第十一天作业

第十一天作业

1.总结应急响应流程（预案，研判，遏止，取证，溯源，恢复——无先后顺序，根据实际情况进行处理）
2.总结应急响应措施及相关操作

一、总结应急响应流程（预案，研判，遏止，取证，溯源，恢复——无先后顺序，根据实际情况进行处理）

预案：在事件发生前，制定详细的应急预案是至关重要的。这包括建立应急团队、定义角色和责任、明确响应流程和步骤，并确保所有相关人员都了解其职责。

研判：一旦检测到网络安全事件，需要立即进行初步分析和判断。通过收集事件信息、评估问题的严重性以及确定事件类型和等级，以便采取相应的应对措施。

遏止：遏制阶段的目标是限制攻击的范围，防止进一步的损失。具体措施可能包括隔离受损系统、关闭网络连接等，以阻止入侵者继续破坏。

取证：在遏制之后，必须迅速收集和保存我搜索到的资料。这包括日志文件、系统状态快照和其他可能有助于后续调查的数据。

溯源：通过对恶意代码或行为的深入分析，找出攻击源并确定攻击者的身份和动机。这一过程对于理解攻击方式和改进防御策略至关重要。

恢复：最后，在完成以上所有步骤后，需要逐步恢复正常运营。这包括修复受损系统、重新配置网络设置、更新安全策略等，以防止类似事件再次发生

二、总结应急响应措施及相关操作

1.查看有无隐藏用户

2.查看系统日志观察是否有可疑操作

3.若存在，对修改内容备份，删除攻击者用户

4.查看所搭建网站的文件上传记录查找木马文件。

5.查看木马进程信息，获取攻击者ip