0x00 整体流程 0x01 梳理现场情况 确认攻击信息准确性 安全设备、人、上级/行业/监管单位的通报都不见得是准确的，做二次研判是必要的，能够帮我应急响应人员确定整体排查思路 询问历史被攻击情况、历史通报、历史误报 历史攻击可能会留下攻击遗产，成为未来新一轮攻击事件的发起点，询问清楚历史被攻击、被通报情况，向当事人或负责人了解清楚事件性质、处理过程、处理结果，这可能会在完全理不清攻击路径的时候帮你一把 应急响应人员大概率是没有被攻击单位运维、安全等人员熟悉他们的系统的，所以历史误报很重要，例如修改了数据库密码等问题就很容易有历史误报，建议面对暴力破解事件时打听一下历史误报情况 暴力破解类型 暴力破解攻击主要针对 ssh mysql ftp redis mongodb smtp 0x02 SSH 暴力破解 检查网络连接信息netstat -pantu Proto 协议类型 Recv-Q ：表示收到的数据已经在本地接收缓冲，但是还有多少没有被进程取走，如果接收队列Recv-Q一直处于阻塞状态，可能是遭受了拒绝服务 denial-of-se ...

0x00 整体流程 0x01 勒索病毒简述 勒索病毒是让人比较无奈的恶意程序，大部分都是只有攻击者才能解密近期和一些勒索解密团队合作后发现，其实还是有解密的可能的，是否能够解密，如何判断需要专业团队来完成但还是那句话，把应急解密或者赎金的钱用在数据备份，安全防护上才是较为明智的选择 0x02 梳理现场情况 保护现场 保护现场很重要，即使重装系统也建议保留一份镜像，尤其是与本次攻击相关的关键系统可以使用电子取证专用的一些采集器 采集并确定 ioc 信息 从内网 dns 服务器、dns 防火墙、流量审计设备等设备获取 从EDR、态势感知等设备获取 从被勒索文件特征以及勒索信获取 确认攻击信息准确性 安全设备、人、上级/行业/监管单位的通报都不见得是准确的，做二次研判是必要的，能够帮我应急响应人员确定整体排查思路 询问历史被攻击情况或历史通报 历史攻击可能会留下攻击遗产，成为未来新一轮攻击事件的发起点，询问清楚历史被攻击、被通报情况，向当事人或负责人了解清楚事件性质、处理过程、处理结果，这可能会在完全理不清攻击路径的时候帮你一把 0x03 ...

0x0-整体流程 0x2— 远控后门事件应急处置方法1.事件告警来源 木马远控后门事件通常会在 EDR 或者态势感知系统中获得相关告警信息。 1.1 通过 EDR 获取到告警事件 通过 EDR 获取到的紧急事件，可以直接定位到恶意文件以及文件路径。 通过文件寻找相关恶意进程。 根据文件查找 pid： lsof | grep evil.sh lsof /root/evil.sh # 需要指定路径，只指定字符无法直接查询到相关信息 fuser /root/evil.sh # 该命令需要在 root 权限下执行，否则结果会为空，命令前加 sudo 也可能显示为空。 1.2 通过态势感知获取到告警事件 通过态势感知获取到的紧急事件，是可以根据五元组进行详细查询的。 根据态感报警信息，可得到外连 IP+端口 根据目的 IP 和端口查找 pid netstat -pantu | grep 11.11.11.11 # grep 后面要根据真实情况填写实际 IP 而非演示地址 11.11.11.11 netstat -pantu | grep 65535 # ...

0x0-整体流程 0x1—挖矿事件应急响应处置方法1.发掘寻找恶意域名（矿池地址） 根据内网 dns 服务器、dns 防火墙、边界防火墙、流量审计设备等相关设备获取 根据域名确认木马类型，可以从以下沙箱判定寻找 微步在线 Virustotal 安恒威胁情报中心 绿盟威胁情报中心链接 天际友盟威胁情报中心 360威胁情报中心 多沙箱检测，确保结果。 2.获取异常进程 pid cpu 占用 top -c -o %cpu -c 参数显示进程的命令行参数 ps -eo pid ,ppid,%mem,%cpu,cmd --sort =-%cpu | head -n 5 列出 cpu 占用前 5 的进程信息 内存占用 top -c -o %MEM -c 参数显示进程的命令参数 ps -eo pid ,ppid,%mem,%cpu,cmd --sort =-%mem | head -n 5 列出 内存占用前 5 的进程信息 网络占用 网络占用需借助第三方软件,之后使用 root 权限执行 Ubuntu/Debian 安装： sudo apt ins ...