外网主机发起网络扫描
-
屏蔽该IP对内部系统的访问。
-
关闭重要服务器icmp响应功能。
FTP账号被暴力破解后窃取数据
-
系统中强制用户设置高复杂度的账号口令
-
设置登录失败锁定策略,对连续多次登录失败的账号和IP禁止登录操作。
-
封禁或修改被告警的账号。
-
对泄露的数据进行审查,对泄漏的账号等进行更改替换和跟踪,对涉及企业秘密信息的内容进行评估,采取补救应对措施。
FTP账号被暴力破解后篡改数据
-
系统中强制用户设置高复杂度的账号口令
-
设置登录失败锁定策略,对连续多次登录失败的账号和IP禁止登录操作。
-
封禁或修改被告警的账号。
-
恢复被篡改的数据,对涉及企业秘密信息的内容进行评估,采取补救应对措施
发生RDP暴力破解
-
系统中强制用户设置高复杂度的账号口令
-
设置登录失败锁定策略,对连续多次登录失败的账号和IP禁止登录操作。
-
屏蔽发起攻击的地址。
web网页扫描后,发生组件漏洞扫描
-
增加防火墙规则屏蔽该地址对内部web服务的访问。
-
禁止后台等敏感页面的对外访问,仅允许指定的管理IP访问。
网站高频404访问
-
增加防火墙规则屏蔽该地址对内部web服务的访问。
-
禁止后台等敏感页面的对外访问,仅允许指定的管理IP访问。
主机发起端口扫描后发生远程漏洞攻击
-
关闭主机中不必要的端口,防止攻击者扫描端口探测服务。
-
对主机进行补丁升级和漏洞扫描,防止攻击者利用主机漏洞入侵。
-
配置防火墙,禁止外网访问不必要的内部主机端口。
针对特定主机的VPN暴力破解
-
强制用户设置高复杂度的账号口令
-
设置登录失败锁定策略,对连续多次登录失败的账号和IP禁止登录操作。
-
增加手机动态码等二次验证方式。
内网主机针对特定账号的邮件服务器暴力破解
-
系统中强制用户设置高复杂度的账号口令
-
设置登录失败锁定策略,对连续多次登录失败的账号和IP禁止登录操作。
-
封禁或修改被告警的账号。
-
检查发起攻击机器是否已经被恶意攻击者控制,对发起攻击机器进行恶意代码查杀。
主机尝试向多台机器传播蠕虫病毒
-
查杀发生告警机器上蠕虫病毒。
-
检查被传播机器是否已经感染蠕虫病毒,对感染恶意代码的机器进行清理。
-
追溯感染源,对公司内主机进行漏洞补丁升级。
通用web攻击
-
增加防火墙规则屏蔽该地址对内部web服务的访问。
-
禁止后台等敏感页面的对外访问,仅允许指定的管理IP访问。
-
对网站进行漏洞扫描,及时修复网站中存在的漏洞。
攻击者登录web后台后尝试上传webshell
检查源地址是否是恶意行为,屏蔽该地址对内部服务的访问、检查攻击者登录web后台方法,修复漏洞,同时对发生告警机器进行恶意代码查杀
发现大规模僵尸主机
对发起蠕虫传播机器进行病毒查杀
内网主机发起端口扫描
检测内网主机是否被恶意攻击者控制,及时进行病毒查杀,修复漏洞,并对入侵进行溯源。
网站被植入webshell
-
增加防火墙规则屏蔽该地址对内部web服务的访问。
-
追溯攻击者通过何种途径上传的webshell,对网站进行漏洞扫描并修复网站漏洞。
-
对发生告警机器进行webshell查杀。