在網絡安全事件發生后，一般是要去客戶現場排查問題的，

那么要想解決問題，信息的完整性決定了這次任務的成敗。。

---

---

1. 你需要知道的：

1. 先讓客戶梳理一遍事情的起因經過結果

2. 詢問客戶需要解決的問題

3. 了解客戶的網絡環境（有拓撲圖最好了）

4. 了解系統環境（比如Linux系統還是Windows系統的服務器）

5. 了解服務器所運行的服務是什么

6. 服務是否有重要資料，資料是否外泄

7. 是否有安全設備（比如網站防火墻，云waf等）

8. 了解服務環境（使用什么語言開發的，開發框架是什么，開發商是哪個？）

9. 在我們到現場之前，有沒有其他安全廠商來過處理問題，或者客戶自己有沒有先行處理問題（如果有，那處理了什么東西？）

10. 日志是否完整（網站訪問日志，中間件日志，網站安全設備日志，系統安全日志等，日志時間多長）

---

PS：特殊說明

1. 如果被攻擊的服務器是在內網（外網不能直接訪問），那么需要了解是否跟其他服務器有連接，如果有，那么也需要排查那臺服務器

2. 如果都沒有外連情況，那么需要排查服務器是否安裝有遠程控制之類的軟件了

---

2. 你需要解決的問題：

一般需要解決的問題如下：

1. 攻擊時間，結束時間（可以從日志上分析）

2. 攻擊路徑（入侵利用的漏洞之類的）

3. 木馬樣本取樣

4. 檢查服務器是否被提權

5. 檢查是否還有隱藏后門，遺留文件等（可以從高危網站目錄上查看，如upload等目錄）

6. 檢查網站后臺是否有可疑操作日志

---

PS：切記

1. 讓客戶做好備份

2. 不要隨意增刪改查文件，任何操作都需要詢問客戶同意之后進行

3. 特別是刪除文件的時候，讓網站開發商確認文件是否為網站自身文件，如果不是，讓網站開發商自行刪除（可以指導他刪，但一定是他自己來動手）

4. 上傳任何安全工具也要詢問客戶意見

5. 如遇到安全工具不能運行，需要安裝xx驅動等問題，那就使用其他安全工具，不要隨意安裝驅動，以免服務奔潰。。