一、应急响应的基本流程
1、收集信息
收集客户信息和中毒主机信息,包括样本
2、判断类型
是否是安全事件,是何种安全事件(比如勒索、挖矿、DOS等)
3、深入分析
日志分析、进程分析、启动项分析、样本分析
4、清理处置
直接杀掉进程,删除文件,打补丁或修复文件
5、产出报告
整理并输出完整的安全事件报告
二、Windows应急响应时排查分析的相关细节
1、检查服务器是否有弱口令(比如空口令或密码复杂度不够)
2、检查高危端口是否对外开放(比如SSH服务22端口)
3、利用D顿等工具检测隐藏账号
4、结合日志分析eventvwr.msc,查看管理员登陆时间,相关事件是否有异常
三、系统加固
1、Windows
比如设置登陆时不显示上次登录的用户名,防止弱口令爆破
2、Linux
禁用root之外的超级用户:password -I <用户名> 来锁定用户(-u解锁)
还可以限制su命令切换到root用户或者限制提权的范围
