拿到心仪的Offer之外,除了学好网络安全知识以外,还要应对好企业的面试。所以在这里我归纳总结了一些网络安全方面的常见面试题,希望能对大家有所帮助。内容来自于社群内2023届毕业生毕业前的持续整理和收集的安全岗面试题及面试经验分享~前排提醒:文末有全套面试题的领取方式哦!
python训练模型、如何得到模型训练总时长_【绝对干货】机器学习模型训练全流程!...
05-24
要得到模型训练总时长,可以在代码中添加计时器,记录模型训练的开始时间和结束时间,并计算二者之差即可。下面是一个示例代码: ```python import time import tensorflow as tf # 记录开始时间 start_time = time.time() # 加载数据集等预处理操作 # 定义模型 model = tf.keras.models.Sequential([ tf.keras.layers.Dense(64, activation='relu'), tf.keras.layers.Dense(10, activation='softmax') ]) # 编译模型 model.compile(optimizer='adam', loss='categorical_crossentropy') # 训练模型 model.fit(x_train, y_train, epochs=10) # 记录结束时间 end_time = time.time() # 计算模型训练总时长 total_time = end_time - start_time print("模型训练总时长:", total_time, "秒") ``` 需要注意的是,模型训练总时长受硬件配置、数据集大小、模型复杂度等因素的影响,同样的代码在不同的环境下可能会有不同的训练时间。因此,需要在统计模型训练总时长时,应该在相同的环境下运行代码,以确保结果的可比性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值