应急响应流程
面试官想考什么
- 遇到安全事件你是否知道从哪里下手。
- 是否能按流程排查,而不是只说看日志。
总体流程
- 确认事件现象。
- 保存现场和日志。
- 查账号。
- 查登录记录。
- 查进程。
- 查端口。
- 查计划任务。
- 查 Web 目录。
- 查 WebShell。
- 查 Web 日志。
- 查异常外连。
- 定位入口漏洞。
- 清理后门和加固。
- 输出报告。
Linux 排查命令
查进程
查端口
1
2
3
| ss -tunlp
netstat -tunlp
lsof -i :端口
|
查登录
查账号
1
2
| cat /etc/passwd
cat /etc/shadow
|
查计划任务
1
2
3
4
| crontab -l
ls -la /var/spool/cron/
cat /etc/crontab
ls -la /etc/cron.*
|
查 WebShell
1
2
| find /var/www -mtime -7 -type f
grep -R "eval\\|assert\\|base64_decode\\|system\\|exec" /var/www
|
面试标准回答
1
2
3
4
5
| 应急响应我会先确认事件现象和影响范围,然后尽量保存现场和日志。排查时会从账号、登录记录、进程、端口、计划任务、Web 目录、WebShell、Web 日志和异常外连几个方向入手。
比如 Linux 上会用 ps、top 查进程,用 ss 或 netstat 查端口,用 last、lastb 查登录记录,用 crontab 和 /etc/cron 目录查计划任务,用 find 和 grep 检查 Web 目录近期修改文件和危险函数。
最后会结合 Nginx/Apache 日志还原攻击时间线,定位入口漏洞,清理后门,修改弱口令,修复漏洞并输出应急报告。
|