最近连续参加了几家 hvv 面试,现总结如下。
通常面试官都是对着简历发问,所以简历一定要字斟句酌。
个人经历相关问题
刚开始统一要求自我介绍。笔者很多同学都是提前写好稿子,这个根据个人喜好选择即可,笔者个人喜欢即兴发挥。简单介绍自己的学校,以及护网经历即可,务必沉着、大方。
以下是笔者的介绍。
我叫xxx,来自四川xx。我先说说我怎么接触这一个领域的吧,我从19年开始做个人站站长,后面就逐渐成为全栈开发,由于需要自己运维网站就接触了很多网安方面的知识。后来就在朋友圈子里和他们一起去了一次护网。
如果被问到工作经历,可以这样回答:
我之前是在山东汉任短期工作过,做的是渗透测试。主要就是帮忙评估企业和组织的网络系统弱点,并提供相应的解决方案。大概工作流程就是,首先信息收集,收集子域名、Whois、C段、旁站、Web 系统指纹识别,然后测试 web 系统的漏洞。
如果被问到护网经历,可以这样回答:
我2022年参加了国护,前期主要协助客户梳理资产、安全整改加固、策略优化等等,HW期间主要担任角色是分析研判人员,工作就是根据监控组提交的内容判断是什么攻击,攻击结果,具体的攻击内容,然后处置,并产生报告。
如果被问到“有过实际的应急经历吗”,可以这样回答:
也不知道算不算应急吧,就是常规的报警,用户那的蜜罐报警了,但是用户扫不出来,就喊我来排查,然后我就用椒图扫出来,然后丢到二线去分析一下,确认是木马就删除了。另外就是扫了几个 webshell 出来,然后先通知用户。
如果被问你挖掘过哪些漏洞,可以这样回答**:**
国内首例 OpenCore 加载 macOS 内核拓展实现AMD APU的普通x86PC安装macOS13.4 原理:利用EFI引导的通性,在引导 macOS 之前提前加载特定的EFI,使 Apple BIOS 被加载至内存中。进而绕过 macOS 的机型检测。 由于苹果采用的全部是标准硬件+重写驱动,所以我们仅需要欺骗macOS,让他以为我们安装在普通主板上的普通硬件是来自Apple的硬件。(普遍方法)这种实现方法有一个问题,只有苹果为他重写了驱动的硬件才能被正常的驱动。如果这个硬件苹果没有用过,那就不能驱动。AMD的所有驱动都是开源的,因此我们可以对官方的开源驱动进行修改,从而实现在macOS下的驱动。 在之中,作为从初中就开始探索安装macOS至普通电脑过程中。我敏锐的察觉到Apple实现显卡加速的原理仅是将原版的驱动有关DirectX等Windows特有的调用全部转成开源的OpenCl。故我完成了有关调用的替换及适配工作。在画面输出这一难关之中。我敏锐利用ssh的特性实现无画面下 Debug 及输出定制。
Windows 相关
常用命令
- tasklist: 查看进程列表
- regedit: 注册表
- netstat: 查看端口
- dir: 查看当前文件夹内容
- net user: 查看用户(包括影子账户)
- ping: 检查网络联通
windows 上的常见后门
- shift 后门:将C盘windows目录下面的system32文件里面的sethc.exe应用程序进行转移,并生成 sethc.exe.bak文件。并将cmd.exe拷贝覆盖sethc.exe 查找方式:看下是不是 cmd.exe 的MD5。certutil -hashfile filename MD5
Windows 加固思路
- 系统不显示上次登录的账户名。
- 清理系统无效账户。
- 按用户类型分配账号
- 配置密码策略
- 账户锁定策略
- 远端系统强制关机设置
- 本地关机设置
- 用户权限指派
- 授权账户本地登录
- 授权账户从网络访问
- 问:Windows上安全日志目录在哪?
- 答:在windows/System32/winevt/Logs下
Linux 相关
常用命令
- w: 显示目前登入系统的用户信息
- who :查看当前登录用户(tty本地登陆 pts远程登录)
- last :所有用户的登录记录
- cat .bash_history 查看历史命令
- ps -aux :ps是用来监控进程的,aux参数代表查看所有进程。
- 问:Linux 如何创建计划任务?
- 答:使用 corntab 命令。
- 问:corntab 的计划任务列表存储在哪里?
- 答:位于 /etc/corntab 目录。
- 问:能说说 corn 的详细语法吗?
- 答:参考 https://blog.csdn.net/chen__yang_/article/details/109523061。创建、编辑计划任务的命令为crontab -e,查看当前计划任务的命令为crontab -l,删除某条计划任务的命令为crontab -r。
- 问:不错。如何把执行结果输出到文件?
- 答:30 23 * * * /path/to/script.sh > /path/to/logfile.log 2>&1
- 问:Linux 如何查看端口开放情况?
- 答:可以使用 netstat -anp | grep 端口号 命令来查看端口号对应的进程和状态。
- 问:如何判断是否被增加了超级用户?
- 答:查看是否有 UID 为 0 的用户。
- 问:Linux 如何加固?
- 答:删除无用账号、配置密码策略(复杂度、过期时间)、限制 su 命令使用 (限制用户使用 su命令变更为其他用户, 防止不当的角色切换) 、限制 ssh 远程登陆root、减少命令记录数(.bash_history)、升级内核版本。
攻击者获得文件读取权限后,通常会读取哪些文件?
- /etc/hosts: 主机信息
- /etc/shadow: 存储了系统用户的加密密码和其他安全相关的信息
- /etc/password: 密码
- /root/.bashrc: 环境变量
- /root/.ssh/id_rsa: ssh私钥
HW 业务相关
主机发生安全事件处置流程
- 抑制范围:首先判断影响范围,主机断网或者隔离使受害面不继续扩大
- 收集信息:收集客户信息和中毒主机信息,包括样本
- 判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS 等等
- 深入分析:日志分析、进程分析、启动项分析、样本分析方便后期溯源
- 清理处置:杀掉进程,删除文件,打补丁,删除异常系统服务,清除后门账号防止事件扩大,处理完毕后恢复生产
- 产出报告:整理并输出完整的安全事件报告。
HW 期间发现在野0DAY利用怎么处置?
- 首先确认0day影响产品,危害程度,找到漏洞点;
- 下线应用;
- 排查应用日志查找是否有攻击请求;
- 更新官方发布的最新补丁或者升级版本。
IOC(Indicator of Compromise) 失陷指标/特征
可以反映主机或网络失陷特征信息,这些信息入侵工具、恶意软件和攻击组织的属性,如邮箱、域名、IP、 URL、文件名、文件hash、证书和签名等,简称 IOCs。
HW 中常见的安全设备有哪些?
- 入侵检测:IDS
- 入侵防御:IPS
- **流量威胁检测:**腾讯御界、奇安信天眼、绿盟、深信服等等。
- 流量监测:科来
- 应用防火墙( **WAF **):绿盟WAF、腾讯云WAF、深信服WAF、阿里云WAF等等
- **蜜罐:默安蜜罐、知道创宇蜜罐等等防火墙 **:防火墙(玄武盾)、山石防火墙、360网康/网神防火
- **态势感知 **:绿盟态势感知、奇安信态势感知(目前部分金融客户对攻击IP封禁在态势感知系统上统一做封禁处理)
- SOC:绿盟、奇安信
-
问:假设你发现服务器有异常登录情况,解决问题之后,如何进一步排查隐患?
- 检查日志:查看服务器的登录日志、系统日志、应用程序日志等,以找出异常登录的时间、来源和使用的凭据。这些信息有助于确定攻击者是如何获得访问权限的,以及攻击者在系统中进行了哪些活动。
- 审计用户和权限:审查所有用户帐户,删除不再需要的帐户,检查帐户权限是否符合最小权限原则。确保只有合法用户和合适的权限设置。
- 更新系统和软件:确保操作系统和所有安装的软件都是最新的。安装安全补丁以防止已知漏洞被利用。
- 审查防火墙和网络设置:检查防火墙规则和网络设置,确保只有必要的端口和服务向外暴露。限制来源IP地址,只允许可信任的IP访问。
- 执行恶意软件扫描:运行杀毒软件或其他恶意软件扫描工具,以检测系统中是否存在恶意软件。如果发现恶意软件,请根据扫描工具的建议进行清除。
- 确保强大的身份验证机制:使用复杂且不容易被猜测的密码。启用多因素身份验证(MFA)以增加安全性。
- 监控异常活动:使用安全信息和事件管理(SIEM)工具或其他日志分析工具,监控服务器上的异常活动。配置警报通知以便在检测到可疑活动时立即收到通知。
- 在 Windows 环境下,可以用此命令找出规定时间范围内创建的shell文件 Get-ChildItem -Path "C:" -Recurse | Where-Object { *.CreationTime -le "2023-05-06 23:59:59" }
中间件
正常情况下一次web的访问顺序是:web浏览器—服务器(硬件)—web容器—web应用服务器—数据库服务器。
需要注意的是,中间件是一类软件的总称,不是单独的一个软件。
- 问:常见的中间件有哪些?
- 答:IIS nginx apache tomcat jboss websphere weblogic
- 问:status 和 weblogic 的流量如何区分?
- 答:请求URL中包含.action或.do, 这是struts2的默认请求后缀。weblogic的默认请求后缀是.jsp或.html;请求中包含struts2的默认参数,如:action, method等。weblogic的请求参数比较随意,没有固定模式;
- 问:中间件如何加固?
- 答:更改默认端口、低权限运维、降权网站根目录、自定义错误页面、删除自带网页,反序列化漏洞 ssrf任意文 件上传 war 后门文件部署。
- 问:了解过哪些中间件?有哪些加固点?
- 答:**IIS **遇到特殊符号会进行截断,比如:“.asp”,从而认为文件后缀为“.asp”。**tomcat **远程代码执行,war后门文件部署。
渗透测试
只有一个登录页面如何去测
- 密码找回凡是“发送邮件”“手机号”是否可用拦截
- 登录时是否为前段验证,通过修改http回显包是否可用绕过个
- 注册功能是否可用覆盖注册admin,注册页面是否存在二阶注入
- 验证码是否可以绕过
- 用户名是否可以进行暴力破解
如何做免杀?
主要是防止被杀毒软件查杀。免杀可分为两种情况:
- 静态文件免杀:被杀毒软件病毒云查杀了,也就是文件特征码在病毒库了。可以通过修改源代码来完成免杀,也可以结合二进制免杀的技术。
- 动态行为免杀:运行中执行的某些行为被杀毒软件拦截报读.行为免杀如果没有源码就不是很好搞了。
鱼叉攻击和水坑攻击
- 鱼叉式攻击:指利用木马程序作为电子邮件的附件,发送到目标电脑上,诱导受害者去打开附件来感染木马。
- 水坑式攻击:分析目标的上网规律,寻找目标经常访问的网站的弱点,攻破该网站,并植入恶意程序,等待目标访问。水坑攻击的危险性来源于其利用的是不会被列入黑名单的合法网站,因此更难被发现。访问者出于对这些网站的一贯信任,更容易放松警惕,继而落入水坑陷阱之中。
Webshell 类型
- 大马:体积大,功能全;会调用系统关键函数;以代码加密进行隐藏
- 小马:体积小,功能少;一般只有一个上传功能,用于上传大马
- 一句话木马:代码短;使用场景大,可单独生成文件,可插入文件;安全性高,隐藏性强,可变形免杀;框架不变,数据执行,数据传递;
- 内存马:无文件落地;极难检测和发现;难以清除
未授权访问
- FTP:FTP 弱口令或匿名登录漏洞,一般指使用 FTP 的用户启用了匿名登录功能,或系统口令的长度太短、复杂度不够、仅包含数字、或仅包含字母等,容易被黑客攻击,发生恶意文件上传或更严重的入侵行为。
- Docker:该未授权访问漏洞是因为Docker API可以执行Docker命令,该接口是目的是取代Docker命令界面,通过URL操作Docker。
- Redis:redis是一个数据库,默认端口是6379,redis默认是没有密码验证的,可以免密码登录操作,攻击者可以通过操作redis进一步控制服务器。Redis未授权访问在4.x/5.0.5以前版本下,可以使用master/slave模式加载远程模块,通过动态链接库的方式执行任意命令。
- Jupyter Notebook
DNS 外带
DNS外带可以用于获取无回显的漏洞中的数据,例如 SQL 注入、XSS、XXE、SSRF 等漏洞。DNS外带的实现需要具备以下条件:
- 目标系统能够进行 DNS 请求。
- 目标系统能够访问 DNSLog 服务器。
- DNSLog 服务器能够记录 DNS 请求日志。
NMAP 常见参数
- Scan a range of IP addresses: nmap <ip-range>
- Port scanning: nmap -p <port-range> <ip-address>
- Ping scan: nmap -sn <ip-address>
- Save scan output to a file: nmap -oN <filename> <ip-address>
- Display open ports: nmap --open <ip-address>
- Exclude hosts/IP addresses from the scan: nmap <ip-range> --exclude <ip-address>
- Service version detection: nmap -sV <ip-address>
- OS detection: nmap -O <ip-address>
前端相关
- 问:你知道原型链污染吗?
- 答:原型链污染(Prototype Pollution)是一种常见的安全漏洞,它会导致攻击者能够修改一个对象的原型,从而影响到应用程序的其他部分。这个漏洞在JavaScript中比较常见。在JavaScript中,每个对象都有一个原型,它是一个指向另一个对象的引用。当你试图访问一个对象的属性时,如果这个对象本身没有这个属性,JavaScript会沿着原型链向上查找,直到找到该属性或者到达原型链的顶端为止。攻击者可以通过在输入数据中注入恶意代码,来修改原型链上的对象,从而修改应用程序的行为。例如,攻击者可以将Object.prototype中的某个方法更改为恶意代码,使得应用程序中所有的对象都继承了这个恶意方法。这样,攻击者就可以在应用程序中执行任意代码,甚至获取敏感信息。
- 问:如何避免原型链污染?
- 答:为了避免原型链污染,开发人员应该始终使用**Object.hasOwnProperty()**来检查一个对象是否真正拥有某个属性,而不是依赖原型链。此外,开发人员应该对输入数据进行严格的验证和过滤,以防止恶意代码的注入。最后,应该定期更新和升级应用程序的依赖库,以确保使用的库没有原型链污染漏洞。
- 问:XSS 可以达到哪些效果?
- 答:前端挖矿、模拟登录页、劫持用户口令等。
- 问:说说你知道的逻辑漏洞?
- 答:不从后端阻止重复注册/权限验证,而是从前端阻止;静态文件下载链接等。本质上是后端该做的没做到。
工具相关
列举一些常见端口以及对应的服务。
- 21:FTP
- 22:SSH
- 23:Telnet
- 139:SMB
- 445:SMB
- 1080:Socks
- 3389:RDP
- 7001:Weblogic(一个Java EE应用服务器,允许开发人员开发和部署多层次的分布式企业应用。它集中了应用服务,如网络服务器功能、业务组件和对后端企业系统的访问。)
- 3306:Mysql
- 5432:PostgreSQL
- 1521:Oracle
- 6379:Redis(一个开源的内存数据结构存储,可作为数据库、缓存和消息代理使用。Redis提供了亚毫秒级的响应时间,使游戏、广告技术、金融服务、医疗保健和物联网等行业的实时应用每秒可发出数百万次请求。)
- 问:说说 Webshell 管理工具的流量特征?
- 答:菜刀 webshell 只使用了 url 编码 + base64 编码 shell 特征就是传输参数名为 z0,还存在int_set("display_erros","0")字符串特征。UA 头为百度爬虫。默认的蚁剑 shell,连接时会请求两次,其请求体只是经过 url 编码,其流量中也存在和蚁剑一样的代码。第一次请求,关闭报错和 magic_quotes,接下来去获取主机的信息。第二次请求,会把主机目录列出来。冰蝎2.0 使用 aes 加密发起三次请求。冰蝎3.0使用 aes 加密发起两次请求。冰蝎4.0内置10个user-agent ,每次连接shell时会随机选择一个进行使用.
- 问:说说 **sqlmap **的 os shell 原理?
- 答:对于mysql数据库来说,--os-shell的**本质就是写入两个shell文件,**其中的一个可以让我们用来执行命令,另外一个,如果在网站访问的话可以让我 们上传文件。写shell的话有两个限制条件,首先,我们需要知道上传文件的两个限制条件,首先我们需要知道网站的绝对路径(我们的shell写到哪里),还需要有导入导出权限。
- 问:wireshark 怎么去抓 https 的流量?
- 答:需要配置SSL证书。
PHP
- 问:include和require的区别?
- 答:include 可以在脚本的任何位置进行调用,而 require 必须在脚本的开头进行调用。此外,require 引入的模块必定会在运行时引用,而include是按需加载。
- 问:知道GPC吗?
- 答:是的。GPC 是 PHP 中一个已废弃的安全特性,它会自动对 GET、POST、Cookie 数据中的特殊字符(如单引号、双引号、反斜线等)进行转义处理。当 GPC 开启时,可能会影响某些 SQL 注入攻击的执行。但是,绕过 GPC 仍然可以进行 SQL 注入攻击。
SQL(重点)
- 问:sql 注入有哪些类型?
- 答:布尔盲注,时间盲注,报错注入。
- 问:如何判断有无注入漏洞?
- 答:使用 sqlmap 扫描;或者在请求内容后面加上引号判断返回包大小有无变化(盲注)。
- 问:报错注入可以使用哪些函数?
- 答:floor() name_const() exp() convert() extractvalue() updatexml()
- 问:如何绕过waf?
- 答:使用URL编码,使用不常见的函数,大小写混写,垃圾数据溢出等。
- 问:假设开启了特殊字符过滤,怎么办?
- 答:使用数字类型的数据(避免使用引号);用like代替=;
- 问:假设开启了关键词过滤,怎么办?
- 答:使用/**/或者<>分割关键字;使用双写绕过(例如selectselect);
- 问:假设开启了空格过滤,怎么办?
- 答:双空格,/**/,括号或者用回车代替。
- 问:假设开启了逗号过滤,如何盲注?
- 答:使用from和to,例如:select substr(database() from 1 for 1);
- 问:sql 如何写 shell?
- UNION SELECT '<?php system($_GET["cmd"]); ?>' INTO OUTFILE '/var/www/html/uploads/shell.php’
- 成功注入Web Shell后,你可以通过访问其URL来使用它。例如,如果Web Shell位于**http://example.com/uploads/shell.php**,你可以在URL中附加一个**cmd**参数来执行命令。
- 问:sql注入时IP被记录怎么办?
- 答:使用代理服务器,使用VPN。
- 问:屏蔽了sleep关键词,如何进行时间盲注?
- 答:select benchmark(count,expr) 是重复执行count次expr表达式,使处理时间很长,来产生延迟。比如:SELECT benchmark (100000000,md5("hello"));
社会工程学
域名溯源渠道
- whois查询
- 备案查询
- 企查查/天眼查查询
- zoomeye/fofa查询
手机号码溯源渠道
- 社交平台查询(微信/支付宝/微博/抖音)
- 通过telegram里社工库机器人进行精准信息查询
- 查询注册过哪些网站 网站地址:https://www.reg007.com/
其他杂项
- 问:2019-0708这个漏洞,检测到了但无法利用,为什么?
- 答:版本不匹配。这个漏洞只影响Exchange 2010 SP3 Update Rollup 12 到 Exchange 2019 CU4之间的版本,如果目标系统的Exchange版本不在这个范围内,无法利用;已经打了补丁。如果目标系统已经应用了Microsoft发布的安全更新,这个漏洞已经被修复,无法利用;防火墙或WAF拦截。如果目标系统启用了防火墙或WAF,并且规则已经更新到可以检测和拦截这个漏洞利用,会无法利用
- 问:shiro 550 和 721 版本在反序列化漏洞上的主要区别?
- 答:shiro 550 版本只需要一个恶意构造的 rememberMe cookie 即可触发反序列化漏洞;shiro 721 版本需要先登录,设置 rememberMe=true,然后发送恶意构造的 rememberMe cookie 才能触发反序列化漏洞。另外,shiro 550 版本反序列化的是 ShiroRememberMeManager 类;shiro 721 版本反序列化的是 ShiroRememberMeManager$RememberMeToken 类。(Shiro-550 是 Apache Shiro 框架中的一个反序列化漏洞,由于 AES 加密的 key 硬编码在源码中,攻击者可以通过泄露密钥来构造恶意的序列化数据,从而实现远程代码执行等攻击)
- 问:你知道哪些恶意流量分析工具?
- 答:Wireshark Brim TShark
- 问:Win10 UAC 如何绕过?
- 注册表修改:某些注册表键值允许在启动时执行程序,例如HKCU\Software\Classes\ms-settings\shell\open\command。可以修改这些键值,使其执行一个提权程序。
- 动态链接库劫持(DLL Hijacking):这种方法涉及创建一个恶意DLL文件,并将其放置在特定的路径下,以便当具有自动提升权限的可执行文件加载时,恶意DLL将被执行。这种方法要求你找到一个在DLL搜索路径上具有写入权限的位置。
- 问:如果 xff 里面有多个ip,如何判断哪个是真实的?
- 答:最左边那个。当然,xff可以被伪造,不一定是真实的。
- 问:探针和分析的区别?
- 答:探针和分析是两种不同的技术手段,探针主要用于实时监测和收集网络流量数据,分析则主要用于对网络流量数据进行深入分析和挖掘,以便发现网络中的安全威胁和漏洞。在实际应用中,探针和分析通常会结合使用,以提高网络安全监测和防御水平。
- 问:如何理解网络空间安全?
- 答:网络空间安全的实现通常需要技术、流程和政策三个方面的结合。技术包括防火墙、入侵检测系统、加密技术等;流程可能包括用户训练、灾难恢复计划、定期更新和打补丁等;政策则包括各种规定,如密码政策、用户行为政策等。
Kerberos 与黄金票据
Kerberos 的认证流程如下:

其中 DC中有一个特殊用户叫做 **krbtgt,**它是一个无法登录的账户,是在创建域时系统自动创建的,在整个kerberos认证中会多次用到它的Hash值去做验证。而他的hash值是不变的。
- 黄金票据:所以只要得到 krbtgt 的 NTLM Hash,就可以伪造TGT和Logon Session Key来进入下一步Client与TGS的交互。而已有了金票后,就跳过AS验证,不用验证账户和密码,所以也不担心域管密码修改。
- 白银票据:在Kerberos认证的第三部,Client带着ST和Authenticator3向Server上的某个服务进行请求,Server接收到Client的请求之后,通过自己的Master Key 解密ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问server上的指定服务了。 所以我们只需要知道Server用户的Hash就可以伪造出一个ST,且不会经过KDC,但是伪造的门票只对部分服务起作用。
Java
- 问:知道 Java 反序列化吗?
- 答:知道。(不知道就说不知道)
- 问:使用java.io.ObjectInputStream:这是Java中最常用的反序列化方法。你可以使用ObjectInputStream从字节流中读取并反序列化对象。示例如下:
- 问:如何排查内存马?
- 答:如果是 jsp 注入,日志中排查可疑 jsp 的访问请求;如果是代码执行漏洞,排查中间件的error.log,查看是否有可疑的报错,判断注入时间和方法:根据业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过webshell,排查框架漏洞,反序列化漏洞。 如果是servlet或者spring的controller类型,根据上报的webshell的url查找日志(日志可能被关闭,不 一定有),根据url最早访问时间确定被注入时间。 如果是filter或者listener类型,可能会有较多的404但是带有参数的请求,或者大量请求不同url但带有相同的参数,或者页面并不存在但返回200。
- 问:java执行代码的rce有过了解吗?类似php的eval。
- 答:RCE为两种漏洞的缩写,分别为Remote Command/Code Execute,远程命令/代码执行。
运维
- 问:如何防范DDOS?
- 答:增加带宽和加强服务器性能。这可以让服务器有更大的流量处理能力,减少被攻击时的影响;使用DDOS防护服务。像 Cloudflare、Incapsula、Akamai 等服务可以有效防御DDOS攻击,他们可以过滤恶意流量和只让合法流量通过;配置防火墙和路由器。可以设置规则过滤来自某些IP地址或国家/地区的流量。也可以设置SYN Flood防护等;监控流量和服务。当发生DDOS攻击时,可以及时发现服务性能下降和大量异常流。
- 问:知道SCRF吗?
- 答:嗯。这是服务端虚假请求,可以用来access外网获取不到的主机。
- 问:如何探测存活IP?
- 答:可以使用 nmap 工具进行存活性探测,命令nmap-sP-n-ilip.txt-oA OUTPUT --no-stylesheet 在 Linux 中使用cat OUTPUT.gnmap |grep Up |awk'{print $2y'>ip_cunhuo.txt即可得到存活 IP。
- 问:如何识别挖矿流量?
- 答:通常挖矿木马会造成高CPU占有率、网络流量、非常规的文件名,并且会使用非标准端口通信。
- 问:如何识别告警流量是否为误报?
- 答:看访问路径中是否存在特殊文件或路径、是否有sql语句、是否有XSS脚本等。
设备相关:天眼
同一条攻击流量会触发2条告警原因
- 可能是同一条告警流量触发2条告警规则
- 同一条告警流量可能会有多个ip,因为外网ip到内网ip会进行ip转换
- xff 字段进行提取ip的时候,可能会提取多次
日志检索语句
- AND 运算符(AND、&& 或 +)
- OR 运算符(OR 或 ||)
- NOT 运算符(NOT、! 或 -)
1- dip -- 被攻击的ip 2- dport -- 被攻击的端口 3- sip -- 源ip 4- sport -- 源端口 5- uri -- 请求的url地址 6- data -- 请求包的正文内容 7- status -- 响应包的状态码 8- host -- 域名
威胁告警
1- attack_sip -- 攻击者ip 2- alarm_sip -- 受害者ip 3- attack_type -- 攻击类型 4- is_web_attack -- 用于标记告警是否是web告警(1:是 0:否) 5- hazard_level -- 威胁级别(取值:0~10) 12345
天眼界面服务
- 流量传感器(探针)
- 文件威胁鉴定器(沙箱)
- 分析平台
- 天擎(并不一定有)
天眼菜单界面:
- 流量传感器
- 状态监听,威胁告警,规则配置,策略配置,系统配置
- 分析平台
- 威胁感知-告警列表,分析中心-日志检索
告警类型:
- 企图
- 成功
- 失陷
- 失败
注意事项
- 尽量掌握主动权,把故事讲圆满。不要直接说不知道。