应急响应 台湾服务器密码查询时发现异常应当立即采取的措施

1. 初步确认与隔离

（1）立即查看认证日志：/var/log/auth.log（Debian/Ubuntu）或 /var/log/secure（CentOS）。
（2）确认异常时间点与来源 IP，使用命令：journalctl -u ssh -S "2026-06-01"。
（3）在防火墙层临时封锁可疑 IP，例如：iptables -I INPUT -s 203.0.113.45 -j DROP。
（4）通过云控制台把受影响实例隔离到私有网络或修改安全组，关闭 22 端口公网访问。
（5）如果怀疑已被利用，立即关闭非必要服务（例如数据库对外端口）并开启只读模式或快照备份。
（6）记录每一步操作的时间戳与执行人，便于后续取证与合规报备。

2. 取证与日志采集

（1）导出关键日志：cp /var/log/auth.log /root/forensic/auth.log.copy；确保完整性可用 sha256sum 计算哈希。
（2）收集 SSHd 配置与会话记录：/etc/ssh/sshd_config、last、lastb、who。
（3）保存当前进程列表与网络连接：ps aux、ss -tunap、netstat -anp。
（4）导出系统快照与磁盘映像，避免在未记录的情况下重启或更改文件。
（5）如果涉及跨境或法律问题，及时联系当地台灣 CERT 或执法机关并提交取证数据。
（6）建立事件编号并写入事件日志系统（SIEM）以便后续关联分析。

3. 密码、密钥与权限迅速更换

（1）立刻禁用受影响账户并强制所有管理员在线更换密码或使用新密钥。
（2）使用强口令策略或生成加密密钥对：ssh-keygen -t ed25519 -C "admin@company.tw"。
（3）对数据库与应用层凭证一并轮换，更新配置并重启服务确保新凭证生效。
（4）撤销并重新发行 API Key、OAuth token、第三方服务凭证。
（5）启用两步验证与基于角色的访问控制（RBAC），删除不再使用的本地管理员账号。
（6）记录更换清单并在变更窗口内回滚策略以防业务中断。

4. 配置修复与加固（示例数据）

（1）示例服务器配置与登录尝试统计如下（供参考）：

项	示例值
区域	台湾 (TW)
OS	Ubuntu 20.04
CPU / RAM	4 vCPU / 8 GB
SSH 端口	2222（已改）
24h 失败登录次数	失败 1,243 次（最多来源 198.51.100.23）

（2）安全加固建议：更换默认 SSH 端口、禁用密码认证、只允许公钥登录并使用 Fail2Ban 限制失败次数。
（3）为防止暴力破解，设置 IP 限速与登录白名单，Cloud/托管面板上启用私网跳板（bastion）。
（4）对 Web 服务前端引入 CDN 并启用 WAF 规则以过滤异常请求并缓解 DDoS。
（5）定期更新系统与应用补丁，监控 CVE 风险并在维护窗口部署修补。

5. DDoS 与 CDN 层面应对

（1）在发现异常流量时，第一时间将流量导入 CDN/清洗中心，减轻源站压力。
（2）设置速率限制与异常流量告警（例如每秒请求数阈值），并启用 SYN-cookie 防护。
（3）对 API 接口使用 token 验证与短期签名以防滥用。
（4）准备自动伸缩与黑洞路由策略，重大攻击时进行流量黑洞或分流。
（5）将 CDN 日志与源站日志关联分析，区分正常流量与恶意流量来源国别与 ASN。
（6）与上游网络供应商协作封堵大流量源并保留流量快照用于事后仲裁。

6. 事后复盘与长期治理

（1）完成事件报告，包括时间线、受影响资产、取证摘要与修复措施。
（2）根据教训更新应急预案，明确谁负责隔离、取证、通报与恢复。
（3）实施持续监控：部署 IDS/IPS、SIEM 与行为分析告警规则。
（4）定期进行红队/蓝队演练与密码泄露扫描，评估策略有效性。
（5）如涉及客户数据或法律义务，按法规进行通知并保存所有证据链。
（6）建立备份与恢复验证机制，确保在未来可在 30 分钟内恢复关键服务对外可用性。

来源：应急响应 台湾服务器密码查询时发现异常应当立即采取的措施