应急响应大致流程

1 事件发生

1.1 确认事件类型

a、web入侵：挂马、篡改、webshell
b、系统入侵：系统异常、RDP爆破、SSH爆破、主机漏洞
c、木马病毒：远控、后门、勒索软件
d、信息泄露：刷库、数据库登陆（弱口令）
e、网络流量：频繁发包、批量请求、DDOS请求

2 定位分析

2.1 确认事件发生时间

2.2 查找攻击线索

2.2.1 明确入侵网址、主机的详细信息

扫描网址、主机查看存在哪些漏洞

2.2.2 文件分析

a、文件日期
b、新增文件
c、可疑/异常文件
d、最近使用文件
e、浏览器下载文件
f、webshell 排查与分析
g、核心应用关联目录文件分析

2.2.3 进程分析

a、当前活动进程&远程进程
b、启动进程&计划任务
c、服务

2.2.4 系统服务信息

a、环境变量/账户信息/history/系统配置信息

2.2.5 日志分析

2.3 梳理攻击流程（溯源）

3 恢复加固

3.1 实施解决方案

3.2 定位攻击者（追踪）