【正文】 日志的文件夾里查找是否有被攻擊的行為 。 ? 建立全網(wǎng)的監(jiān)控體系 ， 及時(shí)發(fā)現(xiàn)問(wèn)題 。通過(guò)審核“黑洞”的攻擊記錄日志，發(fā)現(xiàn)了入侵的源IP，為進(jìn)一步偵察提供了證據(jù)。 ? 處理過(guò)程 ? 證券信息中心迅速做出反應(yīng) ， 通過(guò)電話(huà) 、 Email等方式 ， 將我公司發(fā)布的關(guān)于防范 “ 紅色代碼 ” 蠕蟲(chóng)的公告發(fā)布給各個(gè)營(yíng)業(yè)部 ， 并限定了問(wèn)題處理期限 。 ? 本地應(yīng)急響應(yīng)服務(wù) 對(duì)本地范圍內(nèi)的客戶(hù)， 36小時(shí)內(nèi)到達(dá)現(xiàn)場(chǎng)；對(duì)異地的客戶(hù)， 24小時(shí)加路途時(shí)間內(nèi)到達(dá)現(xiàn)場(chǎng)。 ? 應(yīng)急響應(yīng)服務(wù)是解決網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題的有效安全服務(wù)手段之一。 itsec 應(yīng)急響應(yīng)服務(wù)背景 ? CERT/CC服務(wù)的內(nèi)容 ? 安全事件響應(yīng) ? 安全事件分析和軟件安全缺陷研究 ? 缺陷知識(shí)庫(kù)開(kāi)發(fā) ? 信息發(fā)布：缺陷、公告、總結(jié)、統(tǒng)計(jì)、補(bǔ)丁、工具 ? 教育與培訓(xùn)： CSIRT管理、 CSIRT技術(shù)培訓(xùn)、系統(tǒng)和網(wǎng)絡(luò)管理員安全培訓(xùn) ? 指導(dǎo)其它 CSIRT（也稱(chēng) IRT、 CERT）組織建設(shè) itsec 內(nèi)容提要 ? 應(yīng)急響應(yīng)服務(wù)背景 ? 什么是應(yīng)急響應(yīng) ? 應(yīng)急響應(yīng)組的組建 ? 應(yīng)急響應(yīng)服務(wù)的過(guò)程 ? 應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容 ? 應(yīng)急響應(yīng)服務(wù)的指標(biāo) ? 應(yīng)急響應(yīng)服務(wù)案例 itsec 事件響應(yīng) ? 事件響應(yīng)：對(duì)發(fā)生在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件進(jìn)行響應(yīng)。 itsec 應(yīng)急響應(yīng)服務(wù)的過(guò)程 —— 恢復(fù) ? 把所有受侵害或被破壞的系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)等徹底地還原到它們正常的任務(wù)狀態(tài)。 itsec 國(guó)家 XX局應(yīng)急響應(yīng) ? 掃描分析 ? 發(fā)現(xiàn)服務(wù)器采用 FAT32的磁盤(pán)格式 ， 建議采用NTFS格式的磁盤(pán)分區(qū)提供更高的安全可靠性能； ? 沒(méi)有采取端口訪(fǎng)問(wèn)限制策略 ， 遠(yuǎn)程主機(jī)可以隨意連接到電腦上的開(kāi)放端口； ? 開(kāi)放的 SNMP協(xié)議暴露服務(wù)器主機(jī)的配置和使用情況； ? 沒(méi)有禁止的 IPC共享連接可以遠(yuǎn)程得到主機(jī)的網(wǎng)絡(luò)和系統(tǒng)配置文件 。 經(jīng)過(guò)仔細(xì)查找以及分析 ， 發(fā)現(xiàn)攻擊者的來(lái)源 ， 確認(rèn)攻擊者 IP地址為 ， 來(lái)自 xx省 ， 初步判斷為撥號(hào)用戶(hù) ， 攻擊時(shí)間為 2022年 3月 16日凌晨 2點(diǎn)－ 5點(diǎn) 。 itsec XX電信公司應(yīng)急響應(yīng) ? 處理過(guò)程 針對(duì)服務(wù)器的 Unicode漏洞進(jìn)行修補(bǔ) ， 補(bǔ)丁說(shuō)明如下： ? Windows NT IIS4 Unicode補(bǔ)丁 ? Windows 2022 簡(jiǎn)體中文版 IIS5 Unicode補(bǔ)丁 在服務(wù)器上直接運(yùn)行此程序 ， 然后按提示執(zhí)行 ，服務(wù)器重新啟動(dòng)后補(bǔ)丁生效 。 ? 響應(yīng)建議 ? 由于主機(jī)的數(shù)據(jù)庫(kù)名稱(chēng)已經(jīng)暴露 ， 所以建議把該數(shù)據(jù)庫(kù)文件名稱(chēng)改為新的名稱(chēng)； ? 由于目標(biāo)主機(jī)完全采用的是默認(rèn)安裝所以建議對(duì)該主機(jī)做一次全面的安全配置； ? 建議主機(jī)打全最新的安全補(bǔ)??； ? 嚴(yán)格限制該主機(jī)的物理訪(fǎng)問(wèn)權(quán)限 。 ? 經(jīng)與客戶(hù)網(wǎng)絡(luò)相關(guān)人員確認(rèn)后，客戶(hù)方提供主機(jī)或設(shè)備的臨時(shí)支持賬號(hào)，由應(yīng)急響應(yīng)組遠(yuǎn)程登陸主機(jī)進(jìn)行檢測(cè)和服務(wù)，問(wèn)題解決后出具詳細(xì)的應(yīng)急響應(yīng)服務(wù)報(bào)告。這個(gè)生命周期包括：對(duì)策、檢測(cè)和響應(yīng)。 ? 這種服務(wù)手段可以描述為：客戶(hù)的主機(jī)或網(wǎng)絡(luò)正遭到攻擊或發(fā)現(xiàn)入侵成功的痕跡，而又無(wú)法當(dāng)時(shí)解決和追查來(lái)源時(shí)，安全服務(wù)商根據(jù)客戶(hù)的要求以最快的速度趕到現(xiàn)場(chǎng)，協(xié)助客戶(hù)解決問(wèn)題，查找后門(mén)，保存證據(jù)和追查來(lái)源。 itsec 應(yīng)急響應(yīng)服務(wù)的內(nèi)容 ? 病毒事件響應(yīng) ? 系統(tǒng)入侵事件響應(yīng)