首页 > 其他分享 >网络安全面试过程中经常被问到的应急响应问题

网络安全面试过程中经常被问到的应急响应问题

时间:2024-09-28 22:55:06浏览次数:10  
标签:网络安全 IP 接口 面试 黑客 so 问到 服务器 日志

《网安面试指南》icon-default.png?t=O83Ahttp://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484339&idx=1&sn=356300f169de74e7a778b04bfbbbd0ab&chksm=c0e47aeff793f3f9a5f7abcfa57695e8944e52bca2de2c7a3eb1aecb3c1e6b9cb6abe509d51f&scene=21#wechat_redirect

《Java代码审计》icon-default.png?t=O83Ahttp://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484219&idx=1&sn=73564e316a4c9794019f15dd6b3ba9f6&chksm=c0e47a67f793f371e9f6a4fbc06e7929cb1480b7320fae34c32563307df3a28aca49d1a4addd&scene=21#wechat_redirect

《Web安全》icon-default.png?t=O83Ahttp://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484238&idx=1&sn=ca66551c31e37b8d726f151265fc9211&chksm=c0e47a12f793f3049fefde6e9ebe9ec4e2c7626b8594511bd314783719c216bd9929962a71e6&scene=21#wechat_redirect

先启用运维应急预案,保证业务稳定运行 系统稳定(网络、系统文件、启动项、库、内存) 经验是不可替代的 以事件关联思维思考安全事故 所有操作必须有记录和时间。

1. 部署安全系统

  • 所有主机时钟同步

  • 服务器监控系统

  • 系统日志系统

  • NIPS、WAF、HIDS

  • 蜜罐

  • 主机加固

  • 数据库审计

  • NTA流量可视化

  • 代码密钥泄露扫描

  • 堡垒机

  • 漏洞预警平台

  • SIEM

2. 收到入侵告警

  • 安骑士

  • 蜜罐

  • NIDS

  • DNS日志

  • 外联域名

  • 数据库审计系统

  • 大量拖库日志

  • 服务器崩溃或重启

  • 客服接到黑客信息

  • 服务器响应速度太慢

  • 非工作时间链接服务器

  • 异常网络流量,比如ping或扫描操作;

  • 一批服务器被远程外联

  • 文件完整性报警

  • 客户数据流失

  • 服务器发现文件被加密

3. 信息收集

  • 对业务有什么影响

  • 被入侵项目名称

  • 大体架构

  • 报警信息

  • 受害主机数量

  • 黑客域名、IP

  • 安全系统的日志

  • 木马样本

  • 服务器是否能出网

  • 是否统一管理入口(堡垒机)

  • 对外开放端口

  • 黑客所有行为记录

  • 操作系统版本

  • 补丁情况

4. 入侵分析

  • 情报威胁平台查看URL、病毒文件、IP、域名

  • 定位黑客肉机,或第一入侵点

  • 服务器外联哪个地址,黑客IP

  • 分析入侵点,哪台机器最先被渗透

  • 通过蜜罐看攻击源

  • 查看所有安全设备的日志,定位攻击面

  • 是否是办公网机器执行的操作

  • 通过服务器所属组,是否云账号泄露

  • 病毒分析

  • 所有可能受攻击机器

  • 预加载库配置文件是否被修改

  • 动态链接库配置文件是否被修改

  • 查看系统启动项

  • 使用公司知识库参考以往类似案例

5. 安全事故类型

  • 被远控

  • 木马植入

  • 留后门

  • CPU飙高

  • 异常流量

  • rootkit

  • 挖矿

  • 勒索病毒

  • sql拖库

  • web渗透

  • 留黑页,网页挂马

  • webshell

  • 云账号泄露

  • 监守自盗

  • 爆破

  • 账密泄露

  • 办公网被入侵

  • 网络攻击

  • 劫持

  • 查看所有应用的爆破日志和登录日志,比如ssh和mysql,dns;

  • 杀死恶意进程

  • 查看动态链接库后门

6. 快速应急方案

  • 把黑客IP加入黑名单,直接给DD死,把应用切换走

  • 禁止主动出网,阻断黑客远控行为

  • 查对外的端口,如果有高危漏洞应用就加白名单

  • 删除木马文件,杀死进程,如果rootkit就服务器下线

  • 找到还能出网机器重点做安全加固

  • 深度安全检测,不重要服务器直接下线

  • 不允许直接访问服务器,防止正向shell,用代理即可

  • 把黑客IP加入黑名单

  • 查对外的端口,如果有高危漏洞应用就加白名单

  • 禁止主动出网,阻断黑客远控行为

  • 机器直接下线

  • 看公开漏洞就行了,redis、mongodb、MySQL等

  • 不允许直接访问服务器,防止正向shell,用代理即可

  • 把黑客IP加入黑名单

  • 在加一层云waf,只启用owasp防御功能

  • 开发修改接口

  • 给接口添加验证码做人机识别

  • ip每分钟限制访问10次同一接口

  • 通过ngingx日志找到有漏洞的接口

  • 查服务器上是否有木马和webshell

  • 1. 找到日志,看哪台机器产生的,把关键字找到

  • 2. 去到文件里,确认真的被注入webshell,有很多是黑客的扫描日志

  • 3. 立刻删除,去看从哪个接口进来的,根据webshell内容作为关键字全盘搜索,尤其是Java 日志

  • 4. 找所有nginx 日志,找到这个请求接口,用ack命令,比grep 还好用

  • 5. 确定具体的接口,让开发去修改过滤

  • 立即修改云账号,修改密钥,云平台远程桌面做一次远程连接,第二次就需要手机号验证了,敏感操作和登录启用手机验证码,不要在电脑上用验证码。 

  • 把黑客IP加入黑名单

  • 办公电脑断网,重做系统

  • 查堡垒机所有日志

  • 查服务器后门

  • 所有服务器深度安全检测

  • 禁止主动出网,阻断黑客远控行为

  • 更换全部密码和密钥和token

  • ip每分钟限制访问10次同一接口

  • 挂一个云waf,只启用owasp防御功能

  • 给接口添加验证码做人机识别

  • 加个云锁,做频率限制,iptables也行

  • 做白名单

  • 改个复杂密码或改成密钥

  • 把黑客IP加入黑名单

  • 禁止主动出网,阻断黑客远控行为

  • 不允许直接访问服务器,防止正向shell,用代理即可

  • 修改密码或密钥

  • 深度安全检测

  • 找到代码泄露人和泄露途径,全部改一遍

  • 把黑客IP加入黑名单

  • 把办公网IP全部不是白名单,只用VPN为白名单

  • 不用的机器或下班后,机器全部关机,重做系统

  • 密码全部修改或添加二次验证,手机作为验证码

  • 给IP做限速

  • 加CDN,比如cloudflare

  • 加https

  • 修复百度快照劫持服务器的漏洞

  • HTTPDNS

  • 查看前端js代码,oss,清cdn缓存,前端代码服务器;

  1. 定义后查看动态链接库的方式(动态链接库在/usr/lib64):echo $PATH echo $LD_PRELOAD cat /etc/ld.so.preload ls /etc/ld.so.conf.d / cat /etc/ld.so.conf 用starce命令检查下系统命令:strace -f -e trace=file /bin/ls

  2. 中动态链接库木马的现象:使用普通命令得到的结果,和使用busybox的结果不同;有些命令用stat查看,时间被修改了;ldd elf文件名(如果正常系统没这个库就是木马了)

  3. 修复方法:./busybox lsattr -ia /etc/ld.so.preload ./busybox chattr -ia /etc/ld.so.preload ./busybox rm -rf/etc/ld.so.preload /lib/cub3.so

7. 应急收尾工作

  • 木马及后门清除

  • 弱密码扫描

  • 清除预加载库

  • 溯源

  • 安全事故报告

  • 打补丁

  • 渗透测试

  • 通过NIDS找到异常流量主机,定位入侵点

  • 安全加固

  • 清除报警,取消噪音

  • 看堡垒机日志,看是不是自己人的操作

  • 通过日志找web漏洞渗透接口

  • 分析黑客渗透思维,以他的思维思考一边

  • 查看内网是否被渗透

  • 最后前端要做加签,和js 加密和请求参数加密,后端验签就够了

8. 永久解决方案

  • 不影响其他项目

  • 不影响其他网段

  • 应用迁移

  • 打补丁

  • 机房ip不允许直接对外开放,可加一层代理

  • 内外网防火墙策略和安装安骑士

  • 找到重要机器,重点做防御

9. 给出安全建议

  • 最小化原则

  • 是否统一管理入口(堡垒机)

  • 渗透测试

  • 非工作时间禁止连接办公电脑和服务器

  • 有必须上外网机器,可以用代理或者临时关闭防火墙就行

  • 所有机器可以快速迁移

  • 持续跟踪检测类似报警

  • 日志统一放服务器上,防止黑客清理痕迹

  • 安全意识培训

标签:网络安全,IP,接口,面试,黑客,so,问到,服务器,日志
From: https://blog.csdn.net/jxiang213/article/details/142603093

相关文章

  • 【C语言】手把手带你拿捏指针(完)(指针笔试、面试题解析)
    文章目录一、sizeof和strlen的对⽐1.sizeof2.strlen3.sizeof与strlen对比二、数组和指针笔试解析1.一维数组2.字符、字符串数组和字符指针代码1代码2代码3代码4代码5代码63.二维数组4.总结三、指针运算笔试题解析代码1代码2代码3代码4代码5代码6一、sizeof和strl......
  • C++多线程与并发类面试题
    题目来源:https://subingwen.cn/cpp/thread/https://mp.weixin.qq.com/s?__biz=Mzg4NDQ0OTI4Ng==&mid=2247489580&idx=1&sn=b9ac83040601230ff897f3394e956cea&chksm=cfb95145f8ced8536d5dcfa7d3165e3a51f5cb40e52f699745df0d8f71e4f7591674cd5cf156&token=......
  • 面试题 02.07. 链表相交
    明天回家喽,最近在学习的瓶颈期,感觉学的东西好难,有厌学的心理,但是我相信过了这段煎熬的时期,就好了。classSolution{public:ListNode*getIntersectionNode(ListNode*headA,ListNode*headB){intna=0,nb=0;ListNode*tempA=headA;L......
  • 2024java社招面试(亲身经历8w字,更新中)
    一、Java基础部分面试题1.Java面向对象的三个特征封装:对象只需要选择性的对外公开一些属性和行为。继承:子对象可以继承父对象的属性和行为,并且可以在其之上进行修改以适合更特殊的场景需求。多态:允许不同类的对象对同一消息做出响应。2.Java中基本的数据类型有哪些以......
  • 全网最新Java面试八股文题
    1、ThreadPoolExecutor对象有哪些参数怎么设定核心线程数和最大线程数拒绝策略有哪些  难度系数:⭐corePoolSize:核心线程池的大小maximumPoolSize:线程池能创建线程的最大个数keepAliveTime:空闲线程存活时间unit:时间单位,为keepAliveTime指定时间单位workQueue:阻塞队......
  • 网络安全(黑客技术)-2024自学手册
    一、什么是网络安全  网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。  无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如Web 安全技术,既......
  • 前端面试题
    1.缓存前端缓存前端缓存是Web开发中用于提高页面加载速度和减轻服务器负担的一种技术。它主要指的是资源(如HTML、CSS、JavaScript、图片等)在客户端(浏览器)的存储和复用。当浏览器再次请求相同的资源时,如果缓存中存在且未过期,浏览器将直接从缓存中加载资源,而不是向服务器发送请......
  • 【网络安全安全管理入门必知必会】什么是等级保护?零基础入门到精通,收藏这篇就够了
    前言这是西西给粉丝盆友们整理的网络安全安全管理阶段第1篇。喜欢的朋友们,记得点赞支持和收藏一下,关注我,学习黑客技术。1.什么是等级保护?1.1.概念信息安全等级保护是指根据我国《信息安全等级保护管理办法》的规定,对各类信息系统按照其重要程度和保密需求进行分级,并......
  • SSM大学生网络安全题库系统35ei2 密码MD5加密
    本系统(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。系统程序文件列表系统内容:学生,教师,资料分类,学习资料,安全知识开题报告内容一、研究背景与意义随着互联网技术的飞速发展,网络安全问题日益凸显,成为社会各界关注的焦点。大学......
  • 京东面试:RR隔离mysql如何实现?什么情况RR不能解决幻读?
    文章很长,且持续更新,建议收藏起来,慢慢读!疯狂创客圈总目录博客园版为您奉上珍贵的学习资源:免费赠送:《尼恩Java面试宝典》持续更新+史上最全+面试必备2000页+面试必备+大厂必备+涨薪必备免费赠送:《尼恩技术圣经+高并发系列PDF》,帮你实现技术自由,完成职业升级,薪......