应急响应常问面试题 web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗
Windows入侵排查思路: 1.检查系统账号安全 2.查看服务器是否有弱口令,远程管理端口是否对公网开放(使用netstat -ano 命令、或者问服务器管理员) 3.lusrmgr.msc 命令查看服务器是否存在可疑账号、新增账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉 4.用 D 盾或者注册表中查看服务器是否存在隐藏账号、克隆账号 5.结合日志,查看管理员登录时间、用户名是否存在异常 6.检查方法:Win+R 打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”,导出 Windows 日志–安全,利用 Log Parser 进行分析 检查异常端口、进程
Linux入侵排查思路 建立连接后 所有请求 **Cookie的格式都为: Cookie: PHPSESSID=; path=/;** 静态分析: 各种语言的webshell中都会存在**16位数的连接密码**,默认变量为key
1、用户信息文件/etc/passwd root:x:0:0:root:/root:/bin/bash account:password:UID:GID:GECOS:directory:shell 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell 注意:无密码只允许本机登陆,远程不允许登陆 2、影子文件/etc/shadow root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7::: 用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留 3、/etc/passwd 存储一般的用户信息,任何人都可以访问;/etc/shadow 存储用户的密码信息,只有 root 用户可以访问 4、检查计划任务 检查方法: a、单击【开始】>【设置】>【控制面板】>【任务计划】,查看计划任务属性,便可以发现木马文件的路径 b、单击【开始】>【运行】;输入 cmd,然后输入at,检查计算机与网络上的其它计算机之间的会话或计划任 务,如有,则确认是否为正常连接 5、服务自启动: 检查方法:单击【开始】>【运行】,输入services.msc,注意服务状态和启动类型,检查是否有异常服务 6、自动化查杀 病毒查杀: 检查方法:下载安全软件,更新最新病毒库,进行全盘扫描 webshell查杀: 检查方法:选择具体站点路径进行webshell查杀,建议使用两款webshell查杀工具同时查杀,可相互补充规 则库的不足、例如:D盾、CloudWalker 基本历史命令
netstat -antlp|more 查看下pid所对应的进程文件路径, 运行ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 为对应的pid 号) 检查异常进程
检查开机启动项 开机启动配置文件 /etc/rc.local /etc/rc.d/rc[0~6].d 检查定时任务
重点关注 /var/spool/cron/* /etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/* 检查服务
Linux的登录日志查看文件 日志默认存放位置:/var/log/ 查看可登录的账户 cat/etc/passwd|grep '/bin/bash’ 查看所有用户最后的登录信息 lastlog 查看用户最近登录信息 last 其中,/var/log/wtmp 存储登录成功的信息、btmp 存储登录失败的信息、utmp 存储当前正在登录的信息 查看当前用户登录系统情况 who 日志分析
挖矿常用手段 未授权访问或弱口令:Redis 未授权访问、Docker API 未授权访问、Hadoop Yarn 未授权访问、NFS 未授权访问、Rsync 弱口令、PostgreSQL 弱口令、Tomcat 弱口令、SSH 弱口令、Telnet 弱口令、Windows 远程桌面弱口令 远程命令执行漏洞:WebLogic XML 反序列化漏洞、Jenkins 反序列化、Jboss 远程代码执行、Spring 远程代码执行、ElasticSearch 命令执行、永恒之蓝、Struts2 系列漏洞、常见 CMS 的远程命令执行漏洞 新爆的高危漏洞:一般每次爆发新的高危漏洞,都会紧跟一波大规模的全网扫描利用和挖矿 清除挖矿木马
及时隔离主机 定位事件范围,查看文件 webshell 文件的创建时间,对 webshell 取证样本 通过创建时间结合日志分析可疑行为,以及启动用户的其他进程确定漏洞 清除 webshell 及残留文件,修复漏洞 尝试复现攻击路径,还原攻击链 排查 shell 应该用什么命令来进行排查
如何检测webshell(各类webshell工具的特征请查阅上一篇文章) 静态检测: 通过匹配特征码,特征值,危险函数函数来查找 webshell 的方法,只能查找已知的 webshell 动态检测: webshell 传到服务器了,在执行函数时这些对于系统调用、系统配置、数据库、文件的操作动作都是可以作为判断依据 日志检测: 使用 webshell 一般不会在系统日志中留下记录,但是会在网站的 web 日志中留下 webshell 页面的访问数据和数据提交记录 语法检测: 语法语义分析形式,是根据php 语言扫描编译的实现方式,进行剥离代码、注释,分析变量、函数、字符串、语言结构的分析方式,来实现关键危险函数的捕捉方式这样可以完美解决漏报的情况 数据包或者日志,你的分析思路是什么,以及你会用到哪些工具或者那些网站进行查询?
文件上传和命令执行,有看过相关日志吗 文件:可能在系统有上传功能或者有文本编辑器,看一下是否有 base64 加密或者 url 加密,解码验证一下是否有恶意代码 系统日志:有没有 web 容器做了一些危险行为,比如 bash 反弹 shell 等 网络应用日志:有没有异常的网站文件,类似 webshell 等,就有可能是命令执行 给你一个比较大的日志,应该如何分析
如何分析被代理出来的数据流 分析数据包请求头中的 xff、referer 等收集有用的信息 一台主机在内网进行横向攻击,你应该怎么做?
邮件系统异常登录告警、员工上报、异常行为告警、邮件蜜饵告警 推荐接入微步或奇安信的情报数据、对邮件内容出现的 URL 做扫描,可以发现大量的异常链接 钓鱼邮件如何防御、处置
屏蔽钓鱼邮件 1.屏蔽钓鱼邮件来源邮箱域名 2.屏蔽钓鱼邮件来源 IP 3.有条件的可以根据邮件内容进行屏蔽 4.删除还在邮件服务器未被客户端收取钓鱼邮件 处理接收到钓鱼邮件的用户
如何查看区分是扫描流量和手动流量 (扫描数据量大,请求有规律,手动扫描间隔较少) 遇到.exe文件如何处理?
|
|