前言
护网的定义是以国家组织组织事业单位、国企单位、名企单位等开展攻防两方的网络安全演习。进攻方一个月内采取不限方式对防守方展开进攻,不管任何手段只要攻破防守方的网络并且留下标记即成功,直接冲到防守方的办公大楼,然后物理攻破也算成功。护网是国家应对网络安全问题所做的重要布局之一。
护网随着中国对网络安全的重视,涉及单位不断扩大,越来越多都加入到“护网”中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。随着大数据、物联网、云计算的快速发展,愈演愈烈的网络攻击已经成为国家安全的新挑战。护网行动是由公安机关组织的“网络安全攻防演习”,每支队伍3-5人组成,明确目标系统,不限攻击路径,获取到目标系统的权限、数据即可得分,禁止对目标实施破坏性操作,对目标系统关键区域操作需得到指挥部批准。
温馨提醒:全文阅读完需5分钟左右
废话不多说 直接上干货
HW面试相关问题
自己写一段面试开场白(自我介绍),没有可参考下面的内容
工作时间履历,项目经历,成果,技术学习途径
告警监控组
各位老师好我是XXX,来自XX地区,目前在腾讯T1中心担任安全服务工程师,日常工作主要是负责渗透测试/安全运维、HW、重保、应急响应等相关工作,下面简单介绍一下我的工作经历。
目前接触安全服务工作XX年了,2019年参加XX国家级/省级HW项目,2020年参加XXX重保项目……………………..,2021年参加XXX渗透测试项目,前期主要协助客户梳理资产、安全整改、安全加固、策略优化等等,HW期间主要担任角色是告警监测人员/分析研判人员/溯源反制人员/应急处置人员,主要工作是通过安全设备监控恶意攻击事件(WEB、网络攻击),将发现的可疑攻击事件上报给分析研判组成员进行分析研判,协助研判组成员对事件进行分析、提供恶意样本等等。
分析研判组
各位老师好我是XXX,来自XX地区,目前在腾讯T1中心担任安全服务工程师,日常工作主要是负责渗透测试/安全运维、HW、重保、应急响应等相关工作,下面简单介绍一下我的工作经历
目前接触安全服务工作XX年了,2019年参加XX国家级/省级HW项目,2020年参加XXX重保项目……………………..,2021年参加XXX渗透测试项目,主要担任角色是告警监测人员/分析研判人员/溯源反制人员/应急处置人员,主要工作是对安全设备上发现的可疑告警进行分析研判主要方法如:通过监测组提供的恶意样本文件进行分析,同时结合在线威胁情报中心对恶意攻击线索进行研判,最终判断该攻击是否真实有效。
溯源反制组
各位老师好我是XXX,来自XX地区,目前在腾讯T1中心担任安全服务工程师,日常工作主要是负责渗透测试/安全运维、HW、重保、应急响应等相关工作,下面简单介绍一下我的工作经历
目前接触安全服务工作XX年了,2019年参加XX国家级/省级HW项目,2020年参加XXX重保项目……………………..,2021年参加XXX渗透测试项目,主要担任角色是告警监测人员/分析研判人员/溯源反制人员/应急处置人员,主要工作是通过分析研判组上报的非法攻击线索以及真实攻击事件对攻击者身份进行溯源主要的方法如:通过定位攻击者IP、域名、恶意样本特征等虚拟身份信息,展开溯源反制措施通过技术手段获取攻击者真实身份信息,编写溯源报告提交项目组审核。
防守方常见问题
在项目上,漏洞扫描需要注意那些事项
跟客户确认是否充许登录扫描、扫描并发连接数及线程数、
是否充许暴力破解,什么时间段扫描、
通知客户备份一下数据,开启业务系统及网站运维监控,以免断机可及时恢复。
HW前期通常有哪些事情需要准备?
前期比较重要的就是资产梳理、安全测试、整改加固、安全策略优化、安全意识培训等等
资产梳理:主要协助客户对旗下资产进行梳理汇总
安全测试:组织几次安全渗透测试可分为内外网渗透测试
安全意识培训:宣讲钓鱼邮件防范,个人不使用弱密码,安装杀软等
HW期间下线部分服务器,或者某段时间暂停对外开放服务。
HW中常见的安全设备有哪些?
入侵检测:IDS
入侵防御:IPS
流量威胁检测设备:腾讯御界、奇安信天眼、绿盟、深信服等等
流量监测:科来
应用防火墙(WAF):绿盟WAF、腾讯云WAF、深信服WAF、阿里云WAF等等
蜜罐:默安蜜罐、知道创宇蜜罐等等
防火墙:防火墙(玄武盾)、山石防火墙、360网康/网神防火墙
态势感知:绿盟态势感知、奇安信态势感知(目前部分金融客户对攻击IP封禁在态势感知系统上统一做封禁处理)
SOC:绿盟、奇安信
谈谈IDS和IPS是什么?有什么作用?
入侵检测:IDS,类似防火墙,主要用于入网流量检测
入侵防御:IPS,对杀软和防火墙的补充,阻止病毒攻击以及点到点应用滥用
态势感知、soc产品的功能
全流量收集、大数据分析、
访问日志展示、攻击日志展示告警、资产管理、大屏展示、
脆弱性识别-弱口令-数据传输未加密-漏洞、
受害主机攻击汇总、内网横向攻击分析、
报表功能
EDR是什么?举例,作用?
终端检测与响应
360天擎、深信服EDR、亚信EDR
通过云端的威胁情报、机器学习、异常行为分析等,主动发现安全威胁,自动化阻止攻击。
WAF产品如何来拦截攻击?
Waf 产品有三种
1、云 Waf
用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护,它的主要实现方式是利用 DNS 技术,通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测,如存在异常请求则进行拦截否则将请求转发至真实服务器
2、Web 防护软件
安装在需要防护的服务器上,实现方式通常是 Waf 监听端口或以 Web 容器扩展方式进行请求检测和阻断
3、硬件 Web 防火墙
Waf 串行部署在 Web 服务器前端,用于检测、阻断异常流量。常规硬件 Waf 的实现方式是通过代理技术代理来自外部的流量
WAF有哪些防护方式?
1、Web基础防护
可防范常规的 web 应用攻击,如 SQL 注入攻击、XSS 跨站攻击等,可检测 webshell,检查 HTTP 上传通道中的网页木马,打开开关即实时生效
2、CC 攻击防护
可根据 IP、Cookie 或者 Referer 字段名设置灵活的限速策略,有效缓解 CC 攻击
3、精准访问防护
对常见 HTTP 字段进行条件组合, 支持定制化防护策略如CSRF防护,通过自定义规则的配置,更精准的识别恶意伪造请求、保护网站敏感信息、提高防护精准性
4、IP 黑白名单
添加终拦截与始终放行的黑白名单 IP,增加防御准确性
5、网页防篡改
对网站的静态网页进行缓存配置,当用户访问时返回给用户缓存的正常页面,并随机检测网页是否被篡改
根据设备告警(WEB)如何分析流量
1. 下载告警pcap数据包,根据告警提示攻击类型,过滤payload信息,定位流量
2. 判断是否攻击成功,需具体分析攻击请求响应内容或使其payload进行攻击测试等
3. 最终可根据流量分析给出判定类型:扫描、攻击尝试、攻击成功、攻击失败
Web中间件加固:tomcat、apache、iis有哪些加固点?
web中间件:更改默认端口、低权限运维、降权网站根目录、自定义错误页面、删除自带网页
windows和linux加固?(操作系统加固)
windows:删除无用账号、禁用来宾账号、设置密码复杂度、关闭默认共享、关闭自启
linux:删除无用账号、配置密码策略(复杂度、过期时间)、限制su命令使用、限制ssh远程登陆root、减少命令记录数(.bash_history)、升级内核版本
mysql加固呢?(数据库加固)
mysql:使用低权限用户配置网站、启用mysql日志记录、禁用文件导入导出
sql server:使用低权限用户配置网站、关闭xp—cmdshell功能
根据设备告警如何展开排查
1. 定位主要扫描、攻击机器
2. 根据业务情况,进⾏隔离处理
3. 排查主要扫描、攻击机器正在执⾏进程、历史命令,定位攻击者扫描⼯具、扫描结果等
4. 提取攻击者操作信息、攻击样本后,清理查杀攻击者等
5. 根据攻击者扫描结果,对存在的漏洞展开修补⼯作
6. 分析主要扫描、攻击机器如何沦陷,溯源攻击链,展开攻击链修补作
Windows常用的命令有哪些?
ping:检查网络联通
ipconfig:查看ip地址
dir:显示当前文件夹的内容
net user:查看用户
netstat:查看端口
tasklist:查看进程列表
find:搜索文件中的字符串
regedit:注册表
Linux常见命令有哪些?
ls:显示当前文件夹的内容
ifconfig:查看ip地址
whoami:查看用户
netstat:查看端口
ps:查看进程列表
grep:文件中搜索字符串
crontal:检查定时任务
常见洞端口有哪些?
21(FTP)、873(Rsync)、1433(MSSQL)、1521(Oracle)、2181(Zookeeper)、3306(Mysql)、5432(PostgreSQL)、6379(redis)、7001(weblogic)、8161(ActiveMQ )、9200(elasticsearch )、27017(Mongodb)、50070,50050(Hadoop)
简单说下SQL注入的几种类型?
提交方式分为:GET型、POST型、cookie型
注入点分为:数字型、字符型、布尔型
如何区分内网中SQL注入攻击事件和正常业务请求?
可以通过请求体中的payload进行判断,正常业务请求的SQL语句通体较长且无敏感的函数使用,SQL注入攻击事件请求体中的payload通常较短且语句中有敏感函数如sleep、updataxml等等。
Sql注入漏洞加固措施?
对于输入的字符进行过滤,主要是特殊字符,如“单引号、双引号、#和两个减号、sql关键字”
买waf设备
暴力破解加固方法?
添加强度较高的验证码,不易被破解
修改密码设置规则,提高用户的密码强度
同一账号登陆次数锁定,生成锁定日志
定期排查弱口令
你能说明文件上传的原理吗?
绕过上传限制,上传可执行代码文件
PHP:如果系统中存在可以上传文件的功能点,就可以上传后门脚本文件,通过一些方法绕过上传限制,如果能访问后门的的话,系统存在文件上传漏洞,可以借助后门执行命令
Java:上传 jsp 代码
Asp/Aspx
Python:因为脚本需要译后生成 pyc 字节码文件,所以不存在文件上传
文件上传功能的检测点有哪些?
客户端的JS检测(主要检测文件名后缀)
服务端检测(MINE类型检测、文件后缀名、文件格式头)
文件上传攻击特征?
能够上传文件的接口,应用程序对用户上传文件类型不校验或者校验不严格可绕过,导致任意类型文件上传,攻击者可上传 webshell 拿到服务器权限,在这个过程中攻击者必然会上传恶意脚本文件
特征:上传文件保存处出现可执行脚本
文件上传加固方法?
后端限制文件上传白名单,头像不允许上传 svg
上传后文件随机重命名,不要输出保存文件位置
图片文件可以二次渲染,使用对象存储 oss
文件目录取消执行权限,PHP 设置 basedir
JAVA内存马如何排查?
如何查杀:使⽤⼯具进⾏检测查杀
1、如果是jsp注入,日志中排查可疑jsp的访问请求。
2、如果是代码执行漏洞,排查中间件的error.log,查看是否有可疑的报错,判断注入时间和方法
3、根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell,排查框架漏洞,反序列化漏洞。
4、如果是servlet或者spring的controller类型,根据上报的webshell的url查找日志(日志可能被关闭,不一定有),根据url最早访问时间确定被注入时间。
5、如果是filter或者listener类型,可能会有较多的404但是带有参数的请求,或者大量请求不同url但带有相同的参数,或者页面并不存在但返回200
php内存马如何排查?
如何查杀:使具进检测查杀
php不死马也就是内存马
排查就两点;检测执行文件是否在文件系统真实存在;确认攻击后去重启服务消除内存执行
aspx内存马如何排查?
如何查杀:使⽤⼯具进⾏检测查杀
github有人写了一个排查的aspx脚本,放到网站目录下访问,会返回内存中filter(过滤器0列表,排查未知、可疑的就行
检测执行文件是否在文件系统真实存在
发现一条攻击告警如何判断是否为真实有效攻击事件思路?
分析请求、响应内容,判断是否攻击成功
首先看告警事件名称判断是网络攻击事件还是web攻击事件,
网络攻击事件:定位五元组信息(源IP、目的IP、源端口、目的端口、协议),对整个僵、木、蠕传播链进行分析,以攻击IP作为受害IP进行检索查找攻击源,
WEB攻击事件:通过数据包的请求体、响应体、状态码等。
安全设备出现误报怎么办?
可以对事件进行分析如果确认不构成实际危害(通常体现在部分web低危攻击事件)考虑对事件进行加白,如不能加白(通常体现在内网僵尸网络、木马事件、蠕虫等等)需要对安全事件进行更细致的分析,定位问题发生点。
如何区分扫描流量和手动攻击流量
扫描数据量大,请求有规律
手动攻击流量数据量较少,攻击流量大多和业务关联性较大
如何分析被代理出来的数据流
分析数据包请求头中的 xff、referer、UA 等收集有用的信息
基于网络欺骗与浏览器指纹的WEB攻击溯源
在攻击队变更攻击IP的情况下,如何在流量中找到该攻击者的所有攻击IP?
cookie、ua、session、被利用账号ID等用户特征
如何判断DNS和ICMP(隧道)信道?
dns流量的txt记录比例异常:正常的DNS网络流量中,TXT记录的比例可能只有1%-2%,如果时间窗口内,TXT或者A记录的比例激增,就可能存在异常。
同一来源的ICMP数据包量异常:一个正常的ping命令每秒最多发送两个数据包,而使用ICMP隧道则会在很短时间内产生上千个ICMP数据包,可以检测同一来源的ICMP数据包的数量。
误报怎么判断?比如xxx设备心跳存活过于频繁,误报成攻击。答:心跳检测是有规律的、持续的,与攻击流量区别较大
常见web日志组成格式?
58.61.164.141 – – [22/Feb/2010:09:51:46 +0800] “GET / HTTP/1.1″ 206 6326 ” http://www.google.cn/search?q=webdataanalysis” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”
ip、时间、请求类型、请求url、响应状态、响应大小、UA头
渗透相关问题
攻击者一般如何获取服务器权限?
文件上传weshell
ssh服务等弱口令爆破
已经框架rce漏洞
简历写了解waf绕过方式,简单说说?
使用sqlmap自带的脚本
使用nmap自带的脚本
请求包添加大量无用数据
测试多个关键字,看看有无未过滤的
改变http请求类型,get变post
什么是OWASP TOP 10 ?说几个常见类型
OWASP TOP 10 是根据开放 Web 应⽤程序安全项⽬公开共享的 10 个最关键的 Web 应⽤程序安全漏洞列表。
1.失效的访问控制(越权访问)
2.加密机制失效(明文传输)
3.注入攻击(sql注入、xxe注入)
4.不安全的设计
5.安全配置错误(默认配置,如redis低版本无密码)
6.⾃带缺陷和过时的组件(weblogic之类的组件RCE)
7.身份识别和身份验证错误(未授权访问)
8.软件和数据完整性故障
9.安全日志和监控故障
10.服务端请求伪造
弱口令、xss
怎么识别CDN?
使用ping命令看回显
使用nslookup查询域名解析,看域名解析情况
使用超级ping工具,像Tools,all-toll.cn等。
描述一下渗透测试的流程?
首先信息收集,收集子域名、Whois、C段、旁站、Web 系统指纹识别,然后测试 web 系统的漏洞
常见的安全工具有哪些?
端口及漏洞扫描:Namp、Masscan
抓包:Wireshark,Burpsuite、Fiddler、HttpCanary
Web自动化安全扫描:Nessus、Awvs、Appscan、Xray
信息收集:Oneforall、hole
漏洞利用:MSF、CS
Webshell 管理:菜刀、蚁剑、冰蝎、哥斯拉
说说Nmap工具的使用?
-sT TCP (全)连接扫描,准确但留下大量日志记录
-sS TCP SYN (半)扫描,速度较快,不会留下日志
-sN null 扫描,标志位全为 0,不适用 Windows
-sF FIN 扫描,标志位 FIN=1,不适用 Windows
-O 查看目标主机系统版本
-sV 探测服务版本
-A 全面扫描
正向shell和反向shell的区别是什么?
内外网区别,正向shell是攻击者处于内网,被攻击者处于公网;
而反向shell是攻击者处于外网,被攻击者处于内网,且是被攻击主动连接攻击者。
cs shellcode 特征
1、RWX(可读可写可执行)权限的内存空间
2、异或密钥固定,3.x 是 0x69,4.x 是 0x2e
3、命名管道名称字符串
\\\\.\\pipe\\MSSE-1676-server
%c%c%c%c%c%c%c%cMSSE-%d-sever
Log4j rce漏洞有了解过?攻击特征是什么?
log4j 是 javaweb 的日志组件,用来记录 web 日志,特征是${jndi:ldap://url}
去指定下载文件的 url 在搜索框或者搜索的 url 里面,加上 ${jndi:ldap://127.0.0.1/test} ,log4j 会对这串代码进行表达式解析,给 lookup 传递一个恶意的参数指定,参数指的是比如 ldap 不存在的资源 $ 是会被直接执行的。后面再去指定下载文件的 url,去下载我们的恶意文件。比如是 x.class 下载完成后,并且会执行代码块
修复:升级 Log4j 到最新版本,根据业务判断是否关闭 lookup
新出的office word msdt 漏洞原理?
从Word使用URL协议调用MSDT(微软支持诊断工具),可执行远程网页脚本内容,下载或运行任意命令、程序。
无论是否禁用宏,只要打开word就会中招,但无法正常查看doc内容
如何区分菜刀、蚁剑、冰蝎、哥斯拉WENSHELL特征?
菜刀:
1、webshell 为一句话木马
2、ua 头为百度爬虫
3、请求体中存在 eavl,base64
4、响应为明文,格式为 X@Y +内容 + X@Y
蚁剑:
1、webshell 同样有 eavl,base64
2、ua 头为蚁剑工具
3、请求体中存在 @ini_set
4、响应为明文,格式为 随机数+结果 +随机数
冰蝎:
1、webshell 同样有 eavl,base64
2、webshell 中有 md5(密码)前16位
3、2.0 有一次GET请求返回16位的密钥
哥斯拉:
1、webshell 同样有 eavl,base64
2、请求为pass=
常见的未授权访问漏洞有哪些?
Active MQ 未授权访问
Atlassian Crowd 未授权访问
CouchDB 未授权访问
Docker 未授权访问
Dubbo 未授权访问
Druid 未授权访问
Elasticsearch 未授权访问
FTP 未授权访问
Hadoop 未授权访问
JBoss 未授权访问
Jenkins 未授权访问
Jupyter Notebook 未授权访问
Kibana 未授权访问
Kubernetes Api Server 未授权访问
LDAP 未授权访问
MongoDB 未授权访问
Memcached 未授权访问
NFS 未授权访问
Rsync 未授权访问
Redis 未授权访问
RabbitMQ 未授权访问
Solr 未授权访问
Spring Boot Actuator 未授权访问
Spark 未授权访问
VNC 未授权访问
Weblogic 未授权访问
ZooKeeper 未授权访问
Zabbix 未授权访问
连接不了MySQL数据库站点的原因有哪些?
3306端口没有对外开放
MySQL默认端口被修改(最常见)
站库分离
近几年HW常见漏洞有哪些?
弱口令、未授权访问、文件上传、注入、log4j代码执行、Struts2命令执行、fastjson、shiro、TinkPHP代码执行、Spring代码执行等等。
HW 三(四)大洞
shiro、struts2、weblogic、Fastjson
额外 thinkphp、(2021年)log4j、(2022年)word msdt
讲诉 2021 年护网出现过那些 0day 漏洞
锐捷 RG-UAC 密码泄露
360天擎 终端安全系统-前台 sql 注入
泛微 OA9 前台 Getshell
蓝凌 OA 任意写入漏洞
用友 NC 反序列化 RCE 漏洞
通达 OA v11.7 登录破解
…
至少说几个oa的洞,其他随意
应急响应常见问题
获得文件读取漏洞,通常会读哪些文件
1、linux
etc/passwd、etc/shadow直接读密码
/etc/hosts # 主机信息
/root/.bashrc # 环境变量
/root/.bash_history # 还有root外的其他用户
/root/.viminfo # vim 信息
/root/.ssh/id_rsa # 拿私钥直接ssh
/proc/xxxx/cmdline # 进程状态枚举 xxxx 可以为0000-9999 使用burpsuite
数据库 config 文件
web 日志 access.log, error.log
ssh 日志
bash /root/.ssh/id_rsa /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys /etc/ssh/sshd_config /var/log/secure /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/syscomfig/network-scripts/ifcfg-eth1
2、windows
C:\boot.ini //查看系统版本
C:\Windows\System32\inetsrv\MetaBase.xml //IIS 配置文件
C:\Windows\repair\sam //存储系统初次安装的密码
C:\Program Files\mysql\my.ini //Mysql 配置
C:\Program Files\mysql\data\mysql\user.MY D //Mysql root
C:\Windows\php.ini //php 配置信息
C:\Windows\my.ini //Mysql 配置信息
主机发生安全事件处置流程
1、抑制范围:主机断网或者隔离使受害⾯不继续扩⼤
2、收集信息:收集客户信息和中毒主机信息,包括样本
3、判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS 等等
4、深入分析:日志分析、进程分析、启动项分析、样本分析方便后期溯源
5、清理处置:杀掉进程,删除文件,打补丁,删除异常系统服务,清除后门账号防止事件扩大,处理完毕后恢复生产
6、产出报告:整理并输出完整的安全事件报告
简单说下服务器被上传webshell处置思路是什么?
及时隔离主机
使用find命令查找定位webshell,对webshell进行取样
结合web日志分析
清除webshell及残留文件
讲一下windows机器被攻陷排查思路?
1、检查系统账号安全
2、检查异常端口、进程
3、检查启动项、计划任务、服务
4、日志分析
在Windows靶标站点如何建立隐藏用户?
net user xiaofeng$ 112233 /add (建立隐藏用户xiaofeng)net localgroup administrators xiaofeng$ /add (将隐藏用户xiaofeng加入管理员用户组)
Windows被创建影子用户怎么办?
1、可以通过控制面板管理账户查看
2、注册表中查看是否存在影子账户:(HEKY_LOCAL_MACHINE\SAM\SAM\Domains\Account\User)
windows端口进程间怎么关联查找
netstat -ano | findstr “port”查看目前的网络连接,定位可疑的 ESTABLISHED
根据netstat定位出的 pid,再通过tasklist命令进行进程定位tasklist | findstr “PID”
windows怎么查看进程对应的程序位置
任务管理器–选择对应进程–右键打开文件位置运行输入 wmic,cmd界面 输入 process
查看 Windows 服务所对应的端口
%system%/system32/drivers/etc/services(一般 %system% 就是 C:\Windows)
查看windows进程的方法
开始 — 运行 — 输入msinfo32 命令,依次点击 "软件环境 — 正在运行任务" 就可以查看到进程的详细信息,比如进程路径、进程ID、文件创建日期以及启动时间等
打开D盾_web查杀工具,进程查看,关注没有签名信息的进程
通过微软官方提供的 Process Explorer 等工具进行排查
查看可疑的进程及其子进程。可以通过观察以下内容:
没有签名验证信息的进程
没有描述信息的进程
进程的属主
进程的路径是否合法
CPU 或内存资源占用长时间过高的进程
Windows日志存放位置?
大致是System32的Logs目录下
系统日志:%SystemRoot%\System32\Winevt\Logs\System.evtx
应用程序日志:%SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志:%SystemRoot%\System32\Winevt\Logs\Security.evtx
windows日志分析工具有哪些
Log Parser、LogParser Lizard、Event Log Explorer、360星图
遇到日志文件量大的时候怎么去分析?
通过正则去匹配日志中的攻击请求
借助腾讯日志分析工具:LogForensics
讲一下Linux机器被攻陷排查思路?
账号排查(/etc/passwd存储用户信息、/etc/shadow存储用户密码信息)
历史命令查看:.bash_history
检查异常进程:ps aux | grep pid
检查开机启动项:/etc/rc.local
查看定时任务:crontab -l
检查网站目录下是否存在可疑文件:find /var/www/html -name "*.php" |xargs egrep 'assert|eval|phpinfo\(\)|\(base64_decoolcode|shell_exec|passthru|file_put_contents\(\.\*\$|base64_decode\('(回答出前面的find命令结构即可)
Linux日志存放位置?
日志默认存放位置:/var/log/
查看日志配置情况:more /etc/rsyslog.conf
一台主机在内网进行横向攻击,怎么处理?
确定攻击来源,是不是员工内部误操作,比如询问运维是否有自动化轮训脚本
如果没有,确定是攻击,结合时间点,根据设备信息,看一下安全事件,进程,流量
找到问题主机,开始应急响应流程:准备、检测、遏制、根除、恢复、跟踪,具体的操作要交给现场运维去处理
HW期间发现在野0day利用怎么处置?
1、首先确认0day影响产品,危害程度
2、下线应用
3、排查应用日志查找是否有攻击请求
4、更新官方发布的最新补丁或者升级版本
如何发现钓鱼邮件
邮件系统异常登录告警、员工上报、异常行为告警、邮件蜜饵告警
推荐接入微步或奇安信的情报数据。
对邮件内容出现的 URL 做扫描,可以发现大量的异常链接
遇到钓鱼邮件如何处置?
1、第一时间隔离被钓鱼的主机
2、通过第三方联系方式对攻击进行预警,防止其他员工再次上钩
3、对钓鱼邮件中的样本进行取样,分析溯源
4、HW前期针对安全意识进行培训
说说钓鱼邮件处置实际操作
屏蔽办公区域对钓鱼邮件内容涉及站点、URL 访问
根据办公环境实际情况可以在上网行为管理、路由器、交换机上进行屏蔽
邮件内容涉及域名、IP 均都应该进行屏蔽
对访问钓鱼网站的内网 IP 进行记录,以便后续排查溯源可能的后果
屏蔽钓鱼邮件
屏蔽钓鱼邮件来源邮箱域名
屏蔽钓鱼邮件来源 IP
有条件的可以根据邮件内容进行屏蔽
删除还在邮件服务器未被客户端收取钓鱼邮件
处理接收到钓鱼邮件的用户
根据钓鱼邮件发件人进行日志回溯
此处除了需要排查有多少人接收到钓鱼邮件之外,还需要排查是否公司通讯录泄露。采用 TOP500 姓氏撞库发送钓鱼邮件的攻击方式相对后续防护较为简单。如果发现是使用公司通讯录顺序则需要根据通讯录的离职情况及新加入员工排查通讯录泄露时间。毕竟有针对性的社工库攻击威力要比 TOP100、TOP500 大很多
通知已接收钓鱼邮件的用户进行处理
删除钓鱼邮件
系统改密
全盘扫毒
后续:溯源、员工培训提升安全意识
说一个项目中发生的应急案例
自己选
溯源常见问题
什么是溯源反制?
溯源:通过攻击源分析攻击路径
反制:根据攻击源反向入侵攻击者vps(虚拟专用服务器)
溯源反制手段有哪些?
根据流量溯源反制:筛选攻击IP、域名,扫描端⼝服务,或通过威胁情报分析,对攻击者VPS进行溯源分析
蜜罐平台反制:模拟SSL VPN等平台,诱导攻击者下载应⽤软件及安装使⽤,上线攻击者主机
钓⻥反制:根据蜜罐捕获信息,通过社交软件平台、手机短信、邮件等方式进行钓钓鱼
说一下你的溯源思路?
蜜罐是怎么获取攻击者社交账号信息的?怎么防
浏览器信息读取
利用jsonp,跨域访问社交平台接口,提取包含的个人信息
使用浏览器隐私模式,或虚拟机内实施攻击操作
HW项目中有写过溯源报告?
有,在XXXHW项目中写过XXX攻击类型的溯源报告,提交了XX份报告,得分不清楚
常见溯源方法(溯源思路)有哪些?
1、通过恶意样本文件特征进行溯源渠道(github、网盘、博客、论坛等等)
2、域名、IP反查目标个人信息
3、微信、支付宝、淘宝等平台查找姓氏
4、蜜罐:浏览器指纹技术、网络欺骗技术
对攻击者进行身份画像有哪些?
虚拟身份:ID、昵称、网名
真实身份:姓名、物理位置
联系方式:手机号、qq/微信、邮箱
组织情况:单位名称、职位信息
HW期间没发现有效攻击事件如何得分?
可以通过对非法攻击溯源反制得分
可以通过提交灰黑产线索进行得分
获取到钓鱼邮件exe如何分析?
看创建日期,看备注信息
ida看调试信息,可能有个人id、网名
上传查杀、威胁检测平台,分析行为特征,获取内部url、ip地址等
各大威胁平台结果判断木马生成时间,是否已知
溯源收集目标邮箱对有什么用?
搜索引擎,查论坛,查博客,推测职业
社工库、第三方直接查个人信息
通过手机号后怎么获取攻击者信息?
各大社交平台
百度、谷歌搜索
各种app,如csdn、支付宝、钉钉、脉脉等,qq、微信好友
通过域名、ip怎么确认攻击者身份?
云平台域名、ip找回账号方式,获取手机号部分信息
搜索引擎查ip现有服务,历史服务,有无攻击特征
威胁情报、沙箱获取信息
百度贴吧、个人博客、技术论坛、网站备案等
通过哪些工具、网站获取攻击者信息?
自行总结
微步情报查询、埃文科技网站定位ip地址等
你人脉如何?你能帮忙查360、奇安信、深信服、XXX的库吗?
一般
个人有一些工作小群
简单描述一下你在工作中遇到有意思的攻击溯源事件(说溯源案列)
自己选
网络安全工程师企业级学习路线
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一些我自己买的、其他平台白嫖不到的视频教程:
面试刷题
我们学习网络安全必然是为了找到高薪的工作,下面这些面试题是来自百度、京东、360、奇安信等一线互联网大厂最新的面试资料,并且有大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。
结语:
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本文的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本书的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。!!!
原文链接:https://blog.csdn.net/MachineGunJoe/article/details/130200173
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/23472