分析“风铃”告警的信息，得知探测来源于服务器区域的 10.20.1.222（虚拟），该 IP 地址先对“风铃”探针发起 ICMP 存活探测，而后扫描了 22、80、443、3306、6379 等常见服务端口。

查找 IPS、态势感知等安全设备，并未发现相关告警，仅在全流量设备和日志管理平台看到该 IP 地址向总部攻击队 IP 地址的 80 端口发起一次请求。

查找资产台账后，得知服务器是正常业务系统所属，并不是漏洞扫描等安全设备，因此推测该服务器遭受了总部攻击队入侵。

1.通过堡垒机登录疑似受控服务器 10.20.1.222 进行主机取证。

2.查看最近登录信息，发现存在非客户所属 IP 地址的 10.11.1.233（虚拟） 通过 admin 用户登录该服务器。查询得知 IP 地址 10.11.1.233 归属于其他分部，以及 admin 用户归总部管理，且总部拥有其合法登录密钥，推测是总部通过其他分部的服务器（10.11.1.233）使用admin用户登录客户服务器（10.20.1.222）。

3.查看当前进程，发现存在 admin 用户启动的名为 you_guess 的可疑进程。

4.查看 admin 用户的历史执行命令信息，发现chmod +x you_guess 命令和 ./you_guess 命令。

5.将样本和证据留存后，立即对服务器进行威胁清除，暂时禁用 admin 用户登录、防火墙封禁 10.11.1.233、停止 ./you_guess 进程、删除恶意样本、删除定时任务等操作，确保不再复发。

6.通过全流量设备和日志管理平台检索，未发现客户其他服务器与 10.11.1.233 等异常 IP 地址存在交互行为，确认受害服务器仅 10.20.1.222 一台。

将可疑样本 you_guess 上传云沙箱分析，确认其存在恶意行为，包括同段探测、信息收集、信息回传等操作。

样本中发现了总部攻击队 IP 地址 10.10.1.1 和用于信息回传的命令内容，与前期可视化监测面板发现的行为对应上了。

协助客户将各类信息汇总，编制报告上交客户总部。