标签：持续可用

1. 立即响应：隔离与保全现场 - 立即断开被确认受控系统与公网的直接连接（或在边界防火墙上封锁可疑IP/端口）。 - 使用只读方式对受影响主机做磁盘快照（建议用dd或第三方工具做镜像），保留原始证据，不在现场主机做写入操作。 - 记录时间线：谁在何时发现、采取了哪些操作、有哪些异常日志。保存网络流量抓包（tcpdump）和服务器系统日志。 -