1、内存马你怎么查杀
如果发现了一些内存webshell的痕迹,需要有一个排查的思路来进行跟踪和分析,也是根据各类型的原理, 列出一个排查思路——
1、如果是jsp注入,日志中排查可以jsp的访问请求。
2、如果是代码执行漏洞,排查中间件的error.log,查看是否有可疑的报错,判断注入时间和方法。
3、根据业务使用的组件排查可能存在的java代码执行漏洞,spring的controller了类型的话根据上报webshell的url查找日志,filter或者listener类型,可能会有较多的404但是带有参数的请求。
2、shiro 550 721 有什么区别
Apache Shiro反序列化漏洞:Shiro rememberMe(Shiro-550) Shiro Padding Oracle Attack(Shiro-721)
Shiro 550和721都是密码学中常用的加密算法标准,但它们使用的加密密钥长度和加密算法细节有所不同。
下面是它们的简要区别:
Shiro 550:使用56位密钥进行加密,是DES算法的一种变体。DES算法已经被认为是不安全的,因为它的密钥长度过短,易受到暴力破解攻击。因此,Shiro 550算法已经被淘汰,不再被推荐使用。
Shiro 721:使用128位密钥进行加密,是AES算法的一种变体。AES算法是目前广泛使用的加密算法,具有高度的安全性和可靠性。Shiro 721是对AES算法的一个改进,增加了一些加密特性,使其更加适用于某些特定的应用场景。
综上所述,Shiro 550已经不再被推荐使用,而Shiro 721是目前较为安全和可靠的加密算法之一。
3、fastjson不出网怎么打
使用Fastjson的黑名单功能:Fastjson提供了一个黑名单功能,可以用于禁止某些Java类的序列化和反序列化,可以通过设置一些敏感类的黑名单,禁止序列化和反序列化这些类,从而避免一些恶意攻击。
对Fastjson进行安全加固:对Fastjson进行安全加固,可以避免恶意攻击。可以通过开启自动类型识别检查、限制反序列化对象的深度、限制反序列化对象的大小等措施,提高Fastjson的安全性。
使用其他JSON处理器:如果对Fastjson存在疑虑或者担心其安全性问题,也可以考虑使用其他JSON处理器,比如Jackson、Gson等。这些处理器同样具有高性能和易用性,并且也可以进行安全加固。
fastjson 反序列化攻击是一种严重的安全漏洞,可能会导致应用程序受到攻击和损失
Fastjson反序列化漏洞
判断:
正常请求是get请求并且没有请求体,可以通过构造错误的POST请求,即可查看在返回包中是否有fastjson这个字符串来判断。
原理:
fastjson是阿里巴巴开发的一款将json字符串和java对象进行序列化和反序列化的开源json解析库。
fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。
无回显怎么办:
1.一种是直接将命令执行结果写入到静态资源文件里,如html、js等,然后通过http访问就可以直接看到结果
2.通过dnslog进行数据外带,但如果无法执行dns请求就无法验证了
3.直接将命令执行结果回显到请求Poc的HTTP响应中
4、溯源会用些什么工具或者在线网站,都可以说说常用的服务和对应的端口
查入侵IP,入侵手法(网路攻击事件)的确定等
工具:可以用wireshark进行溯源取证;
Wireshark:Wireshark 是一款免费开源的网络协议分析工具,可以捕获和分析网络数据包。通过使用 Wireshark,您可以追踪网络数据流和操作记录,了解数据的来源、目的和内容等信息。
Sysinternals Suite:Sysinternals Suite 是一组 Windows 系统工具集合,其中包括了很多用于溯源的工具。例如,Process Monitor 可以监视 Windows 系统中的进程和操作记录,用于追踪应用程序和系统资源的使用情况;Regmon 可以监视系统注册表的操作记录,用于追踪应用程序对系统注册表的读写操作。
SIFT:SIFT(SANS Investigative Forensic Toolkit)是一款专业的数字取证工具集,用于支持取证人员对数字媒体进行取证分析。SIFT 包含了很多工具,例如,Autopsy 可以分析磁盘映像文件,Volatility 可以分析内存映像文件,用于追踪系统的操作记录和数据流。
Sleuth Kit:Sleuth Kit 是一款开源的数字取证工具集,提供了一系列用于分析文件系统和磁盘映像文件的工具。例如,fls 工具可以分析文件系统中的文件记录,用于追踪文件的创建、修改和删除记录;
mactime 工具可以分析文件系统中的时间戳记录,用于追踪文件的时间戳信息。在线网站:微步* 安恒威胁情报中心 全国互联网违法和不良信息举报中心 工业和信息化部网络安全管理局
溯源思路:
首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式,通过webshell或者木马去微步分析,或者去安恒威胁情报中心进行ip检测分析,是不是云服务器,基站等,如果是云服务器的话可以直接反渗透,看看开放端口,域名,whois等进行判断,获取姓名电话等丢社工库看看能不能找到更多信息然后收工
5、linux的日志存放在哪个目录下
Linux 的日志文件通常存储在 /var/log 目录下,这是一个系统和应用程序日志文件的默认存储位置。
不同的日志类型存储在不同的子目录下,以下是一些常见的子目录和对应的日志类型:
/var/log/messages:系统日志,包含了操作系统的各种信息、警告和错误等。
/var/log/auth.log:安全认证日志,记录系统的用户登录、认证、授权等信息。
/var/log/syslog:系统日志的一个备份文件。
/var/log/kern.log:内核日志,记录内核级别的信息,例如硬件故障等。
/var/log/dmesg:内核环缓存,包含启动信息、硬件检测和驱动程序的信息等。
/var/log/cron:定时任务日志,记录定时任务执行的情况。
/var/log/maillog:邮件日志,包含了邮件服务器的日志信息。
6、windows事件ID一般是多少
Windows事件ID是用来标识不同事件类型的数字代码。不同类型的事件有不同的事件ID,通常情况下,Windows系统的事件ID是在100到999之间的整数。例如,系统启动时的事件ID为100,关机时的事件ID为200,应用程序错误的事件ID通常在1000以上。
需要注意的是,不同版本的Windows操作系统可能会有不同的事件ID编号范围和对应的事件类型,因此在查看和分析Windows日志时,需要根据具体情况进行理解和处理。
7、为什么aspx的权限会比asp的权限更高
ASPX 和 ASP 都是用于创建动态Web页面的技术,但它们的实现方式略有不同。
ASP 是经典的ASP技术,它使用VBScript或JScript等脚本语言创建动态Web页面。在ASP中,权限控制是通过服务器操作系统的权限机制实现的。
而ASPX是ASP.NET技术中的一部分,它使用C#、VB.NET等编程语言创建Web页面。在ASP.NET中,权限控制是通过.NET框架提供的安全机制实现的。这些机制包括代码访问安全性、角色管理和基于表单的身份验证等。
因此,ASPX的权限控制比ASP更高,因为它基于.NET框架提供的安全机制,这些机制比操作系统的权限机制更强大和灵活。此外,ASPX还提供了更多的安全选项,例如加密会话状态和防止跨站点脚本攻击等。
8、Windows和Linux利用REDIS有什么不一样
redis是一个非关系型数据库,使用的默认端口是6379。常见的漏洞是未授权访问漏洞,攻击者无需认证就可以访问内部数据。
性能:Redis在Linux上运行的性能通常比在Windows上运行的性能更好,这是由于Linux系统的设计和优化使得其能够更好地利用系统资源。
可用性:在Windows上运行Redis时,其可用性通常会受到操作系统的限制,例如系统的最大打开文件数和最大连接数等。而在Linux上,这些限制通常可以通过修改系统配置文件来解决。
安全性:Redis的安全性与其在Windows或Linux上运行的方式无关,但是在实践中,由于Windows和Linux的不同权限模型和安全机制,使用Redis时需要采取不同的安全措施。例如,在Linux上,可以使用文件系统权限和防火墙规则来保护Redis服务器,而在Windows上,需要使用Windows防火墙和用户权限来保护Redis服务器。
9、CRLF注入
CRLF注入(也称为HTTP头注入)是一种攻击技术,攻击者通过注入CRLF字符序列(即回车换行)来改变HTTP头部的内容,从而实现各种攻击目的,例如HTTP响应拆分、HTTP重定向、会话劫持等。
攻击者通常会将CRLF字符序列注入到HTTP请求或响应的参数中,例如Cookie、User-Agent、Referer等。在受害者的Web应用程序中,如果没有对这些参数进行有效的输入验证和过滤,那么CRLF字符序列就会被当作有效的HTTP头部分隔符,并导致HTTP头部的内容被注入。
例如,攻击者可以将以下内容作为User-Agent参数发送给Web应用程序:
User-Agent: \r\n\r\nHTTP/1.1 200 OK
在这个例子中,攻击者在User-Agent参数中注入了CRLF字符序列,以便将HTTP响应头部分隔为两个部分。第一个部分是攻击者自己构造的HTTP响应头部分,第二个部分则是Web应用程序返回的HTTP响应体。
如果Web应用程序没有对这个User-Agent参数进行有效的输入验证和过滤,那么攻击者就可以成功地将自己构造的HTTP响应头部发送给受害者浏览器,从而实现各种攻击目的。例如,攻击者可以在自己构造的HTTP响应头中设置Location字段,将用户重定向到恶意站点,从而实现HTTP重定向攻击。或者攻击者可以在自己构造的HTTP响应头中设置Set-Cookie字段,从而实现会话劫持攻击。
为了防止CRLF注入攻击,Web应用程序应该对所有HTTP请求和响应参数进行有效的输入验证和过滤,包括Cookie、User-Agent、Referer等。在输入验证和过滤时,应该使用白名单过滤的原则,只允许合法的字符集通过,而拒绝所有不合法的字符。同时,Web应用程序应该使用最新的安全框架和库来保护自己,以及及时更新系统和软件的安全补丁。
10、用过哪些设备
椒图和天眼
11、log4j特征,如何判断他攻击成功没
以下是Log4j漏洞的一些特征:
攻击者使用恶意请求中的特定参数名称和值来触发Log4j漏洞。这些参数包括JNDI名称和恶意JNDI URL。攻击者通常会使用反向Shell或远程访问工具来执行任意命令或控制受感染的系统。
攻击者的攻击可能被记录在受感染应用程序的日志中。这些日志通常会显示异常或错误信息,或者包含关于漏洞攻击的详细信息。
受感染的应用程序通常会发起大量的网络请求,尝试将攻击者的命令或代码发送到攻击者的服务器。
要判断Log4j漏洞攻击是否成功,可以采取以下措施:
监视受感染应用程序的日志,查看是否有异常或错误信息,或者是否包含与攻击相关的信息。
监视网络流量,查看是否有大量的请求被发送到攻击者的服务器。
检查系统中的异常或警告信息,例如系统崩溃、不正常的CPU使用率或内存使用率等。
在受感染的系统中进行代码审查,查看是否有与攻击相关的代码或配置文件。
如果发现应用程序受到了Log4j漏洞攻击,应立即采取措施来解决漏洞,并且必须对系统进行全面检查,以确保没有其他漏洞或后门存在。同时,建议采取安全措施,例如升级Log4j版本、禁用JNDI功能、限制应用程序的输入等,以防止类似漏洞的再次出现。
log4j远程代码执行漏洞
原理:Log4j 是Apache 的一个开源项目,是一款基于Java 的开源日志记录工具。
具体操作:
在正常的log处理过程中对**${**这两个紧邻的字符做了检测,一旦匹配到类似于表达式结构的字符串就会触发替换机制,将表达式的内容替换为表达式解析后的内容,而不是表达式本身,从而导致攻击者构造符合要求的表达式供系统执行
修复:升级 Log4j 到最新版本,根据业务判断是否关闭 lookup
12、sql注入特征,看他是否攻击成功
SQL注入攻击通常具有以下特征:
基于输入参数的攻击:SQL注入攻击是基于Web应用程序的输入参数进行的。攻击者通常通过修改输入参数中的某些值来注入恶意SQL语句。
错误提示信息:SQL注入攻击可能会导致Web应用程序返回错误提示信息。攻击者可以根据这些错误提示信息,获得Web应用程序的数据库结构和其他敏感信息。
时间延迟:攻击者可能会在恶意SQL语句中添加时间延迟语句,以便测试数据库的响应时间,从而获取敏感信息。
数据库操作:SQL注入攻击可以让攻击者执行未经授权的数据库操作,例如删除、修改、添加数据等。
为了判断SQL注入攻击是否成功,可以注意以下几点:
检查Web应用程序的日志和错误提示信息,是否包含异常的SQL语句和错误信息。
检查数据库的日志,是否存在异常的数据库操作记录。
检查Web应用程序的用户数据和操作结果,是否存在异常情况,例如修改、删除、添加了未经授权的数据。
进行代码审计,检查Web应用程序的代码是否存在漏洞,例如没有对输入参数进行充分的过滤和验证。
原理(口头语言):用户的输入嵌入到SQL语句中,然后被当做代码执行
成因:未对用户输入的数据做验证或者处理(预编译)
可有看设备报警,SQL注入的报警,能看到攻击时间,攻击ip,payload,如何判断是误报还是真是攻击,如果是真实攻击,怎么判断他攻击是否成功,如果成功怎么处理。先看ip,如果ip是公司内部的再看内部人员有没有相关操作,如果不是公司人员业务的操作那就是攻击了,然后分析payload,分析它写的payload安全设备能否它进行过滤拦截,如果它确实能绕过,那就应该攻击成功了,成功的话赶紧上报,做应急响应,做出相应处理,添加过滤规则,修改数据库中能修改的数据比如管理员账号密码啥的。
SQL注入防护方法:
使用安全的Api
对输入的特殊字符进行escape转义处理
使用白名单来规范化输入验证方法
对客户端输入进行控制,不允许输入SQL注入相关的特殊字符
服务器端在提交数据库进行SQL注入查询之前,对特殊字符进行过滤,转义,替换,删除
预编译
13、给你一个内网ip,告警的内网ip,怎么快速定位到他在那栋楼哪层
找到IP地址所在的子网掩码:通过查看IP地址和子网掩码可以确定这个IP地址所在的子网范围,从而缩小搜索范围。
确定IP地址的MAC地址:可以通过ARP请求获取到IP地址对应的MAC地址,然后查找交换机或路由器的ARP缓存表,找到MAC地址对应的端口。
确定交换机或路由器的位置:根据找到的交换机或路由器的端口,可以通过查看设备的物理位置和IP地址,确定设备的位置。
确定线缆连接位置:如果找到的设备有多个端口,则需要检查哪个端口连接了目标IP地址所在的子网,进而找到线缆的连接位置。
确定线缆的路径:根据线缆的连接位置,可以确定线缆的路径,从而确定目标IP地址的物理位置。
14、几万条告警,怎么快速找到攻击成功的告警,哪些是误报
要把告警日志数据转换为情报数据进行输出分析 告警日志数据主要来自:WAF、IPS「入侵防御系统」、IDS「入侵防御系统」、蜜罐、NTA、EDR、APT、防病毒、堡垒机、态势感知等安全设备。
大多数企业按照自己的需求安装了安全设备提升了自身的感知攻击威胁的能力,但是也正因为如此导致了单日的安全设备告警日志量会变得很多,但是*这些数据不一定就是真实有效的攻击所触发的,也有可能是因为安全设备检测特征规则感知到尝试攻击行为所造成的风险告警;真实有效的攻击也有可能被淹没在里面;为了能够降低分析成本,就需要对这类因“攻击尝试行为“大量触发的风险告警进行数据清洗。通过特征规则将无效告警、误报告警过滤掉,剩下的就是“待分析告警”; 网络之中的例子 —“哪些告警属于无效告警?” 比如说:攻击方通过对目标资产所处的C段进行批量扫描,但C段的资产并非都是处于「活跃」状态,甚至根本没有这个资产。而安全设备还是因为这个「攻击尝试行为」产生了告警,那么这种告警就属于「无效告警」。
“怎么判断告警是误报?” 比如说:攻击方尝试利用现成的「EXP&POC集成脚本工具」对资产目标进行检测扫描,安全设备检测到「攻击尝试行为」中的攻击特征就会产生告警。在通常情况下,可以把告警中的URL的“网页状态码”、“页面回显数据”作为「误报告警」判断的条件之一。—“如何对「待分析告警」关联分析?” 从「待分析告警」中提取攻击特征,通过「攻击特征规则库」进行匹配,看能否获取到「情报线索」。/index/index/index?options=id)%2bupdatexml(1,concat(0x7,user(),0x7e),1) from users%23 ** 比如说,在「待分析告警」数据发现这一段Payload,通过「攻击特征规则库」关联到它属于「ThinkPHP5 – 注入漏洞」。
但我们通过「资产指纹信息库」进行核查发现「受攻击的资产」并没有使用「ThinkPHP5」框架。按照这个分析逻辑,将整个流程脚本化输出。就可以排除「待分析告警」中那些真实的攻击尝试行为,却又未攻击成功的告警。然后,人工再对剩余的少量「待分析告警」进行分析研判,从其中捕获到「真实有效」的攻击事件的可能性相对于以往的分析方式会大的多。如果捕获到「真实有效」的攻击事件,还可以利用「资产指纹信息库」巡查具有同样指纹特征的设备是否也存在类似的漏洞。安全设备进行报警如何看是否是外界的攻击,即是否是误报,或是内部人员进行的操作:查看报警日志,对报警的数据进行分析,看是不是内部人员的操作,还是真实的攻击。
流量分析是否是误报:分析流量数据包,可以用wireshark,分析流量是不是正常的业务操作。
15、内存马怎么手工排查,不用工具,怎么手动杀内存马
内存马如何排查:如果发现了一些内存webshell的痕迹,需要有一个排查的思路来进行跟踪和分析,也是根据各类型的原理,列出一个排查思路。
1、如果是jsp注入,日志中排查可以jsp的访问请求。
2、如果是代码执行漏洞,排查中间件的error.log,查看是否有可疑的报错,判断注入时间和方法。
3、根据业务使用的组件排查可能存在的java代码执行漏洞,spring的controller了类型的话根据上报webshell的url查找日志,filter或者listener类型,可能会有较多的404但是带有参数的请求。
杀马:
终止进程:如果确认某个进程是内存马,可以尝试终止该进程。在Windows系统中,可以通过任务管理器或者命令行工具taskkill来终止进程;在Linux系统中,可以通过命令行工具kill或者pkill来终止进程。
删除文件:如果进程终止后,还需要删除相关的文件,以防止内存马重新启动。在Windows系统中,可以直接删除相关文件;在Linux系统中,需要先终止进程,然后再删除文件。
16、webshell杀了以后,还有外连流量怎么办应急
如果杀掉Webshell后仍然有外连流量,可能存在以下情况:
Webshell仍在运行:在杀掉Webshell后,有可能仍然有外连流量,可能是因为Webshell并没有被完全杀死。可以再次检查系统进程,确认Webshell是否被杀死。
恶意程序已经感染其他系统:恶意程序可能已经感染了其他系统,通过其中的一个系统继续进行攻击。可以在网络边界设备上进行流量监测,检查是否有大量的外连流量,确定是否有其他系统被感染。
攻击者已经在系统中植入了后门:攻击者可能已经在系统中植入了后门程序,通过后门程序继续进行攻击。可以在系统中查找可疑的后门程序或者系统服务,同时在网络边界设备上进行流量监测,检查是否有异常的网络流量。
紧急应对的方法可以包括以下步骤:
切断网络连接:如果发现外连流量很大,可以考虑切断网络连接,以防止恶意程序继续进行攻击。
查杀恶意程序:可以使用杀毒软件或者安全工具对系统进行全面扫描,查杀恶意程序,并对系统进行修复。
清除后门和木马:对于已经植入的后门和木马程序,可以使用安全工具进行清除,或者通过手动查找和删除的方式进行清除。
加强安全防护:对于被攻击的系统,需要加强安全防护,包括更新补丁、强化口令、关闭不必要的服务等,以防止再次受到攻击。
在利用webshell或者是shell查杀工具查杀,查看tmp目录下是非有带有免杀的木马。彻底清除。再到全流量分析的机子上看,是非有经过其他的机器。
拿到攻击ip之后到线上的一些网站查看主机类型,比如360或者微步上,查看是非是傀儡机,vps跳板,或者是国内个人云主机。
服务中了webshell 怎样从日志找webshell位置,被拿shell后怎么应急,怎样快速定位shell
从日志流量文件开始,先定位位置查看敏感目录tmp usr/sbin etc/ssh ,对新创建文件,修改文件等进行查看,找特殊权限文件比如777 。
流量的话从ua和playload去分析。比如菜刀连jsp木马:第一个参数是a-q,这个是不会变的,第二个是编码,第三个是playload。日志的话从找到的shell时间点去关联分析,可以还原攻击手法
快速定位就是看进程和内存看占用时间长和占用率高的
17、怎么做溯源,国外ip怎么溯源,国内ip怎么溯源
溯源思路:首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式,通过webshell或者木马去微步分析,
或者去安恒威胁情报中心进行ip检测分析,是不是云服务器,基站等,如果是云服务器的话可以直接反渗透,看看开放端口,域名,whois等进行判断
获取姓名电话等丢社工库看看能不能找到更多信息然后收工
针对国外IP的溯源方法:
使用网络安全工具进行溯源:可以使用网络安全工具,如traceroute、ping等命令,对目标IP进行探测和跟踪。这些工具可以显示出攻击流量经过的路由器、网关和ISP等信息,帮助我们了解攻击流量的来源地点。查找域名信息:通过WHOIS查询工具查询目标域名的注册信息,包括注册人、注册机构、联系方式等信息,可以从中了解到攻击来源的大致位置。
联系当地ISP:如果攻击者使用的是公共网络,如酒店、咖啡厅、机场等,可以联系当地ISP,寻求协助获取攻击来源的信息。
针对国内IP的溯源方法:
使用网络安全工具进行溯源:同样可以使用traceroute、ping等命令进行溯源,显示攻击流量经过的路由器和ISP等信息,帮助我们确定攻击来源的大致位置。
查找公网IP地址:通过IP地址查询工具查询目标IP的公网IP地址,可以从中了解到攻击来源的大致位置。
联系当地ISP:如果攻击者使用的是公共网络,如网吧、公共WiFi等,可以联系当地ISP,寻求协助获取攻击来源的信息。
18、有没有接触过溯源反制
溯源反制的原理主要是通过混淆和伪装攻击流量,防止攻击者获取真实的攻击来源和行为信息。具体操作包括:
使用代理服务器:通过使用代理服务器,可以改变攻击流量的来源IP地址,使得攻击者无法追踪真实的攻击来源。
使用VPN技术:VPN技术可以在公网上建立一个私有网络,加密传输数据流量,从而防止攻击者获取敏感信息。
使用匿名浏览器:匿名浏览器可以隐藏用户真实的IP地址和浏览痕迹,使得攻击者无法追踪用户的真实身份和行为。
使用虚假数据:在攻击流量中混入虚假的数据,如虚假的IP地址、协议和端口等信息,可以混淆攻击者的追踪。
19、应急响应要干什么
应急响应通常包括以下步骤:
确认安全事件:要及时发现安全事件,快速确认其类型、范围和危害程度,并进行预警和通报。
切断攻击链:要采取有效措施,尽可能快地切断攻击链,阻止攻击扩散和进一步损失。
收集证据:要收集、保留安全事件相关的证据和信息,以便后续的调查和追踪。
分析病毒特征:要对病毒、木马等安全事件的特征进行分析,找出其入侵方式、攻击目的、传播途径等信息,以便防止类似安全事件的再次发生。
应对措施:根据安全事件的类型和程度,采取相应的应对措施,如修补漏洞、清除恶意软件、升级补丁、修改配置等。
恢复业务:在限制损失和消除安全风险的基础上,尽快恢复业务,保障用户和业务的正常运转。
事件总结:要对安全事件的应急响应过程进行总结和反思,发现问题并进行改进,提高应急响应能力。
常见的应急响应事件分类:web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 网站被挂马如何应急(具体流程都是差不多的,看着变)
1.取证,登录服务器,备份,检查服务器敏感目录,查毒(搜索后门文件-注意文件的时间, 用户,后缀等属性),调取日志(系统,中间件日志,WAF日志等);
2.处理,恢复备份(快照回滚最近一次),确定入侵方法(漏洞检测并进行修复)
3.溯源,查入侵IP,入侵手法(网路攻击事件)的确定等
4.记录,归档——–预防-事件检测-抑制-根除-恢复-跟踪-记录通用漏洞的应对等其他 安全应急事件
判断威胁情报是否有误,就看wireshark,进行流量分析判断是否为正常业务操作
20、判断自己是否给getshell(就是给用D盾查杀)
webshell:
查web日志,分析攻击流量
扫webshell
排查网站目录,查看最近更改的文件
shell:
查看未知端口,未知进程
排查恶意流量,锁定感染进程
有安全设备就看安全设备
21、内网报警处理方式(可能会问的会不一样,不会直接问)
首先就要是地位到具体的那一台机器,既然报警那就说明知道了具体的漏洞类型,加相应的补丁打上
以linux为主(一般都会问linux的),查看/var/log/secure系统日志,查看登录失败的记录,还有Linux历史命令–>home目录的bash_histor,查看执行过的命令。
在利用webshell或者是shell查杀工具查杀,查看tmp目录下是非有带有免杀的木马。彻底清除。再到全流量分析的机子上看,是非有经过其他的机器。
拿到攻击ip之后到线上的一些网站查看主机类型,比如360或者微步上,查看是非是傀儡机,vps跳板,或者是国内个人云主机。
如果是个人云主机,就可以通过whois查看是非有最近绑定的域名,或者绑定者的邮箱。
知道邮箱之后就可以反查询出qq号说多少,再利用社工查询到手机号,
到一个知名的网站上查询这个手机号有没有注册过什么网站,可以去这些网站通过撞库的方法登入,这样就可以拿到这个攻击者的身份证,学校,地址这些了。(思路是应急响应;加固;溯源)
22、被攻击后日志文件或者木马文件被删除排查:lsof恢复被删除的文件,然后查日志,查服务,查进程,查看是否有新增的账号
安全设备进行报警如何看是否是外界的攻击,即是否是误报,或是内部人员进行的操作:查看报警日志,对报警的数据进行分析,看是不是内部人员的操作,还是真实的攻击
流量分析是否是误报:分析流量数据包,可以用wireshark,分析流量是不是正常的业务操作
23、服务中了webshell 怎样从日志找webshell位置,被拿shell后怎么应急,怎样快速定位shell
从日志流量文件开始,先定位位置查看敏感目录tmp usr/sbin etc/ssh ,对新创建文件,修改文件等进行查看,找特殊权限文件比如777 。
流量的话从ua和playload去分析。比如菜刀连jsp木马:第一个参数是a-q,这个是不会变的,第二个是编码,第三个是playload。日志的话从找到的shell时间点去关联分析,可以还原攻击手法
快速定位就是看进程和内存看占用时间长和占用率高的
24、分析日志用什么工具
使用日志分析工具,如LogForensics,Graylog,Nagios,ELK Stack等等
25、Owasp top 10漏洞原理
注入攻击:攻击者在Web应用程序中注入恶意代码,从而可以获取对应用程序的控制权。注入攻击通常利用输入验证不足、错误的编码和解码、错误的数据库配置等漏洞进行。
跨站脚本攻击(XSS):攻击者通过在Web应用程序中注入恶意脚本来攻击用户。这种攻击通常会利用Web应用程序中对输入数据的不充分验证和处理漏洞。
无效身份验证和会话管理:攻击者通过伪造用户身份,绕过身份验证和会话管理机制,从而获取对Web应用程序的控制权。这种攻击通常利用会话管理中的漏洞,如会话劫持、会话固定、会话注销等漏洞。
暴露的敏感数据:攻击者通过窃取或泄露Web应用程序中的敏感数据,如密码、信用卡号等,从而对用户或组织造成损害。这种攻击通常利用Web应用程序中对敏感数据处理的漏洞,如不正确的访问控制、加密和解密问题等漏洞。
安全配置错误:攻击者利用Web应用程序中的安全配置错误,如错误的默认配置、不必要的服务、弱密码等漏洞,从而获取对Web应用程序的控制权。
跨站请求伪造(CSRF):攻击者利用用户在登录状态下对Web应用程序的信任,向Web应用程序发起恶意请求。这种攻击通常利用Web应用程序中对输入数据的不充分验证和处理漏洞。
不安全的加密传输:攻击者可以通过窃取或篡改传输过程中的数据,从而获取敏感信息。这种攻击通常利用Web应用程序中使用的不安全加密算法和协议,如不安全的SSL/TLS协议等漏洞。
不安全的组件:攻击者利用Web应用程序中使用的不安全组件,如第三方组件、插件、库等,从而获取对Web应用程序的控制权。
访问控制不当:攻击者通过不当的访问控制,绕过应用程序的安全限制,从而获取对Web应用程序的控制权。这种攻击通常利用Web应用程序中对访问控制的不充分验证和处理漏洞,如不正确的授权、会话劫持、逻辑错误等漏洞。
26、内存马有几种类型
内存马是一种在受感染的主机内存中运行的恶意软件。一般来说,内存马可以分为以下几种类型:
注入型内存马:通过利用漏洞将恶意代码注入到正常进程中,从而在内存中运行。
自执行型内存马:将恶意代码写入自启动项,启动后自动运行。
进程注入型内存马:利用进程注入技术,在受感染进程的内存中运行恶意代码。
Hook型内存马:利用Windows API的Hook机制,修改进程中的关键函数,从而运行恶意代码。
要判断内存马的类型,可以使用反病毒软件或专门的安全工具对受感染主机进行扫描和分析。一般来说,不同类型的内存马会留下不同的痕迹和特征,比如某些进程的不正常行为、异常的网络连接等等。
针对不同类型的内存马,处理方法也会有所不同。一般来说,可以采取以下措施:
注入型内存马:修复漏洞、升级软件,加强网络安全防护等方法来预防类似攻击;对已经感染的主机,可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。
自执行型内存马:可以通过清理自启动项、卸载恶意程序等方式来清除内存马。
进程注入型内存马:可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。
Hook型内存马:可以通过还原Hook、修复关键函数、杀掉受感染进程或卸载恶意程序等方式来清除内存马。
27、 正向代理 返向代理的区别
正向代理和反向代理是两种不同的代理服务器架构。
正向代理(Forward Proxy)是代理服务器位于客户端与目标服务器之间的一种代理方式。客户端发送请求时,先将请求发送到代理服务器,然后代理服务器再将请求发送到目标服务器。在这个过程中,客户端并不知道请求是由代理服务器发出的,只知道代理服务器的地址。正向代理常用于客户端无法直接访问目标服务器的情况下,比如防火墙的限制、访问限制等。
反向代理(Reverse Proxy)是代理服务器位于目标服务器与客户端之间的一种代理方式。客户端发送请求时,请求先到达反向代理服务器,然后由反向代理服务器将请求转发到目标服务器,目标服务器将响应发送给反向代理服务器,最后再由反向代理服务器将响应发送给客户端。在这个过程中,客户端不知道请求是由目标服务器响应的,只知道反向代理服务器的地址。反向代理常用于负载均衡、缓存、安全等方面。
在实际应用中,常常使用反向代理作为Web服务器的入口,来处理负载均衡、安全过滤、缓存等问题;同时使用正向代理来提高用户体验,隐藏客户端真实IP地址,保护隐私等
28、挂马怎么排查啊(xss webshell)
确认是否被攻击:可以通过检查网站页面源代码、访问日志、异常流量等方式,确定网站是否被攻击。
分析攻击方式:分析黑客攻击方式,了解攻击者的手段,比如是否是通过SQL注入、文件上传漏洞等方式进行攻击。
定位被攻击的文件:查找被攻击的文件,一般包括Web服务器的相关文件、网站源代码、数据库等,可以通过检查文件的时间戳、比对文件的MD5值等方式进行确认。
清除恶意代码:一旦确定被攻击的文件,需要清除恶意代码,可以手动清除或者使用工具进行清除。同时需要注意备份重要数据,以免误操作导致数据丢失。
安全加固:排查完恶意代码后,需要对系统进行加固,避免类似攻击再次发生,可以使用一些安全工具或者参考安全加固手册进行操作。
验证清除结果:最后需要对系统进行全面验证,确保清除工作的完整性和有效性,避免留下后门或者未发现的漏洞等问题。
网站被挂马如何应急
1.取证,登录服务器,备份,检查服务器敏感目录,查毒(搜索后门文件-注意文件的时间, 用户,后缀等属性),调取日志(系统,中间件日志,WAF日志等);
2.处理,恢复备份(快照回滚最近一次),确定入侵方法(漏洞检测并进行修复)
3.溯源,查入侵IP,入侵手法(网路攻击事件)的确定等
4.记录,归档——–预防-事件检测-抑制-根除-恢复-跟踪-记录通用漏洞的应对等其他 安全应急事件
入侵排查的流程
1、检查系统账号安全查看服务器是否有弱口令,远程管理端口
是否公开查看服务器是否有可疑账号:cmd输入lusrmgr.msc命令查看服务器是否存在隐藏账号、克隆账号结合日志,查看管理员登录时间,用户名是否存在异常
2、检查异常端口、进程检查端口连接情况,是否有远程连接、可疑连接:a、netstat -ano查看目前的网络连接,定位可疑的ESTABLISHEDb、根据netstat 定位出的pid,再通过tasklist命令进行进程定位 tasklist | findstr “PID”
3、检查启动项、计划任务、服务win+r:输入msconfig,查看异常启动项win+r:输入regedit,打开注册表,查看开机启动项
4、检查系统相关信息win+r:输入systeminfo查看系统信息
5、日志分析win+r:输入eventvwr.msc,打开事件查看器导出应用程序日志,安全日志,系统日志,利用log parser分析
29、什么是蜜罐
就是一台全是漏洞的靶机,吸引黑客来进攻蜜罐系统,然后掌握黑客的信息 (就类似于诱饵)
尝试搭建微步的Hfish蜜罐或者其他的(获取经验)
网上常见面试问题:
那么如果叫你部署一个蜜罐,你会开放哪些端口,为什么//你认为企业的主机哪些端口存在风险//你认为企业应该注意哪些地方的加固
21端口:FTP文件传输协议端口,用来捕获黑客的FTP爆破行为
22端口:SSH端口 链接Linux主机SSH服务的端口,用来捕获黑客的SSH爆破行为
23端口:Telnet服务,命令执行服务,用来探测黑客对于telnet的爆破
80端口/443端口:WEB服务的端口,用来捕获黑客的WEB攻击行为特征
1521:oracle数据库开放端口,捕获黑客的oracle爆破行为,UDF命令执行等行为
3306:MYSQL端口,用来捕获黑客对于mysql数据库的爆破行为,UDF命令执行等行为
3389:Windows远程桌面端口,用来捕获黑客的爆破行为
下面的相对来说不重要
6379端口:REDIS端口,捕获黑客REDIS未授权访问的攻击,黑客利用redis写ssh秘钥,写webshell,执行计划任务等的攻击
445端口:SMB服务端口-黑客利用永恒之蓝Enternalblue的攻击行为,黑客的SMB账号爆破(通俗简单理解,爆破windows账号密码)
1433端口:Microsoft SQLserver端口,用来捕获黑客爆破1433端口的行为,并且查看黑客利用sqlserver xp_cmdshell,sp_cmdshell等组件命令执行的操作,存储过程的利用
暂无评论内容