应急响应知识汇总

常见的应急分类：

web入侵：网页挂马、主页篡改、Webshell
系统入侵：病毒木马、勒索软件、远控后门
网络攻击：DDOS攻击、DNS劫持、ARP欺骗

服务器攻击思路：
拿一台服务器，首先要看这台是什么类型的服务器，搭载了哪些服务或框架，搭载的东西越多，越容易撕开口子，通过撕开的口子，是否权限不够？又做了提权? 有的人会先做权限维持，这种情况通过哪些方法可以排查，后做权限维持的，通过哪些方法可以排查，有的人先探测的内网环境，对内网进行前期的信息收集，一遍在这个阶段，攻击者的内网攻击流量会明显的出现在告警服务器上，这种情况怎么一步步排查回溯攻击链？如果攻击者删除了痕迹，如何排查？没删除痕迹，从哪儿入手？用哪些命令排查？用哪些工具辅助排查，攻击者删除了日志怎么处理？等等等等，既要掌握思路，又要掌握防范手段及排查命令，这都是作为一个蓝队中级应该掌握的知识。