資安事件處理建議措施

安裝防毒軟體並更新至最新版，進行全機掃描，並注意病毒碼須啟用持續（自動）更新。

請檢視所有系統的漏洞是否已修補，防止系統被植入惡意程式。

透過 ACL 限制對外提供服務的 Port Service 阻止非預期遠端連線的進行。

如果 IP 設備是一單純網站，除系統更新或資料同步需求外，無對外連線需要，建議將未使用且往外的 PORT 全擋掉。

帳號檢視：確認帳號檔案 /etc/passwd 是否有異常帳號（非預期的新增帳號），檢查登入紀錄 （指令 last、W）。（例如：某段時間應該沒人登入，卻有登入紀錄？）。

異常連線：透過 netstat、ss 等指令，檢查異常連線程式。（指令 “ netstat -tunlp ” 找出連線的PORT與程式）

異常程式檢視：透過 history、 ps 、 crontab 等指令 ( linux OS 適用 ) 檢查是否有非預期指令曾經或正在執行。（ “ ps -Af ” 指令可以找出執行程式的路徑。）

備份資料，重灌系統：上述步驟執行後有發現異常處理完後，建議啟用防火牆並設定限制連線來源規則。如果可以的話，建議考慮將所需資料備份後重新安裝系統，因為難以保證該系統沒有其他問題。