分享一次应急响应简述

一、背景

几周前，我接到某单位管理人员的电话，称“您好，我单位某系统遭受攻击，现系统已瘫痪（想到系统已瘫痪，我的心里特别慌张，要写溯源报告了），应用无法使用，需到现场进行排查”。我简单了解了网络情况后，匆忙赶往客户现场。

通过电话了解到的基本信息是：该系统已处于瘫痪状态、系统位于内网未对互联网开放端口、操作系统为Windows Server 2008、已进行断网处理。

二、现场排查

到达客户现场后，我再次与系统管理人员确认情况，得到的信息与电话沟通的内容大致相同。原本打算先进入系统查看情况，但因有其他厂家的人员在操作，我不好意思打扰，只能等待。等待了一个小时后，他主要查看系统安全日志，追溯到事发前一周的时间，但并未发现任何异常。如果是我操作，也会先查看日志。

2.1、开始排查

在等待和其他人员的排查后，系统安全日志上并未发现异常问题。想到系统瘫痪，我有了新的想法：

然而，考虑到该系统未对互联网开放应用，我的想法无法成立，一时之间思路枯竭，感觉刚接手鼠标和键盘就无从下手。冷静下来后，我决定先查看网络活动的TCP连接情况。于是我使用了

netstat -ano

为了更清晰地查看，我使用了

netstat -ano | more

我将这一发现反馈给管理人员，并询问了系统的开机时间，得知系统已开启500多天。管理人员对此并不完全接受，并提出了新的问题（我开始有些慌张，难道不是这个问题吗）“后台程序出现接口无法调用的问题”：

AppMall应用商店

AI应用商店，提供即时交付、按需付费的人工智能应用服务

56

查看详情

看到相关报错后，我更加确认了我的想法。为了验证，我向管理人员展示了之前看到的博客和微软的公告，最终确认了问题。

相关链接如下：

确认问题后，我进一步检查了系统进程和服务，发现系统中存在WannaCry勒索病毒的服务，但未发现相关勒索病毒进程，并在杀毒软件的恢复区发现了WannaCry的文件。

通过询问得知，该病毒在2018年6月已被删除过，但由于系统未重启，服务仍然存在。最后，我清理了注册表。

完成相关操作后，我联系管理员重启系统，整个过程不到半小时，最终解决了问题。

三、总结

通过这次应急响应，我认为管理人员提供的信息有时可能与应急人员的需求不一致，可能会误导应急人员。作为应急人员，应具备强烈的逻辑和分析能力，同时需要自信。

新手上路，大佬勿喷，感谢。

以上就是分享一次应急响应简述的详细内容，更多请关注php中文网其它相关文章！