一、分析服务器网络服务
1、看开启哪些服务端口
2、针对端口容易被攻击的方法
3、服务器补丁
4、日志分析
5、服务开启的权限
二、被提权
1、查看补丁
2、查看账号情况(看注册表)
3、查看网络连接
4、分析进程
5、分析注册表启动项
6、分析日志
7、分析一些提权工具,一般在会在回收站或者网站目录下
三、应急响应
1、能关机就关机
2、能关闭外网就关闭外网
3、网站权限封死,不能穿越其他目录
4、修改数据密码(关闭外链)
5、分析日志找webshell(ip,上传点,或者)
6、检索IP访问的文件
7、检索某个时间段被修改的文件