在网络安全事件发生后，一般是要去客户现场排查问题的，

那么要想解决问题，信息的完整性决定了这次任务的成败。。

---

---

1. 你需要知道的：

1. 先让客户梳理一遍事情的起因经过结果

2. 询问客户需要解决的问题

3. 了解客户的网络环境（有拓扑图最好了）

4. 了解系统环境（比如Linux系统还是Windows系统的服务器）

5. 了解服务器所运行的服务是什么

6. 服务是否有重要资料，资料是否外泄

7. 是否有安全设备（比如网站防火墙，云waf等）

8. 了解服务环境（使用什么语言开发的，开发框架是什么，开发商是哪个？）

9. 在我们到现场之前，有没有其他安全厂商来过处理问题，或者客户自己有没有先行处理问题（如果有，那处理了什么东西？）

10. 日志是否完整（网站访问日志，中间件日志，网站安全设备日志，系统安全日志等，日志时间多长）

---

PS：特殊说明

1. 如果被攻击的服务器是在内网（外网不能直接访问），那么需要了解是否跟其他服务器有连接，如果有，那么也需要排查那台服务器

2. 如果都没有外连情况，那么需要排查服务器是否安装有远程控制之类的软件了

---

2. 你需要解决的问题：

一般需要解决的问题如下：

1. 攻击时间，结束时间（可以从日志上分析）

2. 攻击路径（入侵利用的漏洞之类的）

3. 木马样本取样

4. 检查服务器是否被提权

5. 检查是否还有隐藏后门，遗留文件等（可以从高危网站目录上查看，如upload等目录）

6. 检查网站后台是否有可疑操作日志

---

PS：切记

1. 让客户做好备份

2. 不要随意增删改查文件，任何操作都需要询问客户同意之后进行

3. 特别是删除文件的时候，让网站开发商确认文件是否为网站自身文件，如果不是，让网站开发商自行删除（可以指导他删，但一定是他自己来动手）

4. 上传任何安全工具也要询问客户意见

5. 如遇到安全工具不能运行，需要安装xx驱动等问题，那就使用其他安全工具，不要随意安装驱动，以免服务奔溃。。