前言

当企业发生网络安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，同时还需进一步查找入侵来源，还原入侵事故过程，给出解决方案与防范措施，为企业挽回或减少经济损失。

常见的网络安全事件：

Web入侵：挂马、篡改、Webshell；
系统入侵：系统异常、RDP爆破、SSH爆破、主机漏洞；
病毒木马：远控、后门、勒索软件；
信息泄漏：拖裤、数据库登录（弱口令）；
网络流量：频繁发包、批量请求、DDOS攻击；

排查思路

相关步骤的核心如下：

文件分析

a) 文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件；
b) Webshell 排查与分析；
c) 核心应用关联目录文件分析；

进程分析

a) 当前活动进程、远程连接；
b) 启动进程、计划任务；
c) 进程工具分析：Windows 使用 Pchunter、 Linux 使用 Chkrootkit 或 Rkhunter；

系统分析

a) 环境变量；
b) 帐号信息；
c) History；
d) 系统配置文件；

日志分析

（a) 操作系统日志：Windows事件查看器、Linux/var/log/；
（b) 应用日志分析：Access.log、Error.log。

来源：https://www.hackbase.net/security/system/263984.html