应急响应PDCERF模型:
- P(PreParation准备)
- D(Detection诊断)
- C(Containment抑制)
- E(Eradication根除)
- R(Recovery恢复)
- F(follow-up跟踪)
在发现服务器入侵的时候,我们需要使用以上的流程进行排查:
PreParation准备:如果系统被入侵了,一般不建议采用系统自带的应用工具(ls,ifconfig,ps,top)进行排查,因为在黑客入侵后,很有可能将该系统文件进行了替换,使我们根本无法探测出隐藏的后门进程。
解决办法:可以采用busybox,webshell检测,病毒查杀工具
Detection诊断:对系统的问题进行诊断,判断出病毒的类型和攻击方式。
Containment抑制:也可以说是阻断,避免事件进一步升级。
Eradication根除:封堵攻击者的源头,判断黑客攻击者的攻击方式,利用了什么漏洞,在服务器中做了什么,一般采用查看日志的方式进行判断,清楚后门,webshell清楚。
Recovery恢复和跟踪:对业务进行恢复,和对服务器进行监控,编写应急报告。