记2021HVV（HW）期间的一次成长学习记录

现在是2021年4月11号，下午19:05，看了看平台没有异常的告警，又看了看总群的消息，也无报备，某单位小蓝狗，冲了杯卡布奇诺，稍微记录一哈。

看了看去年写的博客，那个时候刚毕业，就被派出去加固服务器，往日场景，历历在目啊。

真是让人怀念呐。MD，现在的心情和当时是一样一样的：我这是造了什么孽？搞安全？

记得2021年3月某一号那天下午，总部开了个会，我不用参加，我在运维机房听的津津有味，听到了HVV这两个关键词，还寻思着：今年还挺早的啊，得亏和我没关系，我就开心的搞我的服务器吧！

怎么都没想到，会开完后，组长把我叫进去（当时就觉得不对劲）：今年HVV又开始了，应该在4月份，现在总部任务下来了，这方面你比较专业（我专业个鬼啊），

你牵头负责吧！（纳尼？）

当时就觉得头皮发麻，恩？啥？我一个？光杆司令吗？抬头看了看大屏幕：cao！很多很多待完成的任务，很多很多，第一个就看着就很他妈难！我问组长，我需要干什么？他一指大屏幕，ALL IN ＡＮＤ　show hand，我爱你妈卖麻花情！

哎，硬着头皮上了，兄弟们，伙伴们，同学们，万事开头难，这句话是真的，刚开始完全不知道要干撒，因为任务清单上面的任务基本不涉及技术，

任务内容出于职业操守，咱就不说了，见谅哈，

全是事务性的工作，沟通和交流占了半壁江山。要知道，咱玩技术的最不擅长的就是这个，我能怎么办？你会怎么办 ?? 一句话，干就完事了！

第一步：联系别的协办部门

下发任务，刚开始不知道联系谁，多问问，一定要多问问前辈。然后打电话，发邮件，组长让我用部门邮箱给协办部门发邮件的时候，我那个时候才明白了什么叫得具有公对公的意识，因为出于习惯，我准备用我的邮箱发。公事公办一直活在我的理论认知中。（原谅我太笨），当我完成了＼第一个部门任务下发的工作后，后面的工作也就顺了起来，我也明白了我所扮演的角色，我是下发任务（说的好听叫commander，说得不好听就是求人办事），最终要的任务完成的结果，我不用每个任务都亲身临场，这样我得累死，而且效率低下，先明白什么任务交给什么部门，协调、规划、进度、总体把控，在这个过程中，我慢慢的适应了节奏。套路都一样：现在应总部要求，要干这么一件事，其中部分工作需贵部协办，直接附件一甩，夹在邮件中，在哪月哪日前完成云云的。构思完成后，一下午发了N个邮件，连打了17个电话，基本每个电话20min吧，为什么要这么长时间的沟通？因为这些任务，在字面上别的部门可能不会理解，记住：要把打电话的那头想的足够的傻逼，你才能更高效的完成工作，勿喷，谢谢。反正那天下午没停。

接着就是第二步，跟进完成情况

因为电话打了，邮件发了，照样有人不屌你，你得跟进，得自己催，强调是应总部要求，需在什么时候前完成，大家都是干活的，思路灵活点，说话不要太冲，把对方的毛捋顺，对方都会给你把活干了，如果真的碰到了哪种不愿意干的，一推再推，实在没办法的，给你说，直接干电话到他们领导那里，然后去自己领导那里说明情况！钱老说过：手里没枪，和有枪不用是两回事，该出手时就出手！

第三步，整理完成情况

发送至总部。其实走完第二步就已经差不多了，就是等他们回邮件就行了。

这个时候，我已经知道了哪个部门是谁负责这种事，平常这几个部门中干活的都是谁，谁活干得好，谁是应付差事，就很明白了，哪些外置非业务系统如空调系统、电力系统是谁管，基本情况是怎么个回事，都会了解一些，包括部门间做交流包含的一些条条框框也都知道了。

终于在三月底，完成了前期准备工作，你以为结束了吗？开玩笑，游戏，才刚刚开始。

磕磕绊绊的完成了前期准备工作，看着任务单中的每一个完成的表项，我都能清晰的回忆起当时怎么给他们下发任务，给他们打电话，编辑邮件的时候反复揣摩、仔细斟酌。

这个过程基本无人过问，都是我问前辈，刚开始问题太多了，后面基本没问题，从刚开始带着问题去找领导，到后面，直接带着方案去让领导选，真是，艰辛。同学们：世之奇伟，瑰怪，非常之观，常在于险远。

清明假后，通知来了，4月8号早上9点，行动开始。

总部群里在不停地让确认系统中有没有哪种软件、哪种应用、哪些框架，比如第一天的天*信防火墙maincgi.cgi参数命令执行漏洞、启明防火墙、天清IDS、Apache solr、通达OAV11.7等有没有这类设备或应用之类的，群里的消息回复的简直很快，晚上看到有的安全厂商发的当天漏洞集合的时候，我才明白，原来总部挺TM牛逼的，基本全是总部让确认过的。

一天过去了，我盯流量分析平台和EDR（不是某信服的）盯得头皮发麻，处理不完的告警、分析不玩的流量、回复不完的群反馈。

第一天过去后，也就是4.8晚上，一天的磨合，干啥都知道了，怎么查资产、主要抓哪个版块流量哪些核心业务系统基本就知道了，

当天晚上确实根据总行的通知找到了一个漏洞进程，以最快地速度提申请，走报批，确认进程重要性，相应服务器资产在谁名下，以关联及业务等级等工作，

其实查找某一个进程以及子进程，找到所在目录，这个进程启用的端口以及停止某一个进程和关联服务是最基础的工作，最重要的是确认和生产的关联度，停止了这个东西有什么影响，是否是核心组件，对业务影响如何等，才是关注的重点。最后确认了这些东西后，批准可以停，直接根据PID就kill掉了。

4.8号HVV开始以来，一直是一个人在战斗，因为大家都在忙自己的事情，每个人手中都有活，也习惯了这个节奏，本来是有一个安全厂商的来做技术支持，但是后面没来，不知道原因，我那个时候就明白了，这是属于一个人的武林。，哪有什么岁月静好，做安全的都要是玩命。

今天是护网第四天，今天没有什么幺蛾子梗出现，后面有时间再写写写吧。本篇涉及技术的不多，多为事务经验类，其实我们技术人很需要提高这类处理事务的能力，

也不知道所写的伙伴们能不能理解，哎也就这回事了。

希望一切安好，大家加油，多多学习，多多进步。