HW面试应急响应之场景题

(1)dns 报警就一定是感染了吗?怎么处理?

不一定。

引起dns报警的情况有:恶意软件感染,域名劫持,DNS欺骗,DDoS攻击等。

处理方法:
1、分析报警,查看报警类型、源IP地址、目标域名等,分析确定是否存在异常或潜在威胁。
2、流量分析
3、查看日志
4、利用威胁情报平台查看相关的IP地址、域名或URL是否被标记为恶意或可疑的。5、响应和隔离

(2)公网 ip 未流量交互,内网报警是什么情况?怎么处理

情况:
1、内部恶意活动引起的,如未经授权的访问、数据泄露等。
2、内部网络被入侵
3、内部配置问题,如防火墙设置,IDS配置错误等。

处理:
1、分析报警:报警类型、源IP地址、目标IP地址等。
2、流量分析:查看内部网络中的通信活动,包括源和目标IP地址、协议和端口等,以确定是否存在异常或恶意活动。
3、日志分析:检查内部设备的日志
4、内部调查:确定是否是内部用户活动引起的
5、隔离和响应

(3) 一台主机在内网进行横向攻击,怎么处理

查看是否是误报,如果不是误报采取以下措施
1、隔离受感染的主机
2、收集证据:收集有关攻击的证据,包括日志、网络流量、被修改或受感染的文件等。
3、确定攻击的方式和方法,采取措施停止攻击行为。
4、清除恶意代码,更新和修补系统,密码和凭证重置,安全审查和加固。

(4) 遇到一个挖矿病毒,你会怎么处理?

**1、判断(第一步先判断)

**1.查看cpu占用率(判断CPU占用率高不高)
2.查看天眼的流量分析,是否去别的有危险的网站下载东西,然后在本地执行了挖矿的一些命令:
(结合天眼设备分析,看是否去可疑网站下载过东西或在本地执行挖矿命令)
3.是否有外连,向远程ip的请求:(是否有外连或者远程ip请求 netstart -ano 查看所有端口)

2、事件分析(第二步分析)

(1)登录网站服务器,查看进程是否有异常;(查看网站服务器是否有异常进程 系统命令tasklist)
(2)进行查看异常进程的服务项是什么.选择可疑服务项,然后停止服务,其启动类型会变为静止。(并查看它的服务项,尤其是可疑服务项(系统命令services.msc查看服务项))
(3)进行查看一下计划任务有没有可疑的(查看一下有没有可疑的计划任务)

3、临时解决方案(最后解决并处置)

(1)停止并禁用可疑服务项,有时候服务项的名称会变,但描述不会变,根据描述快速找到可疑服务项,删除服务项;(然后根据描述寻找可疑服务项,停用可疑服务项)
(2)根据实际存在木马的路径,进行删除木马(如果知道木马路径的话,直接删马)
(3)重启计算机;
(4)使用杀软全盘查杀

(5) 知道一个恶意攻击我们的域名,反查域名后得到一个 IP,但是 此 IP 没有和我们交互流量,请问原因是什么

1、转发或代理服务器:攻击者可能使用转发或代理服务器作为中间节点来隐藏其真实IP地址。这样,攻击流量会经过转发或代理服务器,而不是直接与我们的系统交互。
2、假冒IP地址:攻击者可能使用了虚假的IP地址进行攻击,以隐藏其真实身份和来源。
3、攻击者未成功进入系统:尽管发现了恶意攻击的域名和相关IP地址,但攻击者可能尚未成功进入系统或发起有效的攻击。

**(6)判断误报

**首先看ip是内网ip还是外网ip
1)如果是内网ip,并且有明显的恶意请求,比如ipconfig那么此内网服务器可能会失陷。还有可能就是内网的系统有一些业务逻辑问题,因为内网在部署的时候很少会考虑一些安全问题。比如说内网的业务逻辑携带了一些sql语句,这一类属于误报

2)如果是外网ip,根据请求报和响应包的内容进行对比判断。比如sql语句查询用户名密码,然后响应包返回了相应的内容,这一类是属于恶意攻击。

(7)文件上传数据包如何判断是不是攻击

1、查看响应体响应结果判断服务器是否接受了该上传请求,上传成功通常状态码为200,查看响应体中是否响应了上传路径,访问该上传路径查看文件是否被解析是否存在
2、通过查看日志判断文件是否落地
3、登陆受害者主机全局搜索上传文件

(8)流量层面分析Apache Log4j2 远程代码执行漏洞是否攻击成功?

1、dnslog类:查看是否存在源ip与dnslog的外联日志记录
2、命令执行攻击
2.1 有回显:响应体中存在命令执行结果
2.2无回显 :存在源ip与ldap服务ip的外联日志记录

(9)如何研判JBOSS 反序列化漏洞攻击成功?

1.在访问JBOSS漏洞页面/invoker/readonly后,返回值为500
2.请求体有collections.map.LazyMap、keyvalue.TiedMapEntry攻击链特征并且有明显的命令执行行为,比如whoami。
3.在返回500 堆栈报错页面内容中包含了系统返回内容 比如系统用户:root

(10)如何研判Fastjson反序列化漏洞攻击成功?

1.请求头:method: POST content_type: application/json
2、请求体:data:com.sun.rowset.JdbcRowSetlmpl,dataSourceName,@type
3.请求体: 包含攻击者C2服务器地址
4.状态码为:400 也可能是500
5.通过天眼分析平台进行回溯分析,在分析中心输入语法:(sip:(失陷服务器P)OR sip:(攻击者C2IP)AND(dip:(失陷服务器IP)OR dip:(攻击者C2lP)

(11)如何在流量层面分析struts2命令执行是否成功

1.查看请求头或请求体中是否含有OGNL表达式,Struts2 命令执行的原理是通过 Ognl表达式执行 java 代码
2.查看请求头或请求体中是否存在命令执行类代码
3.查看响应体是否返回上述命令执行的结果

(12)要判断Log4j漏洞攻击是否成功,可以采取以下措施

1、监视受感染应用程序的日志,查看是否有异常或错误信息,或者是否包含与攻击相关的信息。
2、监视网络流量,查看是否有大量的请求被发送到攻击者的服务器。
3、检查系统中的异常或警告信息,例如系统崩溃、不正常的CPU使用率或内存使用率等。
4、在受感染的系统中进行代码审查,查看是否有与攻击相关的代码或配置文件。

(13)负载均衡 XFF 头里有 IP0 IP1 IP2,请问哪个是真实 IP?

X-Forwarded-For头信息可以有多个,中间用逗号分隔,第一项为真实的客户端IP,剩下的就是曾经经过的代理或负载均衡的IP地址。

X-Forwarded-For: client1, proxy1, proxy2

因此为IP0

(14)溯源思路

首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式,通过webshell或者木马去微步分析,或者去安恒威胁情报中心进行ip检测分析,是不是云服务器,基站等,如果是云服务器的话可以直接反渗透,看看开放端口,域名,whois等进行判断,获取姓名电话等丢社工库看看能不能找到更多信息然后收工

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/23025.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

使用freebsd-update 升级FreeBSD

为了学习使用AppJail,升级FreeBSD,从14.1-BETA3升级到14.1-RELEASE 当前最新的发布版本是14.1-RELEASE,所以upgrade后面跟了-r 版本号。 使用命令freebsd-update upgrade -r 14.1-RELEASE: freebsd-update upgrade -r 14.1-R…

彻底吃透A*算法的最优性

下面的博客将主要介绍A*算法在扩展结点(这对于寻路时间很重要)和总代价(这对于保证最后解的最优性很重要)上的最优性,并将淡化对A *完备性的介绍。 A* 算法流程 A*算法的流程如下[1]: 并定义 f ( n ) f(n…

Pytorch中的广播机制

一、广播(broadcast)机制概述 在PyTorch中,广播机制(Broadcast)允许对不同形状的张量执行逐元素操作,而无需显式地复制数据。这一机制使得编写代码更加简洁和高效。广播机制遵循一定的规则来扩展较小的张量,使其与较大的张量具有相同的形状 …

DNS解析与Bond

一、DNS 1、DNS概念 DNS是域名系统的简称:域名和ip地址之间的映射关系互联网中IP地址是通信的唯一标识,逻辑地址访问网站,有域名,ip地址不好记,域名朗朗上口,好记。 域名解析的目的:实现访问…

LeetCode 算法:最大子数组和c++

原题链接🔗:最大子数组和 难度:中等⭐️⭐️ 题目 给你一个整数数组 nums ,请你找出一个具有最大和的连续子数组(子数组最少包含一个元素),返回其最大和。 子数组是数组中的一个连续部分。 …

面试高频问题----3

一、非对称加密和对称加密具体算法和使用场景 对称加密算法:发端和收端共享同一个密钥,使用该密钥进行加密和解密。适用于数据量大的数据传输中; 非对称加密算法:有一个公钥,一个私钥;发端和收端不需要共…

05-JavaScript 中的 `tap` 和 `click` 事件

JavaScript 中的 tap 和 click 事件 笔记分享 在现代Web开发中,尤其是针对移动设备的开发,处理用户交互事件是一个重要的挑战。尽管 click 事件在桌面浏览器中广泛使用,但 tap 事件在移动设备上提供了更合适的用户体验。这篇文章将深入探讨 …

JVM之【字节码/Class文件/ClassFile 内容解析】

说在前面的话 Java语言:跨平台的语言(write once,run anywhere) 当Java源代码成功编译成字节码后,如果想在不同的平台上面运行,则无须再次编译这个优势不再那么吸引人了。Python、PHP、Perl、Ruby、Lisp等有强大的解释器。跨平台似乎已经快成为一门语言…

Vue 3 Teleport:掌控渲染的艺术

title: Vue 3 Teleport:掌控渲染的艺术 date: 2024/6/5 updated: 2024/6/5 description: 这篇文章介绍了Vue3框架中的一个创新特性——Teleport,它允许开发者将组件内容投送到文档对象模型(DOM)中的任意位置,即使这个位…

房地产3d全景数字化看房成为转发的好工具

在短视频盛行的时代,某地产企业为了吸引客流,联合我们深圳VR公司定制了楼盘小区3D全景展示视频,不同于市面上常见的楼盘视频或3D电影,楼盘小区3D全景展示视频让您在小区建成之前,就能提前感受未来的生活场景。 无需昂贵…

C++第三方库【httplib】断点续传

什么是断点续传 上图是我们平时在浏览器下载文件的场景,下载的本质是数据的传输。当出现网络异常,浏览器异常,或者文件源的服务器异常,下载都可能会终止。而当异常解除后,重新下载文件,我们希望从上一次下载…

【技巧】系统语音是英文 影刀如何设置中文-作者:【小可耐教你学影刀RPA】

写在前面 嘿哈! 有些跨境或香港的小伙伴,可能需要使用英文操作界面的影刀 该功能目前还没有现成的可视化按钮🔘 但其实这个效果可以实现~ 1、效果图 2、实现原理 %影刀安装目录%\ShadowBot-版本号\ShadowBot.Shell.dll.confi…

2024050401-重学 Java 设计模式《实战代理模式》

重学 Java 设计模式:实战代理模式「模拟mybatis-spring中定义DAO接口,使用代理类方式操作数据库原理实现场景」 一、前言 难以跨越的瓶颈期,把你拿捏滴死死的! 编程开发学习过程中遇到的瓶颈期,往往是由于看不到前进…

机器学习:更多关于元学习

目录 Meta Learning vs Self-supervised Learning 自监督学习——找初始化的参数MAML 自动学出合适的参数 MAML:不断的学初始化参数MAML的初始化参数来自BERT MAML:找出来的初始化参数能在训练任务上表现的很好BERT:自监督目标是不同的下游任…

odoo10 权限控制用户只允许看到自己的字段

假设一个小区管理员用户&#xff0c;只想看到自己小区的信息。 首先添加一个用户信息选项卡界面&#xff0c;如下图的 用户 > 隶属信息&#xff1a; 我们在自己创建的user模块中&#xff0c;views文件夹下添加base_user.xml <?xml version"1.0" encoding&q…

Leetcode:最接近的三数之和

题目链接&#xff1a;16. 最接近的三数之和 - 力扣&#xff08;LeetCode&#xff09; 普通版本&#xff08;排序 双指针&#xff09; 主旨&#xff1a;最近值即为差值的绝对值最小值 class Solution { public:int threeSumClosest(vector<int>& nums, int target…

DBSCAN 算法【python,机器学习,算法】

DBSCAN 即 Density of Based Spatial Clustering of Applications with Noise&#xff0c;带噪声的基于空间密度聚类算法。 算法步骤&#xff1a; 初始化&#xff1a; 首先&#xff0c;为每个数据点分配一个初始聚类标签&#xff0c;这里设为0&#xff0c;表示该点尚未被分配…

Angular17(2):angular项目中使用NG-ZORRO

1、使用Angular CLI创建空项目 ng new angular-admin-web --stylescss 2、执行ng add ng-zorro-antd命令安装 &#xff08;1&#xff09;ng add ng-zorro-antd 在angular项目下运行命令 ng add ng-zorro-antd 跟随选项便可完成初始化配置&#xff0c;包括引入国际化文件&…

多模块工程中Controller中注入Service报错的问题

问题 2024-06-05 22:05:12,241 ERROR [http-nio-8888-exec-1][DirectJDKLog.java:175] - Servlet.service() for servlet [dispatcherServlet] in context with path [/content] threw exception [Request processing failed; nested exception is org.apache.ibatis.binding.…

上位机图像处理和嵌入式模块部署(f407 mcu中的单独上位机烧录方法)

【 声明&#xff1a;版权所有&#xff0c;欢迎转载&#xff0c;请勿用于商业用途。 联系信箱&#xff1a;feixiaoxing 163.com】 前面我们说过&#xff0c;stm32有三种烧录方法&#xff0c;一种是st-link v2&#xff0c;一种是dap&#xff0c;一种是j-link。不过我们在实际操作…