本文详细阐述了企业面对安全事件如勒索病毒、挖矿及安全漏洞时的应急响应步骤,包括现场沟通、业务系统隔离、恶意用户排查、可疑程序检测、日志分析、工具扫描、系统补丁检查及撰写报告等内容。
1、收到应急响应信息,第一时间确认是什么类型的应急(安全事件:包括勒索病毒,挖矿等,这种一般非常紧急;安全漏洞事件:这种比较简单,过去给客户看看日志,说一下这个漏洞的危害程度等等)
2、如果是挖矿或者病毒,现场沟通,确认中招的范围,业务系统的重要性,并且建议客户进行隔离处理
3、确认是挖矿或者病毒,第一时间查看的就不是进程了,而是看一下有没有恶意的用户(net use,linux下就是:cat /etc/passwd等等),因为只有进入系统才有可能将病毒和挖矿程序植入
4、查一下基本目录有没有其他比较可疑的程序(至于什么目录,看我之前分享的两份文档)
5、看进程,看端口,看定时任务
6、查看日志,在事件发生的前一两个月之前开始看起,如果确认是近期,就从近期的日志开始查看,看一下有没有非法的IP或者非法的攻击行为(日志包括:网站访问日志,中间件日志,系统日志,服务器安全日志等,这几个日志为最主要)
7、用工具扫描一下服务器是否存在而已的程序(用D盾扫描webshell,用一些杀毒软件,比如深信服,360安全卫士等等扫一下是否有恶意的文件程序或者病毒等等)
8、查看一下系统的补丁修复情况。很多情况我们前面没啥思路的话,在写报告的时候,就会说:补丁修复太少,可能导致服务器被入侵(当然我这个不是官方的说法,只是给你提供一下大致套路)
9、写报告(报告也是按照步骤的,比如:你就算看到用户列表没有恶意用户,你也要截图,然后再报告上附图说明:用cat /etc/shadow查看,并无发现可疑报告,这样别人一看就知道没有了,而且也证明你这个人确实有去看过,你这个人的报告写的很完整)
10、报告文档发出去之后,再发一段话作为此次应急响应的分析总结。(这样别人一看就大致知道什么问题,再去看报告就很明显了)
扫一扫
7136
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
