1 事件发生
1.1 确认事件类型
a、web入侵:挂马、篡改、webshell
b、系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞
c、木马病毒:远控、后门、勒索软件
d、信息泄露:刷库、数据库登陆(弱口令)
e、网络流量:频繁发包、批量请求、DDOS请求
2 定位分析
2.1 确认事件发生时间
2.2 查找攻击线索
2.2.1 明确入侵网址、主机的详细信息
扫描网址、主机查看存在哪些漏洞
2.2.2 文件分析
a、文件日期
b、新增文件
c、可疑/异常文件
d、最近使用文件
e、浏览器下载文件
f、webshell 排查与分析
g、核心应用关联目录文件分析
2.2.3 进程分析
a、当前活动进程&远程进程
b、启动进程&计划任务
c、服务
2.2.4 系统服务信息
a、环境变量/账户信息/history/系统配置信息