1. 立即响应：隔离与保全现场

- 立即断开被确认受控系统与公网的直接连接（或在边界防火墙上封锁可疑IP/端口）。
- 使用只读方式对受影响主机做磁盘快照（建议用dd或第三方工具做镜像），保留原始证据，不在现场主机做写入操作。
- 记录时间线：谁在何时发现、采取了哪些操作、有哪些异常日志。保存网络流量抓包（tcpdump）和服务器系统日志。
- 与柬埔寨当地ISP、数据中心和主管部门（如本地CERT）报告并协作，获取外部日志与流量镜像支持。

2. 事件分类与优先级评估

- 判断攻击类型：DDoS、远控木马、数据泄露、勒索软件或弱口令入侵。根据攻击类型设定优先级（例如：数据泄露>勒索>服务中断）。
- 确定受影响范围：哪些服务、哪些数据库、备份是否受影响、是否存在横向渗透。使用网络拓扑和CMDB核对资产清单。
- 设定恢复目标（RTO/RPO）：业务关键系统的最大可接受停机和数据丢失时间。

3. 取证与清理的详细操作步骤

- 取证：在受影响主机上执行只读磁盘镜像（dd if=/dev/sda | gzip > /mnt/forensic/sda.img.gz），保存内存镜像（LiME）和进程列表（ps aux）、网络连接（ss/netstat）。
- 日志聚合：集中收集/转移syslog、web日志、数据库日志到隔离的分析服务器（最好写到WORM或只读存储）。
- 恶意样本分析：把可疑二进制、脚本提交给离线沙箱或专业团队（VirusTotal/本地实验室）分析。
- 清理：不要在原机上清理后继续使用。对受感染主机建议重装系统并从已验证的备份恢复，先修补补丁、重建账户和密钥，再上生产。

4. 证据后续：凭证旋转与权限收紧

- 立即注销和重设所有可能泄露的凭证：管理员密码、API密钥、数据库账户、SSH密钥和第三方服务凭证。
- 启用强口令策略与多因素认证（MFA），为关键管理账户设硬件令牌或OTP。
- 实施最小权限原则（RBAC），审核并删除不必要的管理员权限与临时账户。

5. 恢复与重建：从可信备份到安全上线

- 验证备份完整性：使用备份的校验和（sha256）和恢复演练记录确认备份可用。
- 在隔离环境（测试环境或沙箱）先恢复并进行完整安全审计（漏洞扫描、配置评估、恶意代码扫描）。
- 上线流程：分阶段滚动发布，先上线非关键流量，监控异常后再切换全部流量。记录回滚点和回滚操作。

6. 长期防御架构：网络与边界防护具体配置

- 网络分段：把管理网络、业务网络、数据库和备份网络物理或逻辑隔离，限制跨段访问。
- 防火墙/ACL：在边界和内网设置最小端口策略，只开放必要服务。使用IP白名单和速率限制。
- 部署WAF与IDS/IPS：对Web层使用WAF（例如ModSecurity、云WAF）并调规则；部署IDS（Snort/Suricata）与IPS并把告警接入SIEM。

7. 可用性与抗DDoS的实操方案

- 与CDN/清洗服务合作（Cloudflare、Akamai、阿里云防护等）接入清洗节点，设置Anycast或流量分发。
- 配置弹性伸缩与负载均衡，确保突发流量能被横向扩展吸收；把非必要端口隐藏在内部网络。
- BGP/网络层防护：与托管商协商BGP转发到清洗中心或使用黑洞过滤作为紧急措施。定期进行DDoS应急演练。

8. 持续监控与自动化响应

- 部署集中式日志与SIEM（如ELK、Splunk），定义关键告警场景（异常登录、数据导出、配置变更）。
- 自动化：用SOAR或脚本实现常见响应（封IP、禁用账户、实施流量限速），缩短MTTR。
- 24/7 SOC或外包：设立值班流程、轮班手册和联络清单，确保有夜间响应能力。

9. 测试、演练与合规

- 定期演练：至少每季度做一次桌面演练、每年做一次全量恢复演练（包括备份恢复、Failover）。
- 渗透测试与漏洞扫描：在代码或配置变更后做动态/静态扫描（DAST/SAST），并对高风险项设修复截止日。
- 合规与法律：了解柬埔寨本地数据保护与通报义务（如必须在X时间内通报用户和监管）。保留审计轨迹以便日后法律取证。

10. 组织与流程建设：人员、文档与采购策略

- 文档化：编写并维护应急响应(runbook)、恢复步骤、联系清单和变更控制流程。
- 培训：定期对运维、开发和管理层做安全意识与应急操作培训。
- 采购策略：优选具本地支持和全球清洗能力的服务商，签署SLA包含安全和可用性指标（MTTR、清洗能力）。

11. 问：在柬埔寨本地化执行长期防御有哪些特殊注意事项？

问：在柬埔寨本地化执行长期防御有哪些特殊注意事项？
答：考虑本地网络供应商的支撑能力与法律要求：与本地ISP建立紧密联络（能快速提供流量镜像、BGP支持）；确认数据主权与通报义务；选择在亚太区域有冗余节点的CDN/清洗厂商以降低延迟和提高可用性。

12. 问：如果备份也被破坏，如何保证能恢复服务？

问：如果备份也被破坏，如何保证能恢复服务？
答：实现三点备份策略（3-2-1原则）：至少保留3份副本、2种媒介、1份离线/异地冷备。确保关键备份保存在离线或WORM存储中并定期做恢复演练。与第三方冷备服务签合同，必要时切换到备用站点。

13. 问：如何衡量长期防御体系是否有效？有哪些KPI？

问：如何衡量长期防御体系是否有效？有哪些KPI？
答：关键KPI包括MTTR（平均恢复时间）、检测到响应时间（MTTD/MTTR）、未授权访问次数、漏洞修复率、备份恢复成功率、演练通过率、DDoS清洗成功率与服务可用率（SLA）。定期汇报并基于这些指标持续改进。

来源：长期防御规划 在柬埔寨服务器受到攻击后如何建立持续可用的安全体系