第十一天作业

一、总结应急响应流程（预案，研判，遏止，取证，溯源，恢复——无先后顺序，根据实际情况进行处理）

1. 预案
制定预案：根据组织的特点、业务需求和可能面临的风险，制定详细的应急响应预案。预案应明确应急响应的组织结构、职责分工、响应流程、资源调配等内容。
培训与演练：定期对相关人员进行应急响应培训和演练，确保他们熟悉预案内容和操作流程，提高应急响应能力。
2. 研判
事件接收：接收到安全事件报告后，立即启动应急响应流程。
初步研判：对事件进行初步分析，判断事件的性质、影响范围、严重程度等。
情报收集：收集与事件相关的情报信息，包括网络流量、日志、系统状态等，为后续研判提供数据支持。
3. 遏止
紧急措施：根据研判结果，采取紧急措施遏制事态发展，如隔离受影响的系统、关闭不必要的服务、阻断攻击路径等。
风险评估：对采取的措施进行风险评估，确保不会引发更大的安全问题或业务中断。
4. 取证
证据收集：收集与事件相关的证据，包括攻击者的IP地址、攻击工具、恶意代码等。
证据保护：确保收集到的证据不被篡改或破坏，以便后续分析和调查。
法律合规：在取证过程中，应遵守相关法律法规和规定，确保取证过程的合法性和合规性。
5. 溯源
攻击路径分析：根据收集到的证据和情报信息，分析攻击者的攻击路径和手法。
攻击者画像：尝试构建攻击者的画像，包括其技术水平、攻击动机、可能的地理位置等信息。
情报共享：将分析结果与相关部门和机构进行共享，以便共同应对类似的安全威胁。
6. 恢复
系统恢复：在确认安全事件已被有效控制后，开始恢复受影响的系统和服务。
数据恢复：对受损的数据进行恢复，确保业务的连续性和数据的完整性。
安全加固：对系统和网络进行安全加固，修复已知的漏洞和弱点，提高整体安全防护能力。
总结与改进：对应急响应过程进行总结和评估，分析存在的问题和不足，提出改进措施和建议，以便在未来的应急响应中更加高效和准确。

二、应急响应措施及相关操作

1.查看有无恶意隐藏用户

2.查看系统日志观察是否有恶意操作

3.若存在，则其需要通过木马执行shell命令，对修改内容备份，删除恶意用户

4.则需要查看所搭建网站的文件上传记录，找的木马脚本，通过沙箱分析脚本，尝试找到攻击者登录账号密码。

5.查看木马进程信息获取攻击者ip