标签:webshell 面试题 暴露 常见 端口 源码 服务器进行 CPU 护网
- 挖矿病毒的特征、识别方式及处理方式
挖矿病毒的典型特征是会长时间占用大量的CPU资源。
处理方式:1、任务管理器查看CPU占用情况(Linux用top命令与ps命令),找出CPU长时间占用过高的进程
2、查到进程名称,定位进程所在的位置,收集到相关信息,kill查杀。
3、分析安全日志、历史命令等,查找木马来源、运行时间、账户等;
4、检查计划任务、自启动服务、开机启动项等是否存在异常任务;
5、检查登记记录、隐藏账户、SSH认证等是否异常、防止木马留下后门;
6、检查防火墙、杀毒软件是否被篡改配置、信任指定端口、加入白名单或开始静默模式;对服务器进行查杀。
- 发现WebShell如何处置
1、如果有条件,第一步尽量先对服务器进行快照,保留案发现场
2、记录webshell的创建时间、修改时间、最近访问时间等信息,确定被入侵的大致时间
3、查看webshell源码,收集webshell的连接方式等,排查此时间
4、删除webshell,必要时可以对其中的代码进行备份留存。
5、尝试复现漏洞。梳理攻击过程,并对其进行修复
6、对系统进行全面检查,如是否被写入其他webshell(可借助D盾扫描工具)、可疑文件、克隆用户、计划任务等
- 大批量钓鱼邮件且中招,如何应急
1、发送全员紧急预警,提醒切勿继续中招。必要时隔离网络,防止钓鱼邮件继续扩散。
2、提醒已中招用户及时修改密码等敏感信息,全盘杀毒,协助排查客户个人电脑中的文件,如有木马、勒索程序、后门立即清除。
3、从发送者邮箱、钓鱼邮件源码入手,收集发送者相关个人信息与钓鱼数据最终前往的目的服务器;信息收集、社工、IP反查、域名备案管理等手段查询目的站相关信息
4、端口、子域名、目录扫描等手段对目标服务器进行渗透
- 企业互联网暴露面有哪些
1、运营单位拥有的或控制的域名、IP、网站、代码框架、应用系统、公众号、小程序、源代码、数据资产等。可已进行入侵的系统、设备、信息等都属于暴露面。
2、遗忘或者关注度少的资产,缺少相应监测手段,容易出现注入、代码问题、跨站脚本、配置错误、远程代码执行等漏洞风险。
3、企业敏感端口风险,由于资产云化、边界不受控制、流程管理问题、安全意识差是导致敏感端口大门向外开发的主要原因,敏感端口暴露主要有22、21、3389、3306、23
4、系统源码-开源、权限、url、PID、COOK
5、网盘和文库数据泄露主要渠道。内部数据外泄,也是攻击者重点关注,尤其是高敏感数据和文档。
6、暗网数据暴漏。
- 减少暴露面
1、对未知IT资产进行梳理,减少风险暴露面:梳理违规搭建、非法在运、过期退运、临时发布的系统,以及访问控制不当而泄露的内网管理系统与开发测试环境系统,提升网络攻击的难度并缩小防御面。
2、及时发现异常行为,并进行应急处置:
标签:webshell,
面试题,
暴露,
常见,
端口,
源码,
服务器进行,
CPU,
护网
From: https://www.cnblogs.com/ysjh/p/18662438