应急响应（面试）

GhostPetya勒索病毒

该怎么做：

1）未部署端点安全的终端应急解决方案

1做好重要文件的备份工作(非本地备份）。
3利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445
2开启系统防火墙。
端口的服务）。
4打开系统自动更新，并检测更新进行安装。
5停止使用WindowsXP、Windows 2003等微软已不再提供安全更新的操作
系统。
6如无需使用共享服务建议关闭该服务。

2）已部署端点安全的终端应急解决方案

①如果用户已经部署终端管理类产品，可通过终端管理软件进行内网打补丁。
②通过主机防火墙关闭入栈流量。主机防火墙关闭到445出栈流量。
③ 开启文件审计，只允许word.exe，explorer.exe等对文件访问。

3）已经感染应急解决方案

1）断开网络连接，阻止进一步扩散。优先检查未感染主机的漏洞状况（可直接联系网御星云公司，提供免费检测工具使用），做好漏洞加固工作后方可恢复网络连接。
2）已经感染终端，根据终端数据类型决定处置方式，如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接

4)预防措施：

1、打补丁：及时给系统打补丁，修复漏洞。
2、装杀软：安装杀毒软件，及时更新病毒库。开启防火墙，并升级到最新版本阻止勒索病毒与其C&C服务器通信。
3、做备份：定期对重要文件以及数据库做非本地备份。电脑开启系统备份，并添加保护（这样可通过卷影备份将系统恢复到被加密之前的状态）。
4、备份恢复：如果事先已对关键文件做了备份，在确保已清除病毒情况下可做数据备份恢复。如果卷影备份未被勒索病毒删除，可通过卷影备份将系统恢复到
   未感染勒索病毒的时间点。
5、改密码：使用长度大于10位的复杂密码。
6、加限制：禁用GUEST来宾用户。尽量不要使用局域网共享，或把共享磁盘设置为只读属性，不允许局域网用户改写文件。尽量关闭不必要的端口，如：445、
   135、139、3389、5900。
7、防钓鱼：不要点击来源不明的邮件以及附件，钓鱼邮件是勒索病毒的重要传播源。

DDOS

ddos攻击如何去防范？

对于低网络层的DDoS攻击的防护手段，如  丢弃第一次SYN包.上流量防护设备，上WAF封禁地址等。
比较难缠的是第七层，第八层的CC攻击，【它会找到目标网站上比较消耗资源的关键位置，重复发起攻击以消耗CPU/内存/数据库IO等资源】

目前的应付手段有：  【优化资源消耗高位置的代码，增加硬件设备，上云，购买专业安全公司的安全服务。】

除此之外，  【隐藏服务器的真实IP、上云WAF、CDN、负载均衡等设备，或者暂时将域名解析到公安网警网站等也是可以作为选择方案】

挖矿木马

如何排查？

首先挖矿木马是占用系统资源进行挖矿行为，常见的遭遇挖矿会有以下行为：

1）系统响应缓慢
2) CPU/显卡使用率过高
3) 内存/带宽占用高

登录进可疑主机后，可以通过以下方式确认挖矿木马：

1）查看进程（系统命ps、ls令有可能被替换）
2）检查日志、检查系统用户
3）发现异常文件

发现挖矿病毒的应急操作：

一旦发现服务器被挖矿，应该首先查看挖矿进程所属的用户，
根据挖矿进程的运行用户去排查该用户下是否还运行着其它进程，
确定这些进程是否有上述经常被黑客利用的漏洞。
如果有常见的漏洞，则应该重点对此进行排查。

如何清理挖矿木马？

1）及时隔离主机

2）阻断与矿池的通讯

3）清除定时任务

4）清除启动项

5）清除公钥文件

6）kill挖矿进程