参考: https://mp.weixin.qq.com/s?__biz=MzI4NTA1MDEwNg==&mid=2650759483&idx=1&sn=c98277d4f9eb252409a177756b222b8a&chksm=f3f9d4aec48e5db85e07e998cc7052eeac3165f549e4f43dc0fa0789c3d3da006dac3c4135bb&scene=0#rd
1. 服务器安全应急响应流程
服务器安全应急响应流程分为发现安全事件(核实)、现场保护、服务器保护、影响范围评估、在线分析、数据备份、深入分析、事件报告整理等8个环节。接下来我们将每个环节分解,看看需要如何断开异常连接、排查入侵源头、避免二次入侵等。
一、核实信息(运维/安全人员)
根据安全事件通知源的不同,分为两种:
1. 外界通知: 和报告人核实信息,确认服务器/系统是否被入侵。 现在很多企业有自己的SRC(安全响应中心),在此之前更多的是依赖某云。 这种情况下入侵的核实一般是安全工程师完成。
2. 自行发现: 根据服务器的异常或故障判断, 比如对外发送大规模流量或者系统负载异常高等,这种情况一般是运维工程师发现并核实的。
二、现场保护(运维)
我们很多人看过大陆的电视剧《重案六组》,每次接到刑事案件,刑警们第一时间就是封锁现场,保存现场原状。同样道理,安全事件发生现场,跟刑事案件发生现场一样,需要保存第一现场重要信息,方便后面入侵检测和取证。
1. 保存现场环境(截图)
相关信息采集命令如下:
进程信息:ps axu
网络信息:netstat –a
网络+进程:lsof / netstat -p
2. 攻击者登陆情况(截图)
相关信息采集命令如下:
查看当前登录用户:w 或 who -a
三、服务器保护(运维/机房)
现场保护和服务器保护,是两个不同的环节。 前者注重取证,后者注重环境隔离。
核实机器被入侵后,应当尽快将机器保护起来,避免被二次入侵或者当成跳板扩大攻击面。
此时,为保护服务器和业务, 避免服务器被攻击者继续利用, 应尽快迁移业务, 立即下线机器。
如果不能立即处理,应当通过配置网络ACL等方式,封掉该服务器对网络的双向连接。
四、影响范围评估(运维/开发)
一般是运维或者程序确认影响范围,需要运维通过日志或者监控图表确认数据库或者敏感文件是否泄露,如果是代码或者数据库泄露了,则需要程序评估危害情况与处置方法。
影响访问评估一般从下面几点入手来:
-
具体业务架构:web(php/java, webserver), proxy, db等。