資安事件處理建議措施
安裝防毒軟體並更新至最新版,進行全機掃描,並注意病毒碼須啟用持續(自動)更新。
請檢視所有系統的漏洞是否已修補,防止系統被植入惡意程式。
透過
ACL
限制對外提供服務的 Port Service 阻止非預期遠端連線的進行。
如果 IP 設備是一單純網站,除系統更新或資料同步需求外,無對外連線需要,建議將未使用且往外的 PORT 全擋掉。
帳號檢視:確認帳號檔案 /etc/passwd 是否有異常帳號(非預期的新增帳號),檢查登入紀錄 (指令 last、W)。(例如:某段時間應該沒人登入,卻有登入紀錄?)。
異常連線:透過 netstat、ss 等指令,檢查異常連線程式。(指令 “ netstat -tunlp ” 找出連線的PORT與程式)
異常程式檢視:透過 history、 ps 、 crontab 等指令 ( linux
OS
適用 ) 檢查是否有非預期指令曾經或正在執行。( “ ps -Af ” 指令可以找出執行程式的路徑。)
備份資料,重灌系統:上述步驟執行後有發現異常處理完後,建議啟用防火牆並設定限制連線來源規則。如果可以的話,建議考慮將所需資料備份後重新安裝系統,因為難以保證該系統沒有其他問題。