一次真实的入侵响应经历
去年冬天,我们接到一家电商公司的紧急求助。他们的订单系统突然无法访问,客服电话被打爆,老板在会议室里来回踱步。初步排查发现,数据库被加密,服务器上多出几个陌生的可执行文件,典型的勒索病毒特征。
第一步:确认事件性质
很多人一看到异常就慌着杀毒,其实第一步是判断到底发生了什么。我们先登录跳板机,用 SSH 连上几台核心服务器,执行:
ps aux | grep -E '(crypto|encrypt)'
find /tmp -name '*.exe' -type f -mtime -1
netstat -tulnp | grep LISTEN结果发现一个名为 backup_tool.exe 的程序正在监听 4444 端口,且不属于任何已知服务。这时候基本可以判定:系统已被远程控制。
第二步:隔离与保全
立即通知运维团队将受影响服务器从内网断开,但不关机。很多人习惯直接断电,这会丢失内存中的攻击痕迹。我们用交换机端口隔离的方式保留现场,同时对内存做 dump:
sudo dd if=/dev/mem of=/var/forensics/mem.dmp bs=1M硬盘数据也做了只读快照,后续分析发现攻击者利用了 Redis 未授权访问漏洞上传了恶意脚本。
第三步:溯源与排查横向移动
翻看 /var/log/auth.log,发现凌晨两点有多次 SSH 暴力登录尝试,其中一条成功记录来自某个东南亚 IP:
Accepted password for root from 118.70.85.192 port 54321 ssh2顺着这个线索查内网日志,发现该账号在两小时内尝试访问了 17 台其他服务器。我们立刻重置所有相关账户密码,并检查 Kerberos 认证日志,防止域控被渗透。
第四步:清除与恢复
确认攻击路径后,开始清理。删除恶意进程、清空计划任务、卸载可疑内核模块。有台服务器的 crontab 被植入了持久化命令:
* */6 * * * /tmp/.X11-unix/x这种隐藏目录下的伪装程序必须手动清除。应用修复补丁后,从干净备份中恢复数据库。恢复完成后,开放只读接口让业务方验证数据完整性。
第五步:复盘不是走过场
事后开了三次内部会议。第一次还原时间线,第二次讨论技术短板,第三次制定改进措施。比如之前为了方便运维开放了过多高危端口,这次统一收口;Redis 改为绑定本地+认证访问;所有登录行为接入 SIEM 做实时告警。
日常准备比应急更重要
真正打起仗来,靠的是平时的积累。我们建议每家公司至少做到三点:一是定期做红蓝对抗演练,二是建立清晰的响应手册(Runbook),三是关键系统要有离线备份。见过太多企业等到被加密才想起三年前的备份根本没测试过。
网络安全事件不会挑节假日发生,也不会按剧本上演。你永远不知道下一次告警是在凌晨三点,还是发布会前五分钟。能扛住压力把流程走完,比任何炫酷的技术都管用。