ddos 单台终端安全事件 数据排查(IP定位,电话号码查询) 大规模杀毒,排查 多次反复处理 漏洞验证不属于应急响应流程
应急响应流程
(1)事件预警/发现:
通过安全监控系统或日志报警、告警等方式发现异常或有风险的行为。
(2)事件确认:
事件预警后需要进行核实,确认事件的具体情况,确定事件的类型、影响范围、紧急程度等。
(3)事件分类:
根据事件的类型和影响程度对事件进行分类,并作出响应计划。
(4)紧急响应:
根据响应计划,启动紧急响应模式,调集相关的人员和资源,进行紧急处理和控制事件。
(5)事件调查:
对事件进行深入分析,找出事件的成因,并根据分析结果调整相关防护策略和措施,降低风险。
(6)事件修复/恢复:
恢复受影响的系统、数据和业务功能,确保业务恢复正常运作。
(7)事件总结/报告:
回顾事件处理过程,总结经验教训,撰写事件报告,并需要对相关人员进行培训和宣传,提高业务人员的安全意识和技能水平。
命令被更改如何解决
2. 修改被篡改的命令:如果发现某些命令被篡改,首先应尽快停止使用这些命令,并确保将系统与外部网络隔离。然后,可以通过从原始源码重新编译命令来修复被篡改的命令,或者从可信的软件源重新安装受影响的软件包。
3. 恢复系统:为了保证系统的安全性,建议进行全面的系统检查和修复。可以通过重新安装操作系统来恢复系统的初始状态,或者使用备份的系统映像进行恢复。
linux查看历史命令 history
查看资源占用情况 top free df -h duy -u --max-depth=1
查看账户信息 cat /etc/passwd
被植入webshell
先看是否需要被隔离,控制感染边界
工具查杀 D盾,盒马等工具结合手工排查
根据报警时间点,审计日志和流量,看这么打的,排查配置更改,文件遗留,确定活动范围和影响
修复加固,恢复业务
结合流量分析,溯源画像,
内存马安全设备告警
异常进程行为:
非法内存的访问
可疑网络活动
异常系统调用
可疑代码注入
内存运行时检测
异常行为模式
恶意签名识别
内存马排查
看web日志 会有大量url请求路径相同 参数不同 或者页面不存在但返回200的请求。
web日志没有异常排查中间件,可能中间件某些代码漏洞会导致代码执行注入内存马,排查中间件的error.log日志查看是否有可疑的报错,根据注入时间和方法排查是否可能存在java大妈执行漏洞以及是都存在过webshell,排查框架漏洞,反序列化漏洞
查看是否有类似于哥斯拉,冰蝎特征的url请求
查找返回200的url对比web目录看是否为真实文件,如 不存在大概率为内存马