当前位置：首页 → 问答吧 → 今天面试死在这个问题上，请大家看看该怎么回答，谢谢！

今天面试死在这个问题上，请大家看看该怎么回答，谢谢！

时间：2011-08-09

来源：互联网

大家好！今天去面试，面试官问我“发现系统中有黑客登陆，你该怎么办”说实话我真没遇到这样的情况，我回答“查看这个用户历史命令并记录，然后kill掉，马上找原因”考官又问“kill掉要是再登陆呢”我没话了！请问各位达人，如果你遇到这样的事情你会怎么处理？谢谢！

作者: ddnyiy 发布时间: 2011-08-09

封帐号,封ip............

作者: turbo 发布时间: 2011-08-09

查找漏洞和后门，打补丁、修改设置、提高安全级别、必要时先封IP、断网。

作者: 老农发布时间: 2011-08-09

想知道这是面的啥职位

作者: 哞哞牛发布时间: 2011-08-09

农哥！这些我说了，这个面试官不知道是不是成心，面试官说“这是一个ERP核心业务，不能停”我又没话了。

作者: ddnyiy 发布时间: 2011-08-09

这个面试官真是很有意思，问了个遍。父母在什么单位、什么职业、爱人是什么单位、什么职业、什么学历。当时很奇怪到现在还是很奇怪，问这个干什么啊！

作者: ddnyiy 发布时间: 2011-08-09

既然不能停，那就得先做好预防。
多高级的领导人，也不是找好医生就能救命的。

作者: 老农发布时间: 2011-08-09

先查看时哪个用户登录，以什么方式登录，kill进程，修改登录用户的密码，查看是否有被添加其他用户，禁用各种远程登录，查看易被黑客攻击的端口是否开放，也就查看系统漏洞。然后一一安全加固！！

作者: njsuse 发布时间: 2011-08-09

安全加固的之前最好检查或测试下，加固内容是否会影响业务软件

作者: njsuse 发布时间: 2011-08-09

先问你咋知道是黑客呢？ERP核心业务的机器是啥？WEB? DI? CI?不同机器不同对待。
如果WEB，不太可能从外面进来，否则防火墙也太烂了，内部的就要绕出去，看从哪个跳板进来的，甚至就是内部的机器，直接找到物理位置，抓现行。
如果真是从外面用什么web注入进来的，一般已经修改了一些web reference地址，变成执行什么东西了，看看http.conf改了就是，跑一跑安全检查的东西，先把漏洞补了，很可能还有一些蛋留下，也要慢慢清。另外就是所有的密码都要改了，密码文件、root执行文件属性等等。

当然，以上都是后续的东西，最根本的是：你怎么知道是黑客或黑客行为？

这一句很讨厌，面试的那位马上会反问你：那你说说都什么样的是黑客呢？
回答：事出反常即为妖。不正常的行为就是。

什么样的不正常？
所有非正常的都是不正常。

那什么样正常呢？
1. 用户，看到特别用户，例如root，只有业余黑客碰上蠢蛋用户才会出现这种情况。。。
2. 进程，除了ERP一些普通的进程之外（可能很多），有某些特殊的玩意儿，这个要看感觉了
3. 性能
4. log，这个很重要，但如果没有自动机，自己看会累死
。。。
总之，感觉最重要

作者: orian 发布时间: 2011-08-09

很有意思的问题~

作者: jiang6lang 发布时间: 2011-08-09