應急響應PDCERF模型:
- P(PreParation準備)
- D(Detection診斷)
- C(Containment抑制)
- E(Eradication根除)
- R(Recovery恢復)
- F(follow-up跟蹤)
在發現服務器入侵的時候,我們需要使用以上的流程進行排查:
PreParation準備:如果系統被入侵了,一般不建議採用系統自帶的應用工具(ls,ifconfig,ps,top)進行排查,因爲在黑客入侵後,很有可能將該系統文件進行了替換,使我們根本無法探測出隱藏的後門進程。
解決辦法:可以採用busybox,webshell檢測,病毒查殺工具
Detection診斷:對系統的問題進行診斷,判斷出病毒的類型和攻擊方式。
Containment抑制:也可以說是阻斷,避免事件進一步升級。
Eradication根除:封堵攻擊者的源頭,判斷黑客攻擊者的攻擊方式,利用了什麼漏洞,在服務器中做了什麼,一般採用查看日誌的方式進行判斷,清楚後門,webshell清楚。
Recovery恢復和跟蹤:對業務進行恢復,和對服務器進行監控,編寫應急報告。