由于近期遇到的两次面试都问了应急相关的知识点,正好前几天也有个应急响应的培训,想着温故知新,简单总结一些应急中的处置方案,便于高效率的处理应急事件。
以下内容均为实践中总结而来,个人认为处理应急事件肯定是以最快解决问题的方式进行,文章中都附工具地址,从操作思路来看,刚入门的朋友也能据此处理一些常规应急事件。
首先应急过程中遇到的事件分类,常见类型基本为网页篡改、网页挂马、勒索病毒、挖矿木马、拒绝服务攻击、dns劫持、IOC告警、APT攻击这些,下面会讲解遇到这些情况的处理方案。
网页篡改也有以下三个情况分类
常规作死型,直接替换主页文件,可能是某些黑客的恶作剧之类。
黑产相关,访问网页跳转到菠菜网站,这类一般都是利用脚本批量的扫然后自动化的修改某些文件内容,将访问重定向到目标菠菜网站。
除了直接跳转之外还有一种是网站正常访问,但是通过百度等搜索引擎搜索时候看到一些文章内容被替换了。
IIS7网站监控工具可以做到提前预防各类网站劫持、并且是免费在线查询、适用于各大站长、政府网站、学校、公司、医院等网站。他可以做到24小时定时监控、同时它可以让你知道网站是否被黑、被入侵、被改标题、被挂黑链、被劫持、被墙及DNS是否被污染等等功能、更是拥有独家检测网站真实的完全打开时间、让你作为站长能清楚的知道自己网站的健康情况!
官方图