資安事件處理建議措施
安裝防毒軟體並更新至最新版,進行全機掃描,並確保病毒碼持續(自動)更新。
請檢視所有系統漏洞是否已修補,以防止系統被植入惡意程式。
建議啟用防火牆,並透過
ACL
功能限制對外提供服務的 Port Service,以阻止非預期遠端連線的進行。
對於單純網站的 IP 設備,除系統更新或資料同步需求外,建議封鎖未使用且對外的 PORT。
帳號檢視:確認帳號檔案 /etc/passwd 是否有異常帳號(非預期的新增帳號),並檢查登入紀錄 (指令 last、W)。
例如:某段時間應該沒人登入,卻有登入紀錄?
異常連線:透過 netstat、ss 等指令,檢查異常連線程式。
指令 “ netstat -tunlp ” 找出連線的PORT與程式。
異常程式檢視:透過 history、 ps 、 crontab 等指令 ( linux
OS
適用 ) 檢查是否有非預期指令曾經或正在執行。( “ ps -Af ” 指令可以找出執行程式的路徑。)
備份資料,重灌系統:若上述步驟執行後有發現異常於處理完後,因難以保證系統沒有未查出的問題,建議考慮將所需資料備份後重新安裝系統。