应急响应复现 - 指南

1、初步确认与隔离

检测告警来源（安全监控、IDS/IPS、人工发现）。

确认攻击是否仍在进行。

可临时断开服务器外网或特定端口（如SSH、Web服务端口）。

2、信息收集

uname -a
uptime
who -a

3、关键日志备份

cp /var/log/secure /tmp/secure.bak
cp /var/log/messages /tmp/messages.bak
cp /var/log/auth.log /tmp/auth.log.bak
cp /var/log/httpd/access_log /tmp/access_log.bak

4、网络连接与端口使用情况

ss -antp
lsof -i

5、登录安全排查

（1）检查暴力破解记录

grep "Failed password" /var/log/secure
grep "Accepted password" /var/log/secure

（2) 异常账户与提权排查

cat /etc/passwd
cat /etc/sudoers

(3) 恶意进程与后门排查

ps aux --sort=-%cpu | head -n 15
netstat -anp | grep LISTEN
ls -l /proc//exe

(4) Web入侵排查

find /var/www/html -mtime -1 -type f
grep -R "eval(" /var/www/html
grep -R "base64_decode(" /var/www/html

(5) 定时任务与持久化后门

crontab -l
ls -l /etc/cron*
ls -l /etc/rc*.d/

(6) 可疑网络流量排查

tcpdump -i eth0 port not 22
netstat -antp | grep ESTABLISHED

6、处置与清除

（1）封锁恶意IP

iptables -A INPUT -s  -j DROP

删除恶意账户、修改弱密码。停止或删除可疑进程和文件。删除后门脚本、恢复被篡改文件。查并关闭不必要的服务和端口。