应急响应流程

应急响应步骤:

1.监测发现

2.分析研判

3.应急处置

4.通报预警

5.追踪溯源

6.排查整改

一、检查系统账号安全

  1. 查看服务器是否有弱口令,远程连接端口是否对外开放

检查方法:询问相关服务器管理员,或者用扫描器扫描 将信息收集起来,比如端口信息

Natstat -an,扫描外网ip、看哪个ip和端口开放,信息收集起来

  1. 查看服务器是否存在可疑账号、新增账号

cmd lusrmgr.msc 主要看administrator里面是否有新增可疑账号,如果有立即删除

  1. Net user 检查是否有多余账号
  2. 检查guest账户权限
  3. 属组权限
  1. 查看服务器是否有隐藏账号,克隆账号$ regedit注册表

使用D盾-web查杀工具、也可以查杀web木马、集成了对克隆账号检测的功能

  • 检查异常端口、进程
  1. 检查端口连接情况,是否有远程连接,可疑连接

检查方法:

  1. netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED

C:\Users\lenovo>netstat -ano -p tcp 查询tcp连接的进程,及PID

  1. 根据netstat定位出的pid,在通过tasklist命令进行进程定位tasklist | findstr " PID "
  2. 根据进程号,在任务管理器查看进程号对应的进程,根据ip查对应的归属地
  • 检查启动项、计划任务、服务
  1. 检查服务器是否有异常的启动项,因为有些木马开机自启

检查方法:

  1. 登录服务器,单击开始》所有程序》启动,默认情况此目录是在一个空目录,确认是否有非业务程序在该目录下
  2. 单击开始菜单》运行 输入msconfig,查看是否有命名存在异常的启动项目
  3. 单击开始》运行 输入regedit 打开注册表,查看开机自启是否正常
  4. 利用安全软件(HiBit StartUp Manager)查看开机自启项,开机时间管理等
  5. 组策略 运行gpedit.msc
  • 检查系统相关信息
  1. 查看系统版本及补丁信息

检查方法:单击开始》运行 输入 systeminfo ,查看系统信息,补丁信息

360安全卫士打补丁

DDOS攻击:网络层攻击,发送大量数据报文,消耗目标主机资源

CC攻击:攻击页面 应用层攻击(控制多台主机项目表服务器发送大量数据报文,消耗目标主机资源,无法追溯到真实源IP)

D盾使用 d99net.net

主要是用来保护IIS,防止网站和服务器被入侵,限制了常见的入侵方法

相关推荐
生活爱好者!5 分钟前
AI加持的笔记工具,比备忘录好用,NAS一键部署blinko
人工智能·笔记
摇滚侠11 分钟前
Apache Skywalking 实战 阅读笔记 第一章
笔记·apache·skywalking
AOwhisky11 分钟前
Kubernetes(K8s)学习笔记(第十四期):集群存储与有状态应用(下篇):StatefulSet 有状态应用管理
redis·笔记·mysql·云原生·kubernetes·云计算·k8s
来生硬件工程师28 分钟前
【硬件笔记】DCDC电源设计—BUCK电路设计要点
笔记·单片机·嵌入式硬件·硬件工程·智能硬件
nongcunqq1 小时前
编辑 cookie 的插件
笔记
AOwhisky1 小时前
kubernetes(K8s)学习笔记:第八期与第九期核心知识点自测与详解
笔记·云原生·kubernetes·云计算·k8s·集群·网络策略
凉、介1 小时前
KVM + QEMU 虚拟化
笔记·学习·嵌入式·arm·qemu·虚拟化·kvm
lcomecon6 小时前
强化学习基石:Bellman 方程从直觉到推导(附手写笔记与 Python 示例)
笔记
ysa05103011 小时前
【并查集】判环
c++·笔记·算法
FakeOccupational13 小时前
【电路笔记 通信】IEEE 1588精密时间协议(PTP):时间戳格式+精确到ns的时间表示与处理
笔记