【正文】 日志的文件夾里查找是否有被攻擊的行為 。 ? 建立全網(wǎng)的監(jiān)控體系 ， 及時發(fā)現(xiàn)問題 。通過審核“黑洞”的攻擊記錄日志，發(fā)現(xiàn)了入侵的源IP，為進一步偵察提供了證據(jù)。 ? 處理過程 ? 證券信息中心迅速做出反應(yīng) ， 通過電話 、 Email等方式 ， 將我公司發(fā)布的關(guān)于防范 “ 紅色代碼 ” 蠕蟲的公告發(fā)布給各個營業(yè)部 ， 并限定了問題處理期限 。 ? 本地應(yīng)急響應(yīng)服務(wù) 對本地范圍內(nèi)的客戶， 36小時內(nèi)到達現(xiàn)場；對異地的客戶， 24小時加路途時間內(nèi)到達現(xiàn)場。 ? 應(yīng)急響應(yīng)服務(wù)是解決網(wǎng)絡(luò)系統(tǒng)安全問題的有效安全服務(wù)手段之一。 itsec 應(yīng)急響應(yīng)服務(wù)背景 ? CERT/CC服務(wù)的內(nèi)容 ? 安全事件響應(yīng) ? 安全事件分析和軟件安全缺陷研究 ? 缺陷知識庫開發(fā) ? 信息發(fā)布：缺陷、公告、總結(jié)、統(tǒng)計、補丁、工具 ? 教育與培訓(xùn)： CSIRT管理、 CSIRT技術(shù)培訓(xùn)、系統(tǒng)和網(wǎng)絡(luò)管理員安全培訓(xùn) ? 指導(dǎo)其它 CSIRT（也稱 IRT、 CERT）組織建設(shè) itsec 內(nèi)容提要 ? 應(yīng)急響應(yīng)服務(wù)背景 ? 什么是應(yīng)急響應(yīng) ? 應(yīng)急響應(yīng)組的組建 ? 應(yīng)急響應(yīng)服務(wù)的過程 ? 應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容 ? 應(yīng)急響應(yīng)服務(wù)的指標(biāo) ? 應(yīng)急響應(yīng)服務(wù)案例 itsec 事件響應(yīng) ? 事件響應(yīng)：對發(fā)生在計算機系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件進行響應(yīng)。 itsec 應(yīng)急響應(yīng)服務(wù)的過程 —— 恢復(fù) ? 把所有受侵害或被破壞的系統(tǒng)、應(yīng)用、數(shù)據(jù)庫等徹底地還原到它們正常的任務(wù)狀態(tài)。 itsec 國家 XX局應(yīng)急響應(yīng) ? 掃描分析 ? 發(fā)現(xiàn)服務(wù)器采用 FAT32的磁盤格式 ， 建議采用NTFS格式的磁盤分區(qū)提供更高的安全可靠性能； ? 沒有采取端口訪問限制策略 ， 遠程主機可以隨意連接到電腦上的開放端口； ? 開放的 SNMP協(xié)議暴露服務(wù)器主機的配置和使用情況； ? 沒有禁止的 IPC共享連接可以遠程得到主機的網(wǎng)絡(luò)和系統(tǒng)配置文件 。 經(jīng)過仔細查找以及分析 ， 發(fā)現(xiàn)攻擊者的來源 ， 確認攻擊者 IP地址為 ， 來自 xx省 ， 初步判斷為撥號用戶 ， 攻擊時間為 2022年 3月 16日凌晨 2點－ 5點 。 itsec XX電信公司應(yīng)急響應(yīng) ? 處理過程 針對服務(wù)器的 Unicode漏洞進行修補 ， 補丁說明如下： ? Windows NT IIS4 Unicode補丁 ? Windows 2022 簡體中文版 IIS5 Unicode補丁 在服務(wù)器上直接運行此程序 ， 然后按提示執(zhí)行 ，服務(wù)器重新啟動后補丁生效 。 ? 響應(yīng)建議 ? 由于主機的數(shù)據(jù)庫名稱已經(jīng)暴露 ， 所以建議把該數(shù)據(jù)庫文件名稱改為新的名稱； ? 由于目標(biāo)主機完全采用的是默認安裝所以建議對該主機做一次全面的安全配置； ? 建議主機打全最新的安全補??； ? 嚴(yán)格限制該主機的物理訪問權(quán)限 。 ? 經(jīng)與客戶網(wǎng)絡(luò)相關(guān)人員確認后，客戶方提供主機或設(shè)備的臨時支持賬號，由應(yīng)急響應(yīng)組遠程登陸主機進行檢測和服務(wù)，問題解決后出具詳細的應(yīng)急響應(yīng)服務(wù)報告。這個生命周期包括：對策、檢測和響應(yīng)。 ? 這種服務(wù)手段可以描述為：客戶的主機或網(wǎng)絡(luò)正遭到攻擊或發(fā)現(xiàn)入侵成功的痕跡，而又無法當(dāng)時解決和追查來源時，安全服務(wù)商根據(jù)客戶的要求以最快的速度趕到現(xiàn)場，協(xié)助客戶解決問題，查找后門，保存證據(jù)和追查來源。 itsec 應(yīng)急響應(yīng)服務(wù)的內(nèi)容 ? 病毒事件響應(yīng) ? 系統(tǒng)入侵事件響應(yīng)