分类目录应急响应

某内网k8s集群主机安全告警存在ssh爆破成功的记录，上机排查发现该主机存在长达几个月的异常ssh登录，每天固定凌晨0点-4点出现ssh登录记录，并且同一个ip的ssh登录失败和成功的记录交叉出现。

初步判定这是一起非入侵导致的应急事件，但是该如何定位k8s容器出现异常ssh登录的原因呢？

在入侵排查过程中，检索最近的文件变动是非常重要的一个步骤。而Windows中并没有像Linux那样的find命令可以支持查找指定时间段内变动的文件。而命令行的everything（es）的出现刚好弥补了Windows命令行文件查找的功能。

k8s集群中某台主机请求恶意域名触发主机安全告警，但是排查发现被告警的是负责集群dns解析的主机，并发真正发起恶意请求的主机/容器。这类场景下如何才能快速排查出存在漏洞的业务或服务？

k8s场景下如何应急响应？

内存马的排查方式汇总。内存马的原理分析网上有很多文章，这里就不介绍了。通过实验分析如何在实战环境中快速定位内存马。

在日常的应急响应中经常会出现Linux主机发起恶意的dnslog请求，但是找不到对应触发的进程。在用户态下没有好的监控方式，这里用到systemtap来通过内核的方式监控。

最近一次真实的应急场景，背景如下：

1. 主机安全告警存在webshell。
2. 木马文件名为php。同时/tmp目录下存在大量php临时文件。
3. Nginx访问日志中存在大量扫描器流量，但木马文件生成时间未发现对应的异常请求。
4. 该机器开通了waf，但扫描器的ip是被加白的（并非外网恶意扫描）。