看一個人心態，如你在意人家評論的，那麼你就會想著去反駁對方，這種做法可能會讓更多人攻擊您，最終讓自己過的非常不開心，其實可以學一下名人，他們因為是名人，閒言碎語肯定非常多，如他對每個人負面都在意的話，那他就是名人有能多開心？所以我們要保持一種心態用正向去看待，每個人站的角度不一樣看待問題也就不一樣，如嫉妒你的人他們在網路攻擊你那是因為他嫉妒你某個成就，這種攻擊用正向去看待說明某些方面讓人嫉妒了是好事，還有很多等等負能量攻擊你同樣用正向去理解對方自然就不理會這些了。

我是一個工業設計師，經常和客戶打交道，有時團隊設計的產品客戶不滿意，或有些客戶喜歡楷小便宜故意說不滿意，其實是讓您多做點設計方案，還有更狠的直接攻擊你說您設計垃圾做不到他們標準非常難聽的話，雖然自己明白客戶意思，但我們不會對立點破，還是一樣耐心對待服務做到他們就是叼難客戶無話說，自然會的到感化這些人群，最終還會變成正向思維，所以只要大家一直堅持用正能量去感化對方，這世界還是美好的。再此發一些我們以前設計的產品給大家欣賞一下，喜歡的給我一個贊。

未知威脅永遠存在，網路要麼已經被攻陷，要麼正在被攻陷的路上。所有安全從業人員都希望自己能開啟上帝視角，能看清駭客攻擊，能應對0Day漏洞，能阻止APT攻擊…….但事與願違，更多時候我們對駭客攻擊一無所知。

更可怕的是，我們既不知道駭客是怎麼進來的，也不知道駭客拿走了什麼，更不知道駭客留下了什麼。面對駭客攻擊時，企業受到了多大損失，這是所有企業CEO最關注的問題。比如，資料庫是否被竊取、敏感資料是否洩露、業務程式碼是否洩露等問題。

Question 1

企業受到了多大損失？

99%企業都無法確定駭客到底“拿走”了什麼，這比入侵本身更可怕。試想一下，如果小偷進家裡了，但是你卻不知道自己丟失了什麼，這意味著“警察叔叔”也愛莫能助。作為一個CEO、CIO或CTO，他們也許不直接負責IT安全，甚至只有少部分人對此能有較為深刻的理解。但如果“天花板”墜地時，他們一定是首要責任人。例如之前索尼影視、南韓金融公司KB Financial、AOL美國線上等一大批不同行業機構高管都因為駭客攻擊帶來的巨大損失而不得不引咎辭職。

在面臨不同等級的入侵事件時，企業的應對策略是完全不同的。因此，如何評估駭客入侵對企業造成的損失事關重大。透過準確的入侵損失評估，既能夠有效降低應對攻擊成本，也有利於企業品牌制定合理的公關應對策略。但這也並非易事，如果僅僅依靠IPS、IDS等傳統檢測手段，很容易被駭客繞過，會出現大量誤報、漏報。

此外，因為流量加密等手段廣泛應用，想要透過網路端的流量分析來確認駭客異常行為已經不可能，只能將目光聚焦到主機內部。雖然駭客攻擊手段多種多樣，但其攻擊行為通常都會在伺服器上產生對應的操作痕跡。因此，駭客的攻擊行為通常都是有跡可循，只需記錄這些異常操作行為，並透過大資料分析，就可確定其攻擊行為和帶來的危害。例如，駭客在竊取敏感資料時，將會執行特定的資料庫操作，透過分析該行為就能判斷駭客拿走了哪些資料。

Question 2

駭客是怎麼進來的？

企業負責人最關注的是駭客拿走了什麼，而安全人員往往最關注的是駭客是怎麼進來的。不知攻，焉知防？安全人員需要結合資產狀況、入侵的攻擊路徑等資訊來確定受攻擊影響的資產狀況。根據駭客殘留痕跡的位置，並向上或向下回溯其它伺服器，確定被駭客攻擊的“缺口”。

例如，透過分析系統的登陸日誌來查詢異常登陸情況，以及檢查網路訪問日誌查詢失陷主機。基於多日誌的綜合分析，分析駭客入侵期間的所有操作，就可以還原完整攻擊過程，確定入侵攻擊的入口。

Question 3

駭客還留下了什麼？

駭客就像幽靈一樣，在入侵伺服器後，往往會留下多個後門，為下次入侵提供便利性。舉個簡單例子，駭客在攻入某臺伺服器後，將分階段埋入多個入侵點，並在某次攻擊時啟用其中一個後門，典型“狡兔三窟”。例如，寫入計劃任務以重新啟動後門。植入一些程式程式碼以備後續再次入侵站點。

因此，入侵事件之後，安全人員需要透過排查關鍵位置，來確定殘留問題，比如是否存在殘留計劃任務，是否存在一些尚未啟動的後門程式，是否在業務服務中植入一些特定程式碼等。

Solution

三大問題，一個對策

駭客是怎麼進來的，又拿走了什麼，以及留下了什麼？如何解決這三大難題是擺在所有企業安全人員面前的一大難題。系統本身並不能詳細記錄程序啟動、主機操作等日誌，而基於Agent重新採集主機資料，將為安全事件分析提供豐富的資料支撐。

三大問題，一個對策。青藤星池·大資料分析平臺，使用大資料技術儲存主機日誌，從安全形度引導客戶對日誌進行查詢與分析，發現駭客入侵的蛛絲馬跡，還原攻擊現場。產品基於ES系統，可在5s內獲得查詢結果，同時對TB級資料進行統計分析，並保證資料至少保留180天，並可匯入其他系統使用。

青藤能夠提供獨有的關鍵事件資料，包括操作審計日誌、程序啟動日誌、網路連線日誌、DNS解析日誌等。每一個程序啟動過程都會被記錄下來，並且可以與網路連線日誌、DNS解析日誌進行關聯。這將助力安全人員快速精準定位問題，徹底解決透過傳統日誌進行溯源時只能定位到哪臺機器被黑，但是無法定位到具體程序的問題。

此外，青藤大資料分析平臺，提供自研QSL語法，採用”欄位名+連線符+查詢關鍵字“的檢索方式，具有極強的擴充套件性與靈活性，可跨日誌查詢資料，發現數據特點與安全線索。允許使用者使用SQL式的語法查詢，如下圖所示：

select * from net_connect where dst_port=3306 or src_port=3306

Process

實踐過程：一個APT後門排查過程

在日常繁瑣的運維工作中，對伺服器進行安全檢查是一個非常重要的環節。在駭客攻擊之後，如何深入調查失陷成因與影響範圍尤為重要。下文將基於青藤大資料分析平臺，深入分析一個APT後門排查過程。

所謂的網路攻擊我想到了兩層意思：言語攻擊、網路技術攻擊

言語攻擊：視攻擊效果看處理辦法分為3種，無視、舉報、報警。

網路技術攻擊：

此類攻擊是防不勝防的，任何伺服器或電腦不敢說是安全的。只有相對安全之說。

如果是我被網路攻擊我要做的有以下操作

在被攻擊前所有網路操作人員都要養成幾個習慣，可以減少很多麻煩。

1、備份的習慣，無論何時何地出現什麼狀況，我都可以利用備份的資料進行恢復。

2、防毒的習慣，定期對自己的電腦或區域網裝置進行防毒，並對防毒軟體經常實時更新，儘量降低病毒入侵。

3、設定密碼的習慣，此時設定的密碼不論是賬戶還是檔案都需要設定密碼並且設定密碼複雜性要包含字母數字加標點，增加攻擊的複雜性。

4、系統更新的習慣，計算機或伺服器要實時更新系統，修補穩定的補丁，儘可能防止補丁漏洞攻擊。

5、定期清理系統垃圾的習慣

被攻擊時或被攻擊後我會有以下操作

1、切斷網路，最好的辦法是拔掉網線。

2、利用防毒軟體反覆防毒。

3、開啟防火牆。在開始——控制面板——windows防火牆——開啟或關閉的防火前——關閉，如果防火牆是關閉的單機允許程式或功能透過防火牆將所有可疑程式及遠端訪問對勾去掉並儲存。

4、關閉遠端連線。計算機右鍵屬性——遠端設定——遠端——不允許連線到這臺計算機。

6、關閉可疑程序。ctrl+alt+delete進入程序介面關閉可疑程序。

7、檢視系統日誌。尋找被攻擊的原因，並做防範。

8、資料恢復。檢視破壞軟體並進行資料恢復。

如果電腦被攻擊造成硬體損壞可能需要更換CPU等一些裝置了這種惡意病毒已經很少有人用了。如果電腦被攻擊進不了系統，就需要重做系統了。