网络安全面试过程中经常被问到的应急响应问题

《网安面试指南》http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484339&idx=1&sn=356300f169de74e7a778b04bfbbbd0ab&chksm=c0e47aeff793f3f9a5f7abcfa57695e8944e52bca2de2c7a3eb1aecb3c1e6b9cb6abe509d51f&scene=21#wechat_redirect

《Java代码审计》http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484219&idx=1&sn=73564e316a4c9794019f15dd6b3ba9f6&chksm=c0e47a67f793f371e9f6a4fbc06e7929cb1480b7320fae34c32563307df3a28aca49d1a4addd&scene=21#wechat_redirect

《Web安全》http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484238&idx=1&sn=ca66551c31e37b8d726f151265fc9211&chksm=c0e47a12f793f3049fefde6e9ebe9ec4e2c7626b8594511bd314783719c216bd9929962a71e6&scene=21#wechat_redirect

先启用运维应急预案，保证业务稳定运行 系统稳定（网络、系统文件、启动项、库、内存） 经验是不可替代的 以事件关联思维思考安全事故 所有操作必须有记录和时间。

1. 部署安全系统

• 所有主机时钟同步

• 服务器监控系统

• 系统日志系统

• NIPS、WAF、HIDS

• 蜜罐

• 主机加固

• 数据库审计

• NTA流量可视化

• 代码密钥泄露扫描

• 堡垒机

• 漏洞预警平台

• SIEM

2. 收到入侵告警

• 安骑士

• 蜜罐

• NIDS

• DNS日志

• 外联域名

• 数据库审计系统

• 大量拖库日志

• 服务器崩溃或重启

• 客服接到黑客信息

• 服务器响应速度太慢

• 非工作时间链接服务器

• 异常网络流量，比如ping或扫描操作；

• 一批服务器被远程外联

• 文件完整性报警

• 客户数据流失

• 服务器发现文件被加密

3. 信息收集

• 对业务有什么影响

• 被入侵项目名称

• 大体架构

• 报警信息

• 受害主机数量

• 黑客域名、IP

• 安全系统的日志

• 木马样本

• 服务器是否能出网

• 是否统一管理入口（堡垒机）

• 对外开放端口

• 黑客所有行为记录

• 操作系统版本

• 补丁情况

4. 入侵分析

• 情报威胁平台查看URL、病毒文件、IP、域名

• 定位黑客肉机，或第一入侵点

• 服务器外联哪个地址，黑客IP

• 分析入侵点，哪台机器最先被渗透

• 通过蜜罐看攻击源

• 查看所有安全设备的日志，定位攻击面

• 是否是办公网机器执行的操作

• 通过服务器所属组，是否云账号泄露

• 病毒分析

• 所有可能受攻击机器

• 预加载库配置文件是否被修改

• 动态链接库配置文件是否被修改

• 查看系统启动项

• 使用公司知识库参考以往类似案例

5. 安全事故类型

• 被远控

• 木马植入

• 留后门

• CPU飙高

• 异常流量

• rootkit

• 挖矿

• 勒索病毒

• sql拖库

• web渗透

• 留黑页，网页挂马

• webshell

• 云账号泄露

• 监守自盗

• 爆破

• 账密泄露

• 办公网被入侵

• 网络攻击

• 劫持

• 查看所有应用的爆破日志和登录日志，比如ssh和mysql，dns；

• 杀死恶意进程

• 查看动态链接库后门

6. 快速应急方案

• 把黑客IP加入黑名单，直接给DD死，把应用切换走

• 禁止主动出网，阻断黑客远控行为

• 查对外的端口，如果有高危漏洞应用就加白名单

• 删除木马文件，杀死进程，如果rootkit就服务器下线

• 找到还能出网机器重点做安全加固

• 深度安全检测，不重要服务器直接下线

• 不允许直接访问服务器，防止正向shell，用代理即可

• 把黑客IP加入黑名单

• 查对外的端口，如果有高危漏洞应用就加白名单

• 禁止主动出网，阻断黑客远控行为

• 机器直接下线

• 看公开漏洞就行了，redis、mongodb、MySQL等

• 不允许直接访问服务器，防止正向shell，用代理即可

• 把黑客IP加入黑名单

• 在加一层云waf，只启用owasp防御功能

• 开发修改接口

• 给接口添加验证码做人机识别

• ip每分钟限制访问10次同一接口

• 通过ngingx日志找到有漏洞的接口

• 查服务器上是否有木马和webshell

• 1. 找到日志，看哪台机器产生的，把关键字找到

• 2. 去到文件里，确认真的被注入webshell，有很多是黑客的扫描日志

• 3. 立刻删除，去看从哪个接口进来的，根据webshell内容作为关键字全盘搜索，尤其是Java 日志

• 4. 找所有nginx 日志，找到这个请求接口，用ack命令，比grep 还好用

• 5. 确定具体的接口，让开发去修改过滤

• 立即修改云账号，修改密钥，云平台远程桌面做一次远程连接，第二次就需要手机号验证了，敏感操作和登录启用手机验证码，不要在电脑上用验证码。 

• 把黑客IP加入黑名单

• 办公电脑断网，重做系统

• 查堡垒机所有日志

• 查服务器后门

• 所有服务器深度安全检测

• 禁止主动出网，阻断黑客远控行为

• 更换全部密码和密钥和token

• ip每分钟限制访问10次同一接口

• 挂一个云waf，只启用owasp防御功能

• 给接口添加验证码做人机识别

• 加个云锁，做频率限制，iptables也行

• 做白名单

• 改个复杂密码或改成密钥

• 把黑客IP加入黑名单

• 禁止主动出网，阻断黑客远控行为

• 不允许直接访问服务器，防止正向shell，用代理即可

• 修改密码或密钥

• 深度安全检测

• 找到代码泄露人和泄露途径，全部改一遍

• 把黑客IP加入黑名单

• 把办公网IP全部不是白名单，只用VPN为白名单

• 不用的机器或下班后，机器全部关机，重做系统

• 密码全部修改或添加二次验证，手机作为验证码

• 给IP做限速

• 加CDN，比如cloudflare

• 加https

• 修复百度快照劫持服务器的漏洞

• HTTPDNS

• 查看前端js代码，oss，清cdn缓存，前端代码服务器；

1. 定义后查看动态链接库的方式(动态链接库在/usr/lib64)：echo $PATH echo $LD_PRELOAD cat /etc/ld.so.preload ls /etc/ld.so.conf.d / cat /etc/ld.so.conf 用starce命令检查下系统命令：strace -f -e trace=file /bin/ls

2. 中动态链接库木马的现象：使用普通命令得到的结果，和使用busybox的结果不同；有些命令用stat查看，时间被修改了；ldd elf文件名（如果正常系统没这个库就是木马了）

3. 修复方法：./busybox lsattr -ia /etc/ld.so.preload ./busybox chattr -ia /etc/ld.so.preload ./busybox rm -rf/etc/ld.so.preload /lib/cub3.so

7. 应急收尾工作

• 木马及后门清除

• 弱密码扫描

• 清除预加载库

• 溯源

• 安全事故报告

• 打补丁

• 渗透测试

• 通过NIDS找到异常流量主机，定位入侵点

• 安全加固

• 清除报警，取消噪音

• 看堡垒机日志，看是不是自己人的操作

• 通过日志找web漏洞渗透接口

• 分析黑客渗透思维，以他的思维思考一边

• 查看内网是否被渗透

• 最后前端要做加签，和js 加密和请求参数加密，后端验签就够了

8. 永久解决方案

• 不影响其他项目

• 不影响其他网段

• 应用迁移

• 打补丁

• 机房ip不允许直接对外开放，可加一层代理

• 内外网防火墙策略和安装安骑士

• 找到重要机器，重点做防御

9. 给出安全建议

• 最小化原则

• 是否统一管理入口（堡垒机）

• 渗透测试

• 非工作时间禁止连接办公电脑和服务器

• 有必须上外网机器，可以用代理或者临时关闭防火墙就行

• 所有机器可以快速迁移

• 持续跟踪检测类似报警

• 日志统一放服务器上，防止黑客清理痕迹

• 安全意识培训