攻防永远是一场无止境的斗争。

（非专业安全人员，观点仅供参考）

从最近发生的一个服务器被木马攻击的事情说起。 看我们如何参考防疫的思路进行处理。

监控

由于我们之前对服务器进行了 24 小时的监控，巡检，而且我们有一个实时更新的病毒库，所以一旦我们的服务器被挖-矿木马侵入了，我们第一时间就收到告警，我们的工作人员，暂且叫他“杀毒卫士”吧，第一时间赶到案发现场，第一时间进行消杀。

动态清零

木马很快被清除掉了。 可是第二天又冒了出来。我们的杀毒卫士再次出动去消杀，实行动态清零，确保服务器安全。

严防外部输入

后来我们查源头，发现是服务器的外部端口开放了，应用也有漏洞，被木马利用了，所以木马每次都利用这个漏洞植入服务器。因此每次消杀完它第二天又会出现。

发现这个问题后，我们就把服务器的外部端口做了限制，配置了相关的安全组策略。

隔离

除了限制外部端口之后，我们担心木马借入侵的这台机器，作为跳板机，感染内部的其它服务器。所以给这台服务器“赋红码”（打了标签），将这台服务器隔离起来，观察一周，每天都做重点观察。而和这台服务器有网络直通或者间接直通的服务器，我们也“赋黄码”（打了标签），进行观察，看看有没有什么异常。

基本清零

经过一顿骚操作，终于搞定了木马，实现了服务器面基本清零。

但是我们这个时候还是不能放松啊，我们把这一套操作当成基本策略，做成了 SOP，写在我们的技术文档里。

未完待续