2023年7月27日发(作者：)

应急响应处置指导书

目 录

一、 概述 ........................................... 5

1.1 应急响应方式 ................................. 5

1.2 准备阶段 ..................................... 5

1.3 检测阶段 ..................................... 6

1.4 抑制阶段 ..................................... 7

1.5 抑制阶段 ..................................... 7

1.6 根除阶段 ..................................... 7

1.7 恢复阶段 ..................................... 7

1.8 跟踪阶段 ..................................... 8

二、 入侵排查 ....................................... 8

2.1 Linux ........................................ 8

2.1.1 Web服务 ................................ 8

2.1.2 SSH服务 ................................ 9

2.1.3 进程 ................................... 9

2.1.4网络连接 ............................... 10

2.1.5敏感目录 ............................... 10

2.1.6 history ............................... 10

2.1.7开机启动 ............................... 12

2.1.8 定时任务 .............................. 13

2.1.9 服务 .................................. 14

2.1.10系统日志 .............................. 15

2.1.11工具篇 ................. 错误!未定义书签。

2.2 Windows ..................................... 17

2.2.1检查系统账号安全 ....................... 17

2.2.2检查异常端口、进程 ..................... 17

2.2.3检查启动项、计划任务、服务 ............. 19

2.2.4检查系统相关信息 ....................... 20

2.2.5自动化查杀 ............................. 21

2.2.6日志分析 ............................... 21

2.2.7工具篇 .................. 错误!未定义书签。

三、 勒索病毒 ...................................... 21

3.1 了解现状 .................................... 22

3.2 了解发病时间 ................................ 22

3.3 确认感染者 .................................. 22

3.4 感染文件特征和感染时间 ...................... 22

3.5 处理方式 .................................... 24

四、 挖矿木马 ...................................... 24

4.1 了解现状 .................................... 24

4.2 了解发病时间 ................................ 24

4.3 了解系统架构 ................................ 25

4.4 确认感染者 .................................. 25

4.5 处置建议 .................................... 25

4.6 防御措施 .................................... 25

五、 ddos攻击 ...................................... 26

5.1 了解现状 .................................... 26

5.2 了解发病时间 ................................ 26

5.3 了解系统架构 ................................ 26

5.4 事件排查 .................................... 26

5.5 判断依据 .................................... 27

5.6 事件处置 .................................... 27

5.6.1网络层DDOS攻击 ........................ 27

5.6.2应用层DDOS攻击 ........................ 28

六、 样本提取 ...................................... 28

附件一 应急处置及安全加固申请单 ..................... 30

一、概述

在监测到安全事件发生之后第一时间确定安全事件类型、发生时间、事件发生的客户单位信息，对各项信息进行整理，同时通知客户采取应急措施，针对发现的严重安全漏洞，及时告知客户并进行漏洞分析和漏洞修复。

在监测到安全事件发生之后第一时间确定安全事件类型、发生时间、事件发生的客户单位信息，对各项信息进行整理，同时通知客户采取应急措施，针对发现的严重安全漏洞，及时告知客户并进行漏洞分析和漏洞修复。

1.1 应急响应方式

现场应急响应：通常是要到客户突发现场进行应急处置。需注意相关操作必须获得用户授权，并对操作过程进行记录。

远程应急响应：远程通过电话、邮件等方式指导用户进行应急处置。

1.2 准备阶段

准备阶段需要及时和客户确认事件背景、相关负责人联系方式、确定参与此次应急响应人员、根据客户描述，初步判定事件响应策略，携带应急响应工具包前往客户现场。

准备阶段主要包括：事件背景、响应人员确定、事件响应策略、相关负责人联系方式、应急响应相关授权、应急响应工具包、应急响应手册等。

1.3 检测阶段

检测阶段确认入侵事件是否发生，如真发生了入侵事件，评估造成的危害、范围以及发展的速度，事件会不会进一步升级。然后根据评估结果通知相关的人员进入应急的流程。

检测阶段主要包括：事件类型、事件影响范围、受影响系统、事件发展趋势、安全设备等。

备注：事件类型分类

安全事件分类主要参考中央网信办发布《国家网络安全事件应急预案》，网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。

（1）有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。

（2）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。

（3）信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。

（4）信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

（5）设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。

（6）灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。

（7）其他事件是指不能归为以上分类的网络安全事件

1.4 抑制阶段

采用针对性的安全措施降低事件损失、避免安全事件的扩散和安全事件对受害系统的持续性破坏。主要分为：物理遏制、网络遏制、主机遏制、应用遏制等。常见手段：断网、降权、网络封堵等。

1.5 抑制阶段

采用针对性的安全措施降低事件损失、避免安全事件的扩散和安全事件对受害系统的持续性破坏。主要分为：物理遏制、网络遏制、主机遏制、应用遏制等。常见手段：断网、降权、网络封堵等。

1.6 根除阶段

本阶段主要任务是通过事件分析查明事件危害的方式，并且给出清除危害的解决方案。个人认为可以从以下几个方面入手：系统基本信息、网络排查、进程排查、注册表排查、计划任务排查、服务排查、关键目录排查、用户组排查、事件日志排查、webshell排查、中间件日志排查、安全设备日志排查等。

1.7 恢复阶段

恢复系统的运行过程，就是把受影响系统、设备、软件和应用服务还原到正常的工作状态；系统恢复、网络恢复、用户恢复、数据恢 复以及重新部署。常见手段：系统重装、补丁加固、网络恢复、密码重置、木马清除等。

1.8 跟踪阶段

在业务系统恢复后，需要整理一份详细的事件总结报告，包括事件发生及各部门介入处理的时间线，事件可能造成的损失，为客户提供安全加固优化建议。

跟踪阶段主要包括：调查事件原因，输出应急响应报告，提供安全建议、加强安全教育、避免同类事件再次发生。

二、入侵排查

2.1 Linux

2.1.1 Web服务

如果网络边界做好控制，通常对外开放的仅是Web服务，那么需要先找到Webshell，可以通过如下途径：

1）检查最近创建的php、jsp文件和上传目录

例如要查找24小时内被修改的JSP文件：

> find./ ­mtime 0 ­name "*.jsp"

2）使用Webshell查杀工具

Windows下D盾等，Linux下河马等。

3）与测试环境目录做对比

> diff -r {生产dir} {测试dir}

4）创建Audit审计规则

vim /etc/audit/

­a exclude,always ­F msgtype=CONFIG_CHANGE

­a exit,always ­F arch=b64 ­F uid=48 ­S execve ­k

webshell

2.1.2 SSH服务

2.1.2.1查看登录信息

登录成功：

grep'Accepted'/var/log/secure| awk'{print $11}'| sort|

uniq­c | sort­nr

或者last命令，它会读取位于/var/log/wtmp的文件，并把该文件记录的登录系统的用户名单，全部显示出来。

2.1.2.2检查SSH后门

比对ssh的版本

>ssh-v

查看ssh配置文件和/usr/sbin/sshd的时间

>stat /usr/sbin/sshd

strings检查/usr/sbin/sshd，看是否有邮箱信息

通过strace监控sshd进程读写文件的操作

2.1.3 进程

检查是否存在可疑进程，需要注意如果攻击者获取到了Root权 限，被植入内核或者系统层Rootkit的话，进程也会隐藏。

1）资源占用

Top然后找到CPU和MEM排序

2）启动时间

可疑与前面找到的Webshell时间点比对。

3）启动权限

比如某次应急中发现木马进程都是mysql权限执行的，基本可以判断是通过Mysql入侵，重点排查Mysql弱口令、UDF提权等。

父进程

获取到可疑进程号之后，可疑使用lsof -p pid查看相关文件和路径。

使用lsof -p pid可以看到可执行文件

2.1.4网络连接

需要注意如果攻击者获取到了Root权限，被植入内核或者系统层Rootkit的话，连接是可以被隐藏的。

查看已经建立的网络连接，例如反弹bash。

检查可以监听端口，例如攻击者在本地开启sock5代理然后使用ssh反弹sock5。

2.1.5敏感目录

/tmp, /var/tmp, /dev/shm，所有用户都可读，可写，可执行

2.1.6 history

通过.bash_history查看帐号执行过的系统命令

1、root的历史命令

histroy

2、打开/home各帐号目录下的.bash_history，查看普通帐号的历史命令

为历史的命令增加登录的IP地址、执行命令时间等信息：

1）保存1万条命令

sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile

2）在/etc/profile的文件尾部添加如下行数配置信息：

######jiagu history xianshi#########

USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed

-e 's/[()]//g'`

if [ "$USER_IP" = "" ]

then

USER_IP=`hostname`

fi

export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "

shopt -s histappend

export PROMPT_COMMAND="history -a"

######### jiagu history xianshi ##########

3）source /etc/profile让配置生效

生成效果： 1 2018-07-10 19:45:39 192.168.204.1 root

source /etc/profile

3、历史操作命令的清除：history -c

但此命令并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录。

入侵排查：

进入用户目录下

cat .bash_history >>

2.1.7开机启动

系统运行级别示意图：

运行级别

含义

0

关机

1

单用户模式，可以想象为windows的安全模式，主要用于系统修复

不完全的命令行模式，不含NFS服务

完全的命令行模式，就是标准字符界面

系统保留

图形模式

重启动

2

3

4

5

6

查看运行级别命令

runlevel

系统默认允许级别

vi /etc/inittab

id=3：initdefault 系统开机后直接进入哪个运行级别

开机启动配置文件

/etc/

/etc/rc.d/rc[0~6].d

例子:当我们需要开机启动自己的脚本时，只需要将可执行脚本丢在/etc/init.d目录下，然后在/etc/rc.d/rc*.d中建立软链接即可

root@localhost ~]# ln -s

/etc/init.d/sshd/etc/rc.d/rc3.d/S100ssh

此处sshd是具体服务的脚本文件，S100ssh是其软链接，S开头代表加载时自启动；如果是K开头的脚本文件，代表运行级别加载时需要关闭的。

入侵排查：

启动项文件：

more /etc/

/etc/rc.d/rc[0~6].d

ls -l /etc/rc.d/rc3.d/

2.1.8 定时任务

重点关注以下目录中是否存在恶意脚本

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc//*

/etc//*

/etc/y/*

/etc//

/etc/anacrontab

/var/spool/anacron/*

小技巧：

more /etc//* 查看目录下所有文件

2.1.9 服务

1、查询已安装的服务：

RPM包安装的服务

chkconfig --list 查看服务自启动状态，可以看到所有的RPM包安装的服务

ps aux | grep crond 查看当前服务

系统在3与5级别下的启动项

中文环境

chkconfig --list | grep "3:启用|5:启用"

英文环境

chkconfig --list | grep "3:on|5:on"

源码包安装的服务

查看服务安装位置 ，一般是在/user/local/

service httpd start

搜索/etc/rc.d/init.d/ 查看是否存在

2.1.10系统日志

日志分析技巧：

1、定位有多少IP在爆破主机的root帐号：

grep "Failed password for root" /var/log/secure | awk

'{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破：

grep "Failed password" /var/log/secure|grep -E -o

"(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用户名字典是什么？

grep "Failed password" /var/log/secure|perl -e

'while($_=<>){ /for(.*?) from/; print "$1n";}'|uniq -c|sort

-nr

2、登录成功的IP有哪些：

grep "Accepted " /var/log/secure | awk '{print $11}' | sort

| uniq -c | sort -nr | more

登录成功的日期、用户名、IP：

grep "Accepted " /var/log/secure | awk '{print

$1,$2,$3,$9,$11}'

3、增加一个用户kali日志：

Jul 10 00:12:15 localhost useradd[2382]: new group:

name=kali, GID=1001

Jul 10 00:12:15 localhost useradd[2382]: new user:

name=kali, UID=1001, GID=1001, home=/home/kali

, shell=/bin/bash

Jul 10 00:12:58 localhost passwd:

pam_unix(passwd:chauthtok): password changed for kali

#grep "useradd" /var/log/secure

4、删除用户kali日志：

Jul 10 00:14:17 localhost userdel[2393]: delete user

'kali'

Jul 10 00:14:17 localhost userdel[2393]: removed group

'kali' owned by 'kali'

Jul 10 00:14:17 localhost userdel[2393]: removed shadow

group 'kali' owned by 'kali'

# grep "userdel" /var/log/secure

5、su切换用户：

Jul 10 00:38:13 localhost su: pam_unix(su-l:session):

session opened for user good by root(uid=0)

sudo授权执行:

sudo -l

Jul 10 00:43:09 localhost sudo: good : TTY=pts/4 ;

PWD=/home/

2.2 Windows

2.2.1检查系统账号安全

1、查看服务器是否有弱口令，远程管理端口是否对公网开放。

检查方法：据实际情况咨询相关服务器管理员。

2、查看服务器是否存在可疑账号、新增账号。

检查方法：打开 cmd 窗口，输入命令，查看是否有新增/可疑的账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉。

3、查看服务器是否存在隐藏账号、克隆账号。

检查方法：

a、打开注册表，查看管理员对应键值。

b、使用D盾_web查杀工具，集成了对克隆账号检测的功能。

4、结合日志，查看管理员登录时间、用户名是否存在异常。

检查方法：

a、Win+R打开运行，输入“”，回车运行，打开“事件查看器”。

b、导出Windows日志--安全，利用Log Parser进行分析。

2.2.2检查异常端口、进程

1、检查端口连接情况，是否有远程连接、可疑连接。

检查方法：

a、netstat -ano 查看目前的网络连接，定位可疑的ESTABLISHED

b、根据netstat 定位出的pid，再通过tasklist命令进行进程 定位 tasklist | findstr “PID”

2、进程

检查方法：

a、开始--运行--输入msinfo32，依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息，比如进程路径、进程ID、文件创建日期、启动时间等。

b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。

c、通过微软官方提供的 Process Explorer 等工具进行排查 。

d、查看可疑的进程及其子进程。可以通过观察以下内容：

没有签名验证信息的进程

没有描述信息的进程

进程的属主

进程的路径是否合法

CPU或内存资源占用长时间过高的进程

3、小技巧：

a、查看端口对应的PID： netstat -ano | findstr “port”

b、查看进程对应的PID：任务管理器--查看--选择列--PID 或者 tasklist | findstr “PID”

c、查看进程对应的程序位置：

任务管理器--选择对应进程--右键打开文件位置

运行输入 wmic，cmd界面 输入 process

d、tasklist /svc 进程--PID--服务

e、查看Windows服务所对应的端口：

%system%/system32/drivers/etc/services般%system%就是C:Windows）

2.2.3检查启动项、计划任务、服务

（一1、检查服务器是否有异常的启动项。

检查方法：

a、登录服务器，单击【开始】>【所有程序】>【启动】，默认情况下此目录在是一个空目录，确认是否有非业务程序在该目录下。

b、单击开始菜单>【运行】，输入msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。

c、单击【开始】>【运行】，输入regedit，打开注册表，查看开机启动项是否正常，特别注意如下三个注册表项：

HKEY_CURRENT_USERsoftwaremicorsoftwindowscurrentversionrun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunonce

检查右侧是否有启动异常的项目，如有请删除，并建议安装杀毒软件进行病毒查杀，清除残留病毒或木马。

d、利用安全软件查看启动项、开机时间管理等。

e、组策略，运行。

2、检查计划任务

检查方法：

a、单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件的路径。

b、单击【开始】>【运行】；输入cmd，然后输入at，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。

3、服务自启动

检查方法：单击【开始】>【运行】，输入，注意服务状态和启动类型，检查是否有异常服务。

2.2.4检查系统相关信息

1、查看系统版本以及补丁信息

检查方法：单击【开始】>【运行】，输入systeminfo，查看系统信息

2、查找可疑目录及文件

检查方法：

a、查看用户目录，新建账号会在这个目录生成一个用户目录，查看是否有新建用户目录。

Window 2003 C:Documents and Settings

Window 2008R2 C:Users

b、单击【开始】>【运行】，输入%UserProfile%Recent，分析最近打开分析可疑文件。

c、在服务器各个目录，可根据文件夹内文件列表时间进行排序，查找可疑文件

2.2.5自动化查杀

1、病毒查杀

检查方法：下载安全软件，更新最新病毒库，进行全盘扫描。

2、webshell查杀

检查方法：选择具体站点路径进行webshell查杀，建议使用两款webshell查杀工具同时查杀，可相互补充规则库的不足。

2.2.6日志分析

1、系统日志

分析方法：

a、前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等。

b、Win+R打开运行，输入“”，回车运行，打开“事件查看器”。

C、导出应用程序日志、安全日志、系统日志，利用Log Parser进行分析。

2、WEB访问日志

分析方法：

a、找到中间件的web日志，打包到本地方便进行分析。

b、推荐工具：Window下，推荐用 EmEditor 进行日志分析，支持大文本，搜索效率还不错。Linux下，使用Shell命令组合查询分析。

三、勒索病毒

3.1 了解现状

1）文件被加密

2）设备无法正常启动

3）勒索信息显示

4）桌面有新的文本文件并记录加密信息及解密联系方式

3.2 了解发病时间

1）文件加密时间

2）设备无法正常启动的时间

3）新的文本文件出现的时间

4）了解事件发生时间，后面以此时间做排查重点

3.3 确认感染者

3.4 感染文件特征和感染时间

1）检查操作系统桌面是否有新的文本文件，文本文件中是否有详细的加密信息及解密联系方式；

被加密的文件类型；

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc,

.dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql,

.accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .ps1, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar,

.tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc

2）加密后的文件后缀；

.WNCRYT，.lock，.pre_alpha，.aes，.aes_ni，.xdata，.aes_ni_0day，

.pr0tect，.[stopstorage@].java，文件后缀无变化；

3） 确认感染时间

Linux系统： 执行命令stat[空格]文件名，包括三个时间access

time（访问时间）、modify

time（内容修改时间）、change time（属性改变时间），如：例：stat/etc/passwd

Windows系统：例：右键查看文件属性，查看文件时间

3.5 处理方式

1）未被感染主机：关闭SSH、RDP等协议，并且更改主机密码；备份系统重要数据、且文件备份应与主机隔离；禁止接入U盘、移动硬盘等可执行摆渡攻击的设备；

2）被感染主机：立即对被感染主机进行隔离处置，禁用所有有线及无线网卡或直接拔掉网线，防止病毒感染其他主机；禁止在被感染主机上使用U盘、移动硬盘等可执行摆渡攻击的设备；

四、挖矿木马

4.1 了解现状

1）安全设备告警

2）cpu使用率突然变高

3）内网主机挂了

4.2 了解发病时间

1）安全设备告警的最早发生时间

2）cpu使用率突然变高的时间

3）主机宕机的时间

4.3 了解系统架构

例：

4.4 确认感染者

4.5 处置建议

1）断网或acl隔离

2）结束恶意进程

3）提取木马样本或反馈二线专家

4）删除木马

4.6 防御措施

1）安装杀毒软件，对被感染机器进行安全扫描和病毒查杀；

2）对系统进行补丁更新，封堵病毒传播途径；

3）制定严格的口令策略，避免弱口令；

4）结合备份的网站日志对网站应用进行全面的代码审计，找出攻击者利用的漏洞；

5）入口进行封堵；

6）配合全流量设备对全网中存在的威胁进行分析，排查问题；

五、ddos攻击

5.1 了解现状

1）流量是否异常增大

2）受影响的业务、系统

3）安全设备告警

5.2 了解发病时间

1）流量异常发生的时间

2）设备告警的时间

3）事件发生的时间为后面重点排查做基础

5.3 了解系统架构

了解当前的网络架构以及网络设备情况，同时了解业务系统架构，相关安全设备是否有告警等；了解当前带宽总量，是否为重要业务系统设置QoS，进行带宽独享以及优化 。

5.4 事件排查

1）查看相关网络设备或安全设备，查看在异常时间段是否存在 异常流量高峰

2）根据流量情况统计，查看流量分布情况，TCP以及UDP协议的流量分布情况，是否有明显的突增情况

3）根据流量情况统计，查看流量协议的分布情况，查看入网的流量何种应用层协议的分布明显突增，如HTTP、DNS、SMB等

5.5 判断依据

1）根据TCP/UDP层以及应用层协议的流量突增情况，可区分出当前遭受到的攻击是网络层攻击或应用层攻击以及属于哪一种协议的攻击；

2）CC攻击所占用的资源分为三种，分别为：带宽、Web连接数、数据库连接数；目的通常是消耗网络资源以及系统性能资源，导致访问缓慢或业务 系统崩溃。通过分析异常时间段内的Web访问日志或流量中HTTP访问记录 ，分析是否存在异常访问；主要关注IP分布、各个IP的请求数、请求URL；

3）如流量无明显突增，则可能是设备或应用故障造成，不符合DDoS的攻击特征。

5.6 事件处置

5.6.1网络层DDOS攻击

1、TCP/UDP FLOOD

对于TCP或UDP流量突增，但无明显的应用层协议流量突增；

2、反射攻击

对于UDP流量突增，并且发现大量基于UDP的应用层协议的流 量突增情况，如DNS、SSDP、NTP协议；

对于以上两种情况，则可采用如下处置方式：

处置方法1：联系CDN厂家以及域名管理员，对域名进行CDN接入；

处置方法2：接入流量清洗设备，对攻击流量进行过滤清洗；

处置方法3：联系网络运营商，增加流量带宽；

5.6.2应用层DDOS攻击

对于TCP协议流量突增，同时应用层协议的HTTP协议流量突增，则可采用如 下处置方式：

处置方法1：联系CDN厂家以及域名管理员，对域名进行CDN接入；

处置方法2：接入流量清洗设备，对攻击流量进行过滤清洗；

处置方法3：联系网络运营商，增加流量带宽。

处置方法4：针对CC攻击，可采取扩充资源/资源限制进行进一步的抑制，但 在一定程度上可能影响正常业务访问。

六、样本提取

1. 根据客户提供信息或告警信息大致判断事件类型如勒索事件、挖矿事件 或远控事件等

2. 根据告警信息定位到相应主机，使用PCHunter、Autoruns等工具通过 活动进程并关联网络行为、启动信息、WMI确定可疑进程及其映像文件

3. 若定位到的进程是系统进程或者如notepad、paint、winhlp 等常见但是 非用户启动进程包括注册表敏感位置，此时恶意代码可能使用傀儡进程 技术，应使用PE工具对内存进行dump后提取

4. 结束活动的可疑进程，若有其余持久化关联项也一并使用PCHunter删除

5. 提取样本，根据需求发送后端分析

6. 若无法判断主机情况，可安装360杀毒进行扫描，并将扫描后的结果提取

7. 若无法使用工具，则根据文档提供的命令来进行样本提取

附件一 应急处置及安全加固申请单

应急处置及安全加固申请单

因 （甲方）网站安全需求，特授权 （乙方）提供远程渗透测试服务，经甲乙双方协商一致后，具体授权内容包括：

一、授权服务内容

服务系列

授权服务内容

授权服务

对象

服务时间期限

□应急处置

对 事件进行应急处置工应急处置及安全加固

作；

附件2《授权应急处置资产清单》

附件3《授权设备安全加固资产清单》

从 年

月 日

到 年

月 日

□安全加固

对 事件进行相关设备安全加固；

二、承诺及告知

1、乙方需确保在得到授权后，严格按照规范操作。

2、未经甲方授权的情况下，乙方不得向任何个人或单位提供测试过程中所获取的信息。

3、乙方在测试过程中应尽量避免影响甲方业务的正常运转，若出现异常则应立刻通知甲方并积极配合协商解决。

4、由于渗透测试工作造成被测信息系统的损坏、运行停止等所造成的损失由甲方承担，但乙方承诺对系统的恢复运行给予帮助。

5、乙方承诺在取消授权后，销毁所有涉及客户相关信息。

6、乙方承诺指定IP进行远程渗透服务，甲方负责在本单位出口开放授权IP白名单。

7、其它未尽事宜，双方应通过协商解决。

8、此授权经甲方盖章后生效。

授权人（公章）：

授权时间：

附件1 客户信息

客户信息

单位名称

服务类型

□

试用

□

合同履行

职务 联系人姓名

手机号 邮箱

附件2 授权应急处置资产清单

序号

业务系统名称

域名/访问地址

(需注明http或https）

IP地址

（单个/网段）

备注

（邮箱、通讯录、用户名等）

示例1

1

OA系统

192.168.1.10

192.168.1.10

Zhangsan@

2

3

4

5

6

附件3 授权设备安全加固资产清单

设备操作系统

IP地址

（单个/网段）

备注

加固内容 （邮箱、通讯录、用户名等）

序号

示例1

1

Windows

192.168.1.10

更新补丁

Zhangsan@

2

3

4

5

6