应急流程

1、收到应急响应信息，第一时间确认是什么类型的应急（安全事件：包括勒索病毒，挖矿等，这种一般非常紧急；安全漏洞事件：这种比较简单，过去给客户看看日志，说一下这个漏洞的危害程度等等）
2、如果是挖矿或者病毒，现场沟通，确认中招的范围，业务系统的重要性，并且建议客户进行隔离处理
3、确认是挖矿或者病毒，第一时间查看的就不是进程了，而是看一下有没有恶意的用户（net use，linux下就是：cat /etc/passwd等等），因为只有进入系统才有可能将病毒和挖矿程序植入
4、查一下基本目录有没有其他比较可疑的程序（至于什么目录，看我之前分享的两份文档）
5、看进程，看端口，看定时任务
6、查看日志，在事件发生的前一两个月之前开始看起，如果确认是近期，就从近期的日志开始查看，看一下有没有非法的IP或者非法的攻击行为（日志包括：网站访问日志，中间件日志，系统日志，服务器安全日志等，这几个日志为最主要）
7、用工具扫描一下服务器是否存在而已的程序（用D盾扫描webshell，用一些杀毒软件，比如深信服，360安全卫士等等扫一下是否有恶意的文件程序或者病毒等等）
8、查看一下系统的补丁修复情况。很多情况我们前面没啥思路的话，在写报告的时候，就会说：补丁修复太少，可能导致服务器被入侵（当然我这个不是官方的说法，只是给你提供一下大致套路）

9、写报告（报告也是按照步骤的，比如：你就算看到用户列表没有恶意用户，你也要截图，然后再报告上附图说明：用cat /etc/shadow查看，并无发现可疑报告，这样别人一看就知道没有了，而且也证明你这个人确实有去看过，你这个人的报告写的很完整）
10、报告文档发出去之后，再发一段话作为此次应急响应的分析总结。（这样别人一看就大致知道什么问题，再去看报告就很明显了）