一、应急响应

1、什么是应急响应
应急响应( Incident Response/ Emergency Response )通常是指一个组织为了应对各种意外事件的发生所做的准备工作以及在突发事件发生时或者发生后所采取的措施。计算机网络应急响应的对象是指计算机或网络所存储、传输、处理的信息的安全事件，事件的主体可能来自自然界、系统自身故障(这里的系统包括主机范畴内的问题,也包括网络范畴内的问题)、组织内部或外部的人、计算机病毒或蠕虫等。

2、应急响应周期
应急响应生命周期：准备、检测、遏制、根除、恢复、追踪
准备阶段：分析资产的风险、组建管理 人员团队、风险加固、保障资源储备、技术支持资源库
检测阶段：日常运维监控、事件判断、事件上报

遏制阶段：
（1）控制事件蔓延

（2）遏制效应

（3）遏制监测

根除恢复阶段：启动应急预案、根除监测、持续监测
（1）启动应急预案

（2）根除监测

（3）持续监测

跟踪阶段：应急响应报告、应急事件调查、应急响应总结
（1）应急响应报告

（2）应急事件调查

（3）应急响应总结

3、应急响应预案
应急响应预案的包括的主要内容：
●确定风险场景
●行动计划
●描述可能受到的业务影响
●团队和人员的职责
●描述使用的预防性策略
●联络清单
●描述应急响应策略
●所需资源配置
●识别和排列关键应用系统

4、成功预案的特点
●清楚、简洁
●高级管理层支持/组织承诺
●不断改进和更新的恢复策略
●及时的更新维护

二、WebShell

1、什么是WebShell
WebShell看起来和普通的服务端脚本一样(或者说就是普通code )

以web服务端脚本(程序)形式存在,与传统服务端脚本的运行原理相同。对服务器本地资源具备一定的操作能力,其操作本地资源的范围取决于解析器的权限。

2、检测webshell的几种方法
（1）Web扫描/爬虫/google hack检测
（2）基于web日志的检测
原理：日志若可记录referer字段,可对搜索referer字段为空的链接,因为绝大多数WEBShell无上级链接,入侵者会直接访问WEBShell文件

操作思路：
搜索文件名搜索命令搜索write exec等参数
搜索referrer字段为空的日志条目

（3）基于文件属性的检测
●设置文件的创建基准日期(用户附件目录除外)
●以创建时间为线索进行搜索，基准日期后所有文件

（4）基于文件内容的检测
1）基于关键字检测
2）基于文件属性的检测

3、Webshell防御
避免常规的漏洞，如：注入、后台泄露、配置缺陷等等

三、网络应急响应

1、网络攻击事件：
安全扫描攻击：黑客利用扫描器对目标进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击
暴力破解攻击：对目标系统账号密码进行暴力破解,获取后台管理员权限
系统漏洞攻击：利用操作系统、应用系统中存在漏洞进行攻击
WEB漏洞攻击：通过SQL注入漏洞、上传漏洞、 XSS漏洞、 授权绕过等各种WEB漏洞进行攻击
拒绝服务攻击：通过大流量DDOS或者CC攻击目标,使目标服务器无法提供正常服务
其他网络攻击行为

2、恶意程序事件
恶意程序主要类型及危害：
病毒、蠕虫：造成系统缓慢,数据损坏、运行异常
远控木马：主机被黑客远程控制
僵尸网络程序：主机对外发动DDOS攻击、对外发起描攻击行为(肉鸡行为)
ku程序：造成系统资源大量消耗

3、WEB恶意代码
网站恶意代码常见类型及危害：
Webshell后门：黑客通过Webshell控制主机
网页挂马：页面被植入待病毒内容，影响访问者安全
网页暗链：网站被植入恶意链接、游戏等广告内容

4、信息破坏事件
系统配置遭篡改：系统中出现异常的服务、进程、启动项、账号等等
数据库内容篡改：业务数据遭到恶意篡改,引起业务异常和损失
网站内容篡改事件：网站页面内容被黑客恶意篡改
信息数据泄露事件：服务器数据、会员账号遭到窃取并泄露

5、其他破坏事件
账号被异常登录：系统账号在异地登录,可能出现账号密码泄露
异常网络连接：服务器发起对外的异常访问,连接到木马主控端、矿池、病毒服务器等行为