一般情况下,应用系统中毒后,第一步一定是要立即断开网络连接,也就是切断感染路线。
然而现实情况中,某些应用系统不能立即断网,比如电动汽车公司的充电桩系统,否则会影响正在进行的充电业务,造成更加严重的后果。这种情况下,应该如何处理呢?建议按照以下步骤:
- 在防火墙中立刻封禁中毒应用系统的ip,只允许必须的ip和端口进行连接,最小化进出流量;
- 封禁ip的同时,同步确认中毒位置,找到病毒文件,杀死病毒进程;如果购买了安全厂商的技术支持,可以进一步确认是否查杀干净。
- 查看系统进程和启动项,寻找是否植入后门程序,同步查看系统日志,寻找病毒来源,并确认是否感染其他系统;
- 如果病毒感染是因为系统存在漏洞,导致被攻击。那么还需要确认漏洞是主机内核漏洞,还是中间件漏洞,抑或是开发组件漏洞。如果是中间件漏洞,通过修改配置文件或者更新热补丁先堵住漏洞;
- 如果中毒原因是人为恶意操作,切记保留好证据。事后一定要追责,警醒其他“心存侥幸”者;
- 进一步做好内网各重要的业务系统数据和代码的备份,以防“天有不测风云”;
- 最重要的是:“亡羊补牢”和“惩前毖后”,根据此次事件的经验和教训,提出新的安全建议和整改措施。否则,就会频繁重复这些类似的故障。
以上就是我的处理意见,如果不妥,还请帮忙指正,谢谢。
网友评论