HW面试应急响应之场景题

(1)dns 报警就一定是感染了吗?怎么处理?

不一定。

引起dns报警的情况有:恶意软件感染,域名劫持,DNS欺骗,DDoS攻击等。

处理方法:

1、分析报警,查看报警类型、源IP地址、目标域名等,分析确定是否存在异常或潜在威胁。

2、流量分析

3、查看日志

4、利用威胁情报平台查看相关的IP地址、域名或URL是否被标记为恶意或可疑的。5、响应和隔离

(2)公网 ip 未流量交互,内网报警是什么情况?怎么处理

情况:

1、内部恶意活动引起的,如未经授权的访问、数据泄露等。

2、内部网络被入侵

3、内部配置问题,如防火墙设置,IDS配置错误等。

处理:

1、分析报警:报警类型、源IP地址、目标IP地址等。

2、流量分析:查看内部网络中的通信活动,包括源和目标IP地址、协议和端口等,以确定是否存在异常或恶意活动。

3、日志分析:检查内部设备的日志

4、内部调查:确定是否是内部用户活动引起的

5、隔离和响应

(3) 一台主机在内网进行横向攻击,怎么处理

查看是否是误报,如果不是误报采取以下措施

1、隔离受感染的主机

2、收集证据:收集有关攻击的证据,包括日志、网络流量、被修改或受感染的文件等。

3、确定攻击的方式和方法,采取措施停止攻击行为。

4、清除恶意代码,更新和修补系统,密码和凭证重置,安全审查和加固。

(4) 遇到一个挖矿病毒,你会怎么处理?

**1、判断(第一步先判断)

**1.查看cpu占用率(判断CPU占用率高不高)

2.查看天眼的流量分析,是否去别的有危险的网站下载东西,然后在本地执行了挖矿的一些命令:

(结合天眼设备分析,看是否去可疑网站下载过东西或在本地执行挖矿命令)

3.是否有外连,向远程ip的请求:(是否有外连或者远程ip请求 netstart -ano 查看所有端口)

2、事件分析(第二步分析)

(1)登录网站服务器,查看进程是否有异常;(查看网站服务器是否有异常进程 系统命令tasklist)

(2)进行查看异常进程的服务项是什么.选择可疑服务项,然后停止服务,其启动类型会变为静止。(并查看它的服务项,尤其是可疑服务项(系统命令services.msc查看服务项))

(3)进行查看一下计划任务有没有可疑的(查看一下有没有可疑的计划任务)

3、临时解决方案(最后解决并处置)

(1)停止并禁用可疑服务项,有时候服务项的名称会变,但描述不会变,根据描述快速找到可疑服务项,删除服务项;(然后根据描述寻找可疑服务项,停用可疑服务项)

(2)根据实际存在木马的路径,进行删除木马(如果知道木马路径的话,直接删马)

(3)重启计算机;

(4)使用杀软全盘查杀

(5) 知道一个恶意攻击我们的域名,反查域名后得到一个 IP,但是 此 IP 没有和我们交互流量,请问原因是什么

1、转发或代理服务器:攻击者可能使用转发或代理服务器作为中间节点来隐藏其真实IP地址。这样,攻击流量会经过转发或代理服务器,而不是直接与我们的系统交互。

2、假冒IP地址:攻击者可能使用了虚假的IP地址进行攻击,以隐藏其真实身份和来源。

3、攻击者未成功进入系统:尽管发现了恶意攻击的域名和相关IP地址,但攻击者可能尚未成功进入系统或发起有效的攻击。

**(6)判断误报

**首先看ip是内网ip还是外网ip

1)如果是内网ip,并且有明显的恶意请求,比如ipconfig那么此内网服务器可能会失陷。还有可能就是内网的系统有一些业务逻辑问题,因为内网在部署的时候很少会考虑一些安全问题。比如说内网的业务逻辑携带了一些sql语句,这一类属于误报

2)如果是外网ip,根据请求报和响应包的内容进行对比判断。比如sql语句查询用户名密码,然后响应包返回了相应的内容,这一类是属于恶意攻击。

(7)文件上传数据包如何判断是不是攻击

1、查看响应体响应结果判断服务器是否接受了该上传请求,上传成功通常状态码为200,查看响应体中是否响应了上传路径,访问该上传路径查看文件是否被解析是否存在

2、通过查看日志判断文件是否落地

3、登陆受害者主机全局搜索上传文件

(8)流量层面分析Apache Log4j2 远程代码执行漏洞是否攻击成功?

1、dnslog类:查看是否存在源ip与dnslog的外联日志记录

2、命令执行攻击

2.1 有回显:响应体中存在命令执行结果

2.2无回显 :存在源ip与ldap服务ip的外联日志记录

(9)如何研判JBOSS 反序列化漏洞攻击成功?

1.在访问JBOSS漏洞页面/invoker/readonly后,返回值为500

2.请求体有collections.map.LazyMap、keyvalue.TiedMapEntry攻击链特征并且有明显的命令执行行为,比如whoami。

3.在返回500 堆栈报错页面内容中包含了系统返回内容 比如系统用户:root

(10)如何研判Fastjson反序列化漏洞攻击成功?

1.请求头:method: POST content_type: application/json

2、请求体:data:com.sun.rowset.JdbcRowSetlmpl,dataSourceName,@type

3.请求体: 包含攻击者C2服务器地址

4.状态码为:400 也可能是500

5.通过天眼分析平台进行回溯分析,在分析中心输入语法:(sip:(失陷服务器P)OR sip:(攻击者C2IP)AND(dip:(失陷服务器IP)OR dip:(攻击者C2lP)

(11)如何在流量层面分析struts2命令执行是否成功

1.查看请求头或请求体中是否含有OGNL表达式,Struts2 命令执行的原理是通过 Ognl表达式执行 java 代码

2.查看请求头或请求体中是否存在命令执行类代码

3.查看响应体是否返回上述命令执行的结果

(12)要判断Log4j漏洞攻击是否成功,可以采取以下措施

1、监视受感染应用程序的日志,查看是否有异常或错误信息,或者是否包含与攻击相关的信息。

2、监视网络流量,查看是否有大量的请求被发送到攻击者的服务器。

3、检查系统中的异常或警告信息,例如系统崩溃、不正常的CPU使用率或内存使用率等。

4、在受感染的系统中进行代码审查,查看是否有与攻击相关的代码或配置文件。

(13)负载均衡 XFF 头里有 IP0 IP1 IP2,请问哪个是真实 IP?

X-Forwarded-For头信息可以有多个,中间用逗号分隔,第一项为真实的客户端IP,剩下的就是曾经经过的代理或负载均衡的IP地址。

X-Forwarded-For: client1, proxy1, proxy2

因此为IP0

(14)溯源思路

首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式,通过webshell或者木马去微步分析,或者去安恒威胁情报中心进行ip检测分析,是不是云服务器,基站等,如果是云服务器的话可以直接反渗透,看看开放端口,域名,whois等进行判断,获取姓名电话等丢社工库看看能不能找到更多信息然后收工

相关推荐
独行soc4 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
Clockwiseee5 小时前
php伪协议
windows·安全·web安全·网络安全
Lspecialnx_10 小时前
文件解析漏洞中间件(iis和Apache)
网络安全·中间件
学习溢出11 小时前
【网络安全】逆向工程 练习示例
网络·安全·网络安全·渗透测试·逆向工程
孤独的履行者14 小时前
入门靶机:DC-1的渗透测试
数据库·python·网络安全
Blankspace学15 小时前
Wireshark软件下载安装及基础
网络·学习·测试工具·网络安全·wireshark
CVE-柠檬i18 小时前
Yakit靶场-高级前端加解密与验签实战-全关卡通关教程
网络安全
轨迹H1 天前
kali设置中文输入法
linux·网络安全·渗透测试·kali
cr.sheeper1 天前
Vulnhub靶场Apache解析漏洞
网络安全·apache