檢測到入侵行為后怎么辦

檢測到入侵行為后應對辦法如下：

1. 核實信息：和報告人核實信息，確認服務器/系統是否被入侵或者根據服務器的異常或故障判斷，比如對外發送大規模流量或者系統負載異常高等，這種情況一般是運維工程師發現并核實的。

2. 現場保護：安全事件發生現場要保存第一現場重要信息，方便后面入侵檢測和取證。需要保存現場環境(截圖)、攻擊者登陸情況(截圖)等等重要信息；

3. 服務器保護：這里的現場保護和服務器保護是兩個不同的環節，前者注重取證，后者注重環境隔離。核實機器被入侵后，應當盡快將機器保護起來，避免被二次入侵或者當成跳板擴大攻擊面。此時，為保護服務器和業務，避免服務器被攻擊者繼續利用，應盡快歉意業務，立即下線機器；如果不能立即處理，應當通過配置網絡ACL等方式，封掉該服務器對網絡的雙向連接。

4. 影響范圍評估（運維/開發）：一般是運維或者程序確認影響范圍，需要運維通過日志或者監控圖表確認數據庫或者敏感文件是否泄露，如果是代碼或者數據庫泄露了，則需要程序評估危害情況與處置方法。主要從具體業務架構、IP及所處區域拓撲等、確定同一網絡下面服務器之間的訪問等方面入手，由此確定檢查影響范圍，確認所有受到影響的網段和機器。

5. 在線分析（安全人員/運維）：這時需要根據個人經驗快速在線分析，一般是安全人員和運維同時在線處理，不過會涉及多人協作的問題，需要避免多人操作機器時破壞服務器現場，造成分析困擾，該階段不是完全依靠人工可以借助安全工具或者日志審計工具進行。

6. 安全相關的關鍵文件和數據備份（運維）：對重要數據進行備份以防止二次入侵，可以打包系統日志、打包web日志、打包history日志、打包crontab記錄、打包密碼文件、打包可疑文件、后門、shell信息進行備份或者上傳其他服務器。

7. 深入分析(安全人員)：初步鎖定異常進程和惡意代碼后，將受影響范圍梳理清楚，封禁了入侵者對機器的控制后，接下來需要深入排查入侵原因。一般可以從webshell、開放端口服務等方向順藤摸瓜。

8. 整理事件報告（安全人員）：事件報告需要包含分析事件發生原因、分析整個攻擊流程、分析事件處理過程、分析事件預防和總結，但是除此以外還可以保護其他信息。

回答所涉及的環境：聯想天逸510S、Windows 10。