常规漏洞处置方案

收集下常规漏洞处置方案，在生产环境中，基本上首先都要封禁攻击者IP。

升级免疫网络，基因式终端网卡绑定，对身份严格控制审计，对发出的任何数据做到严格验证封包。

升级Struct2框架，在不影响业务前提下，对lib目录中对应jar包进行替换。

封禁攻击IP，对用户输入进行验证，过滤特殊字符，使用类型安全的sql参数，业务代码中检测注入点。

封禁攻击IP，对于存储型攻击，找到业务代码进行修复，过滤特殊字符串，严格检测用户输入，对用户上传文件进行检测。

封禁攻击IP，对系统使用的Web插件进行定期插件检测，使用安全的Web插件，关注相关插件漏洞。

封禁攻击IP，及时删除攻击文件，配置好服务器FSO权限，对asp上传文件进行严格审核，设置上传白名单。

封禁探测IP，系统可以采取动态口令验证，定期更改口令，系统强制使用强口令。

封禁攻击IP，使用第三方的防御策略来设置过滤。

封禁探测IP，系统可以采取动态口令验证，定期更改口令，系统强制使用强口令。

封禁攻击IP，对敏感字符进行转义，对参数进行过滤，系统少用或者禁用命令执行函数。

封禁攻击IP，查询语句使用数据库提供的参数化查询接口，对特殊字符进行转义或者编码处理，严格限制变量类型、数据长度以及操作权限。

保证数据库安全，防止被暴库泄露用户信息，重视邮件系统信息以及用户敏感信息保护。

各类文章链接或文件一律不点击、不查看、不下载、不传播。

封禁攻击IP，根据厂商进行升级补丁修复漏洞。

封禁攻击IP，根据业务需求，关闭没必要RDP服务，更新RDP版本，系统账号设置强密码，限制密码尝试次数。

封禁攻击IP，找到木马来源，切断入口；找到木马守护进程并杀死，然后杀死木马进程；持续监视服务器资源消耗，发现异常进程及时处置。

1.断网处理，防止勒索病毒内网传播感染，造成更大的损失；

2.查找样本和勒索相关信息，确认是哪个勒索病毒家族的样本；

3.确认完勒索病毒家族之后，看看是否有相应的解密工具，可以进行解密；

4.进行溯源分析，确认是通过哪种方式传播感染的进来的，封堵相关的安全漏洞；

5.做好相应的安全防护工作，以防再次感染。