企業(yè)遭到黑客攻擊怎么處理，應(yīng)急響應(yīng)的整體思路和基本流程-魔扣目錄

我們大致從八個方面闡述，分別是：應(yīng)急響應(yīng)的整體思路、應(yīng)急響應(yīng)的基本流程、應(yīng)急工具集簡介、系統(tǒng)日志及日志分析、威脅情報的作用、常見病毒及分類、理解漏洞和補丁、技能提升建議。

一、應(yīng)急響應(yīng)的整體思路

應(yīng)急響應(yīng)的整體思路，就是上層有指導(dǎo)性原則和思想，下層有技能、知識點與工具，共同推進(jìn)和保障應(yīng)急響應(yīng)流程的全生命周期。

企業(yè)遭到黑客攻擊怎么處理，應(yīng)急響應(yīng)的整體思路和基本流程

原則和指導(dǎo)性思路

3W1H原則：3W即Who、What、Why，1H即How，做應(yīng)急響應(yīng)要帶著疑問來做事，一定要收集清楚這些信息。網(wǎng)絡(luò)拓?fù)涫窃趺礃拥模啃枨笫巧叮堪l(fā)生了什么事？你能做什么？用戶用了什么產(chǎn)品？產(chǎn)品版本多少？病毒庫版本多少？多少主機(jī)中了？主機(jī)是普通PC還是服務(wù)器？服務(wù)器是做什么的？……信息收集越多，對應(yīng)急響應(yīng)越有利。

易失性原則：做應(yīng)急響應(yīng)免不了要做信息收集和取證的，但這里是有一定的先后順序的，即最容易丟失的據(jù)，應(yīng)該最先收集，其它的依次類推。

要素原則：做應(yīng)急響應(yīng)，主要是抓關(guān)鍵證據(jù)，即要素，這些要素包括樣本、流量、日志、進(jìn)程及模塊、內(nèi)存、啟動項。

避害原則：做應(yīng)急響應(yīng)，要做到趨利避害，不能問題還沒有解決，反而引入了新的問題。譬如，自己使用的工具被感染而不知情；給用戶使用不恰當(dāng)?shù)墓ぞ呋蜍浖斐煽蛻糁鳈C(jī)出現(xiàn)問題；給別人發(fā)樣本，不加密，不壓縮，導(dǎo)致別人誤點中毒，最極端的場景就是給別人發(fā)勒索樣本不加密壓縮，導(dǎo)致別人誤點中毒。

技能、知識點與工具

應(yīng)急工具集：應(yīng)急響應(yīng)必要的一套工具集合，可協(xié)助應(yīng)急人員做分析，提高效率。

日志分析：能對日志進(jìn)行分析，包括但不限于系統(tǒng)日志（windows/linux等）、應(yīng)用日志、安全設(shè)備日志（防火墻、防病毒、態(tài)勢感知等）。

威脅情報：安全事件可能不是孤立的，安全站點或搜索站點能找到安全事件的關(guān)聯(lián)信息。

漏洞補丁知識：知道漏洞與補丁的關(guān)系，它們在應(yīng)急響應(yīng)中的角色，了解常見漏洞及補丁。

常見病毒及分類：知道病毒大致的分類以及常見的病毒。

樣本分析：至少能對樣本進(jìn)行一次簡單動態(tài)的分析。

操作系統(tǒng)知識：至少對Windows系統(tǒng)和Linux系統(tǒng)的有一定的知識儲備，知道其基礎(chǔ)的工作原理。

二、應(yīng)急響應(yīng)的基本流程

應(yīng)急響應(yīng)大致可以分為五個部分，其基本流程包括收集信息、判斷類型、深入分析、清理處置、產(chǎn)出報告。

收集信息：收集客戶信息和中毒主機(jī)信息，包括樣本。

判斷類型：判斷是否是安全事件，何種安全事件，勒索、挖礦、斷網(wǎng)、DoS等等。

深入分析：日志分析、進(jìn)程分析、啟動項分析、樣本分析。

清理處置：直接殺掉進(jìn)程，刪除文件，打補丁，抑或是修復(fù)文件。

產(chǎn)出報告：整理并輸出完整的安全事件報告。

勒索和挖礦事件，可以占比50%以上，而且這兩種安全事件業(yè)務(wù)特征極其鮮明，因此可以單獨提流程出來處置。

信息收集表

客戶名稱什么區(qū)域的什么客戶感染主機(jī)數(shù) 感染了多數(shù)臺主機(jī) 補丁情況打了哪些補丁，是否存在補丁漏打中毒現(xiàn)象勒索/挖礦/DoS/僵尸網(wǎng)絡(luò)/后門/木馬帳號密碼確認(rèn)是否有弱密碼對外開發(fā)端口對外開發(fā)了哪些端口開啟的服務(wù) 開啟了哪些服務(wù) 操作系統(tǒng)版本操作系統(tǒng)版本信息客戶需求確認(rèn)客戶具體需求

取證要素：取證并非毫無頭緒的，病毒本身必然有網(wǎng)絡(luò)行為，內(nèi)存必然有其二進(jìn)制代碼，它要么是單獨的進(jìn)程模塊，要么是進(jìn)程的dll/so模塊，通常，為了保活，它極可能還有自己的啟動項、網(wǎng)絡(luò)心跳包。

總之，可以歸結(jié)為如下4點要素：流量、內(nèi)存、模塊、啟動項。

流量分析可以使用Wireshark，主要分析下當(dāng)前主機(jī)訪問了哪些域名、URL、服務(wù)，或者有哪些外網(wǎng)IP在訪問本地主機(jī)的哪些端口、服務(wù)和目錄，又使用了何種協(xié)議等等。

例如，使用Wireshark觀察到，主機(jī)訪問了sjb555.3322.org這種動態(tài)域名，即可粗略猜測這是一個C&C服務(wù)器（如何判斷一個域名是可疑域名，可以參考后文）。

有時候，可以根據(jù)網(wǎng)絡(luò)協(xié)議來直接過濾分析流量。譬如，目前IRC協(xié)議已經(jīng)很少被使用了，但利用IRC建立僵尸網(wǎng)絡(luò)通道的現(xiàn)象仍比較普遍。使用Wireshark，直接在過濾條件里輸入“irc”，回車看是否有相關(guān)流量。

如下圖，剛好看到有相關(guān)的IRC協(xié)議流量，這便是可疑的。

Wireshark執(zhí)行下“Follow TCP Stream”操作，查看到當(dāng)前Botnet主機(jī)正在加入一個IRC頻道。另外，也可以從目的IP下手，可查到這是一個惡意IRC僵尸網(wǎng)絡(luò)服務(wù)器。

網(wǎng)絡(luò)流量這塊，如果具體到對應(yīng)建立的連接，也可使用TCPView工具進(jìn)行查看。如下，我們使用TCPView查到了2條連接：

chenyu-57068a53.localdomain.2671-> 170.178.191.191:6667

chenyu-57068a53.localdomain.2674-> amsterdam.nl.eu.undernet.org.6667

當(dāng)我們分析病毒進(jìn)程遇到困難的時候，其內(nèi)存便是我們查找問題的最后一道防線。

以某Linux服務(wù)器應(yīng)急事件為例子，如下圖，我們找到三個病毒進(jìn)程[ksoftirqd/7]的父子關(guān)系，可以看到，11275拉起了11276和11277，但11275是1號進(jìn)程拉起來的，即init是其父進(jìn)程。

這意味著，實際的父進(jìn)程（原始病毒文件）在當(dāng)前狀態(tài)下是追查不到的了。

進(jìn)程樹已經(jīng)追蹤不到父進(jìn)程了，能下手的地方不多。如反匯編[ksoftirqd/7]對應(yīng)的病毒文件，則對于一次應(yīng)急響應(yīng)事件來說，時間是倉促的（不夠）。但簡單這樣想，即不管病毒文件做了何種混淆、何種加殼，在最終運行于內(nèi)存之上的代碼上，終歸是原始代碼，至少堆棧就有不少信息。

Linux環(huán)境下dump內(nèi)存，可以使用系統(tǒng)自帶的gdb，鍵入命令 gdb attach 11275，attach到病毒進(jìn)程11275，在gdb環(huán)境下，使用dump binary memory file start_addr end_addr將11275有效內(nèi)存空間dump下來。

譬如：file為輸出文件，可以指定為 11275.dump，start_addr是起始地址，end_addr是終止地址，例 dump binary memory /tmp/11275.dump 0x13838000 0x13839000 （這里僅僅只是舉例，實際地址在gdb中獲取）

對于內(nèi)存文件11275.dump，采用命令 strings -n8 11275.dump，獲取長度8及以上的字符串內(nèi)容，我們發(fā)現(xiàn)有如下一行：

/etc/security/ntps.conf

這是在病毒運行內(nèi)存里面發(fā)現(xiàn)的，要么是病毒配置文件，要么是原始病毒文件。

我們 cd /etc/security 并使用 ls -al查看內(nèi)容如下：

可以看到，ntps.conf并非一個配置文件，它是可執(zhí)行的（使用file命令可以知道這是個ELF可執(zhí)行文件），文件修改時間應(yīng)該是偽造的。

三、應(yīng)急工具集簡介

工欲善其事，必先利其器，所謂巧婦難為無米之炊，其實應(yīng)急響應(yīng)亦是如此。應(yīng)急響應(yīng)和安全研究人員，必須事先就備好完整一套的工具集，隨時可以取用。

應(yīng)急工具類型

流量分析工具：常用的流量分析工具是Wireshark、TCPView，也可以使用科來網(wǎng)絡(luò)分析工具，Linux下對tcpdump比較熟悉的，也可以使用tcpdump。

進(jìn)程分析工具：能對進(jìn)程相關(guān)聯(lián)信息進(jìn)行分析的工具，主要是ProcessHacker和PC Hunter等。

啟動項分析工具：主要是AutoRuns工具，便于定位病毒啟動項。

專殺工具：有些流行病毒家族，通常對殺軟有抑制性，或者本身有感染性，需要專殺工具去查殺和修復(fù)正常文件。

輔助工具：WinHex、文件Hash工具、Everything搜索工具、Unlocker文件解鎖工具等。

內(nèi)存掃描工具：主要是MemScanner。

四、系統(tǒng)日志及日志分析

日志類型

Windows系統(tǒng)日志：Windows系統(tǒng)自帶的審計日志、操作日志、故障日志。

Linux系統(tǒng)日志：Linux系統(tǒng)自帶的審計日志、操作日志、故障日志。

應(yīng)用日志：包括但不限于Web應(yīng)用等眾多繁雜的日志。

Windows系統(tǒng)日志

日志路徑：C:WindowsSystem32winevtLogs

必看日志：Security.evtx、System.evtx、Application.evtx

Linux系統(tǒng)日志

日志路徑：/var/log

必看日志：secure、history

多數(shù)日志都是可讀易懂的，譬如很容易就能看出來，下面這個日志記錄了ssh爆破過程。

五、威脅情報的作用

在安全事件中，威脅情報有時候會給我們提供大量有用的信息，甚至直接推動了安全事件的快速響應(yīng)。

威脅情報的元素，包括但不限于域名、URL、IP、文件Hash、文件路徑、文件名、數(shù)字簽名、備案信息、排名信息。

威脅情報的獲取源

谷歌：www.google.com

百度：www.baidu.com

Virustotal：www.virustotal.com

微步在線：x.threatbook.cn

騰訊哈勃：habo.qq.com

Virscan：virusscan.jotti.org

Freebuf：www.freebuf.com

Jotti：virusscan.jotti.org

Scandir：www.scandir.com

Alexa排名：www.alexa.com

備案查詢：beian.cnDNS.com

深信服安全中心：sec.sangfor.com.cn

深信服威脅分析平臺：wiki.sec.sangfor.com.cn

深信服EDR安全軟件中心：edr.sangfor.com.cn

威脅情報中，域名扮演著極為基礎(chǔ)和關(guān)鍵的角色，URL也是以域名為基礎(chǔ)的。這里列舉若干類域名，是屬于黑客常用（偏愛）的域名，取證過程中需要重點關(guān)注這類域名的信息。

隨機(jī)域名（DGA）：

內(nèi)網(wǎng)IP利用特定的隨機(jī)算法生成域名（DGA），同時黑客會利用該隨機(jī)算法注冊域名，這樣就可以避免因為長期與某個域名或者IP通信而被封堵。

例如，內(nèi)網(wǎng)某個源IP短時間內(nèi)大量解析了如下域名（日志截圖）

觀察這些域名，可以發(fā)現(xiàn)，這些域名的“字符特征”看上去就是隨機(jī)的。域名的發(fā)明（DNS）就是為了人類方便記憶而誕生的，所以，我們往往會去注冊一些容易記憶且讀起來朗朗上口的域名，顯然例子中的域名就不具備這一特征。DGA這種反其道而行之的行為顯然不是人訪問網(wǎng)站發(fā)出來的，必然是病毒利用某種算法來實現(xiàn)的。

動態(tài)域名：

動態(tài)域名是子域名開放給其他人使用，并且子域名綁定的IP是可以動態(tài)獲取的，大多數(shù)是免費的，因此常被黑客所使用，如 abc.3322.org （3322.org就是動態(tài)域名提供者，子域名abc.3322.org可以被別人所使用）。

常見的動態(tài)域名提供商：

'f3322.net','3322.org','7766.org','8866.org','9966.org','8800.org','2288.org','6600.org', 'f3322.org', 'ddns.net','xicp.net', 'vicp.net','wicp.net','oicp.net','xicp.net','vicp.cc','eicp.net','uicp.cn','51vip.biz','xicp.cn','uicp.net','vicp.hk','5166.info','coyo.eu','imblog.in','imzone.in','imshop.in','imbbs.in','imwork.net','iego.cn','vicp.co','iego.net','1366.co','1866.co','3utilities.com','bounceme.net','ddnsking.com','gotdns.ch','hopto.org','myftp.biz','myftp.org','myvnc.com','no-ip.biz','no-ip.info','no-ip.org','noip.me','redirectme.net','servebeer.com','serveblog.net','servecounterstrike.com','serveftp.com','servegame.com','servehalflife.com','servehttp.com','serveminecraft.net','servemp3.com','servepics.com','servequake.com','sytes.net','webhop.me','zapto.org','dynamic-dns.net','epac.to','longmusic.com','compress.to','wikaba.com','zzux.com','dumb1.com','1dumb.com','onedumb.com','wha.la','youdontcare.com','yourtrap.com','2waky.com','sexidude.com','mefound.com','organiccrap.com','toythieves.com','justdied.com','jungleheart.com','mrbasic.com','mrbonus.com','x24hr.com','dns04.com','dns05.com','zyns.com','my03.com','fartit.com','itemdb.com','instanthq.com','xxuz.com','jkub.com','itsaol.com','faqserv.com','jetos.com','qpoe.com','qhigh.com','vizvaz.com','mrface.com','isasecret.com','mrslove.com','otzo.com','sellclassics.com','americanunfinished.com','serveusers.com','serveuser.com','freetcp.com','ddns.info','ns01.info','ns02.info','myftp.info','mydad.info','mymom.info','mypicture.info','myz.info','squirly.info','toh.info','xxxy.info','freewww.info','freeddns.com','myddns.com','dynamicdns.biz','ns01.biz','ns02.biz','xxxy.biz','sexxxy.biz','freewww.biz','www1.biz','dhcp.biz','edns.biz','ftp1.biz','mywww.biz','gr8domain.biz','gr8name.biz','ftpserver.biz','wwwhost.biz','moneyhome.biz','port25.biz','esmtp.biz','sixth.biz','ninth.biz','got-game.org','bigmoney.biz','dns2.us','dns1.us','ns02.us','ns01.us','almostmy.com','ocry.com','ourhobby.com','pcanywhere.net','ygto.com','ddns.ms','ddns.us','gettrials.com','4mydomain.com','25u.com','4dq.com','4pu.com','3-a.net','dsmtp.com','mynumber.org','ns1.name','ns2.name','ns3.name','changeip.name','ddns.name','rebatesrule.net','ezua.com','sendsmtp.com','trickip.net','trickip.org','dnsrd.com','lflinkup.com','lflinkup.net','lflinkup.org','lflink.com','dns-dns.com','proxydns.com','myftp.name','dyndns.pro','changeip.net','mysecondarydns.com','changeip.org','dns-stuff.com','dynssl.com','mylftv.com','mynetav.net','mynetav.org','ikwb.com','acmetoy.com','ddns.mobi','dnset.com','authorizeddns.net','authorizeddns.org','authorizeddns.us','cleansite.biz'。

f3322.net、3322.org、7766.org等等這些就是動態(tài)域名提供商。

sjb555.3322.org就是一個動態(tài)域名，在VirusTotal上被標(biāo)記為惡意的。

這類域名常常是病毒的溫床，不管是國家互聯(lián)網(wǎng)應(yīng)急中心，還是中國反網(wǎng)絡(luò)病毒聯(lián)盟，都是重點觀察對象。企業(yè)級用戶很少會主動去使用動態(tài)域名。

近期域名：

域名都是有創(chuàng)建時間（注冊時間）的，Alexa全球排名百萬之內(nèi)的域名，都是很早之前就注冊了的，從幾年到十幾、二十幾年不等。黑客攻擊要逃避防火墻的封堵，極可能在實施的時候，再去注冊一個域名。注冊一個字母長度大于7的域名，費用并不高，甚至可以低至 8元/年（還有些是免費的）。黑客之所以傾向這么做，是因為舊域名，很可能已經(jīng)被安全機(jī)構(gòu)列入黑名單中（也就是說，已經(jīng)被封堵了）。

試想，企業(yè)級用戶，無緣無故為什么要去訪問一個剛剛注冊的域名呢？

例如，防火墻產(chǎn)生日志如下，觀察到，日志產(chǎn)生時間為 2016年1月27日，訪問的站點為 cazwmwez.info。

接下來，我們來查查該域名的注冊時間。

方式：通過VirusTotal查詢即可。在Whois lookup這一欄，如圖，觀察Creation Date即注冊時間為 2016年1月12日，RegistryExpiry Date即過期時間為 1年之后。很明顯，這個是一個剛剛注冊且很短命的域名（此域名來源于某一真實中毒客戶，當(dāng)時介入取證調(diào)查時間點為2016年2月初，也就是說不到1個月），域名的所有者并沒有打算長期維護(hù)。此外，域名的所有者也不是客戶的（詢問客戶得知）。

暗網(wǎng)代理域名：

暗網(wǎng)，也叫Tor網(wǎng)絡(luò)，此網(wǎng)絡(luò)的訪問、傳輸流量是不可追蹤溯源的，因此是黑色產(chǎn)業(yè)鏈的溫床。要訪問暗網(wǎng)，要么病毒自己實現(xiàn)Tor客戶端，要么通過Tor代理來訪問Tor網(wǎng)絡(luò)，而通過Tor代理訪問的流量是未加密的，其直接使用Tor代理訪問Tor站點服務(wù)器。

因此，暗網(wǎng)代理域名是可以被檢測到的。

例如訪問https://abbujjh5vqtq77wg.onion.link/由于二級域名onion.link屬于Tor代理域名，所以認(rèn)定此次訪問行為是Tor網(wǎng)絡(luò)訪問行為，且為非法訪問可能性極高。

頂級域名：

不是所有的頂級域名都需要特別關(guān)注，要從客戶業(yè)務(wù)出發(fā)，去反推客戶主機(jī)為何要訪問相關(guān)的頂級域名。也就是說，這里面有一批頂級域名，實際客戶業(yè)務(wù)是不需要去訪問的，那么剩下的就只有黑客行為了。下表給出的，就是這樣一批頂級域名（包括但不限于以下頂級域名）：

頂級域名申請地區(qū)或機(jī)構(gòu)為何重點關(guān)注 .ru 俄羅斯俄羅斯盛產(chǎn)黑客 .ws 東薩摩亞不知名國家，易申請，難追蹤注冊者 .cc 科科斯群島不知名國家，易申請，難追蹤注冊者 .pw 帕勞不知名國家，易申請，難追蹤注冊者 .bz 伯利茲不知名國家，易申請，難追蹤注冊者 .su 蘇聯(lián) 前蘇聯(lián)雖然解體了，頂級域名還在使用，且多與黑產(chǎn)有關(guān) .bw 伯茲瓦納不知名國家，易申請，難追蹤注冊者 .gw 幾內(nèi)亞比紹不知名國家，易申請，難追蹤注冊者 .ms 蒙塞拉特島不知名國家，易申請，難追蹤注冊者 .mz 莫桑比克不知名國家，易申請，難追蹤注冊者

這里舉個例子，我們在某臺告警主機(jī)上，使用Wireshark抓網(wǎng)絡(luò)網(wǎng)絡(luò)，直接過濾DNS協(xié)議如下：

可以看到，此主機(jī)解析了大量.pw站點的域名，如koqqveoukgjc.pw，.pw是帕勞國家頂級域名，此國家是一個非常小的島國，跟中國大陸都沒有建交，國內(nèi)企業(yè)有需要訪問他們站點的可能性低到零（或者有業(yè)務(wù)在帕勞的可能性）。

六、常見病毒及分類

勒索病毒：能對用戶文件進(jìn)行加密的病毒。

挖礦病毒：消耗用戶CPU、GPU資源，進(jìn)行大量運算，獲取加密貨幣的病毒。

蠕蟲：自動復(fù)制自身的副本到其它主機(jī)的病毒。

木馬：隱蔽性強，多用于監(jiān)控用戶行為或盜取用戶數(shù)據(jù)的病毒。

感染型病毒：能將自身惡意代碼插入正常文件的病毒。

腳本病毒：使用腳本編寫的病毒。

宏病毒：宏是微軟公司為其office軟件包設(shè)計的一個特殊功能，由于其功能強大，使得黑客可以通過精心構(gòu)造的宏代碼來實現(xiàn)惡意操作，這些代碼就叫做宏病毒。宏病毒常以垃圾郵件的方式對用戶進(jìn)行攻擊，因為偽造的Office文檔不容易引起用戶的懷疑，所以當(dāng)用戶毫無防備的打開Office文檔并啟用宏之后，宏病毒便開始了運行，對用戶主機(jī)進(jìn)行惡意操作。

僵尸網(wǎng)絡(luò)病毒：能形成大型的一對多，多對多控制的遠(yuǎn)程控制病毒。

后門：在主機(jī)上開放端口允許遠(yuǎn)程非授權(quán)訪問。

以感染型病毒為例，需要知道并了解其原理：

正常PE文件的執(zhí)行流程入下：

[1] 從PE頭中提取入口點地址EP。

[2] 定位到EP處的PE代碼。

[3] 開始執(zhí)行PE代碼。

被感染的PE文件的執(zhí)行流程入下，其中多了惡意代碼環(huán)節(jié)：

[1] 從PE頭中提取入口點地址EP。

[2] 通過篡改EP或覆蓋原始入口點代碼的方式，使EP指向惡意代碼。

[3] 執(zhí)行惡意代碼。

[4] 惡意代碼執(zhí)行完后，跳回到原PE代碼處執(zhí)行。

雖然感染的總體思路都是讓宿主文件先執(zhí)行惡意代碼，執(zhí)行完后再跳回到原始代碼，但每種病毒家族實現(xiàn)的方式卻不盡相同。我總結(jié)為四類，復(fù)雜度由低到高依次為：偏移式、覆蓋式、加密式、混淆式。

專業(yè)術(shù)語：入口點EP（Entry Point），原始入口點OEP（Original Entry Point）。

偏移式是最多感染型病毒使用的感染方式，病毒會將惡意代碼注入到宿主文件的一個空閑位置，然后修改PE頭中的EP地址，使其指向惡意代碼起始處。被感染文件運行后就會先執(zhí)行惡意代碼，惡意代碼執(zhí)行完成后，會獲取OEP的偏移（每個病毒家族的OEP偏移值藏在不同的地方），然后將執(zhí)行流跳回到OEP處，執(zhí)行宿主文件原始代碼。

七、理解漏洞和補丁

漏洞和補丁，在應(yīng)急響應(yīng)中是不可或缺。如果黑客是通過某種漏洞入侵系統(tǒng)的，而在應(yīng)急響應(yīng)中，無法找出黑客所利用的漏洞，就會意味著，入侵行為可以反復(fù)發(fā)生。在終端側(cè)，就會表現(xiàn)為病毒清理不干凈，殺了又來，所以一定要找出漏洞。

找到漏洞后，就需要打上相應(yīng)的補丁，這樣才是一次完整的處置。

怎么查看系統(tǒng)補丁情況？以Windows為例，直接打開cmd，輸入命令systeminfo即可獲取。

漏洞是什么：漏洞是指一個系統(tǒng)存在的弱點或缺陷。

怎么來的：系統(tǒng)設(shè)計時的缺陷或編碼時產(chǎn)生的錯誤。

有什么后果：黑客的侵入及病毒的駐留，數(shù)據(jù)丟失和篡改、隱私泄露，系統(tǒng)被控制并作為入侵其他主機(jī)系統(tǒng)的跳板，等等。

解決方法：打補丁。