常见安全工具、设备

工具

端口及漏洞扫描：Namp、Masscan

抓包：Wireshark，Burpsuite、Fiddler、HttpCanary

Web自动化安全扫描：Nessus、Awvs、Appscan、Xray

信息收集：Oneforall、hole

漏洞利用：MSF、CS

Webshell 管理：菜刀、蚁剑、冰蝎、哥斯拉

Linux系统安全加固需要注意的内容

1. 关闭不必要的系统服务

2. 更改 SSH 默认端口

3. 禁止 root 用户远程 ssh 登录

4. 限制用户使用 su 命令切换 root

5. 密码复杂度策略

6. 检查密码重复使用次数限制

7. 检查是否存在空口令账号

8. 禁止同时按下 ctrl+alt+del 重启

9. 禁用 telnet 服务

Linux入侵排查思路

1. 账号安全

   who        查看当前登录用户（tty本地登陆 pts远程登录）
   w         查看系统信息，想知道某一时刻用户的行为
   uptime    查看登陆多久、多少用户，负载

   1、用户信息文件/etc/passwd
   root:x:0:0:root:/root:/bin/bash
   account:password:UID:GID:GECOS:directory:shell
   用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell
   注意：无密码只允许本机登陆，远程不允许登陆
   ​
   2、影子文件/etc/shadow
   root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
   用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留

   /etc/passwd 存储一般的用户信息，任何人都可以访问；/etc/shadow 存储用户的密码信息，只有 root 用户可以访问

2. 历史命令

   通过 .bash_history 查看帐号执行过的系统命令
   1、root的历史命令 histroy
   2、打开 /home 各帐号目录下的 .bash_history，查看普通帐号的历史命令
   ​
   历史操作命令的清除：history -c
   但此命令并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录

3. 检查异常端口

   netstat -antlp|more
   查看下pid所对应的进程文件路径，
   运行ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的pid 号）

4. 检查异常进程

   ps aux | grep pid

5. 检查开机启动项

   开机启动配置文件

   /etc/rc.local
   /etc/rc.d/rc[0~6].d

6. 检查定时任务

   crontab -l 列出某个用户cron服务的详细内容
   Tips：默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root
   crontab -r 删除每个用户cront任务(谨慎：删除所有的计划任务)
   crontab -e 使用编辑器编辑当前的crontab文件
   如：*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件
   2、利用anacron实现异步定时任务调度

   重点关注

   /var/spool/cron/*
   /etc/crontab
   /etc/cron.d/*
   /etc/cron.daily/*
   /etc/cron.hourly/*
   /etc/cron.monthly/*
   /etc/cron.weekly/
   /etc/anacrontab
   /var/spool/anacron/*

7. 检查服务

   chkconfig --list 命令，可以查看系统运行的服务

8. 检查异常文件

9. 检查系统日志

Linux的登录日志查看文件

• 日志默认存放位置：/var/log/

• 查看可登录的账户 cat /etc/passwd|grep '/bin/bash'

• 查看所有用户最后的登录信息 lastlog

• 查看用户最近登录信息 last 其中，/var/log/wtmp 存储登录成功的信息、btmp 存储登录失败的信息、utmp 存储当前正在登录的信息

• 查看当前用户登录系统情况 who

Linux常用排查命令

系统信息

1. 查看当前系统状态 top

2. 操作系统信息 uname -a

3. 查看当前系统进程信息 ps

4. 查看历史命令 history

5. 列出本机所有的连接和监听的端口 netstat

6. 查看谁在使用某个端口 lsof

用户登录

1. 查看当前用户登录系统情况 who

2. 分析超级权限账户 awk-F： '{if（3==0）print3==0）print 3==0）print1}'/etc/passwd

3. 查看可登录的账户 cat/etc/passwd|grep '/bin/bash'

4. 查看用户错误的登录信息 lastb

5. 查看所有用户最后的登录信息 lastlog

如何反爬

1. 后台对访问进行统计，如果单个 IP 访问超过阈值，予以封锁

2. 后台对访问进行统计，如果单个 session 访问超过阈值，予以封锁

3. 后台对访问进行统计，如果单个 userAgent 访问超过阈值，予以封锁

4. 以上的组合

Linux下查找服务端口的命令

Linux下查找服务端口的命令？一句话查找80端口服务的命令？

使用grep 命令 要使用 grep 命令在Linux 中查找指定服务的默认端口号，只需运行

grep <port> /etc/services
grep services /etc/services

如何发现钓鱼邮件

钓鱼邮件发现

发现途径如下：

邮件系统异常登录告警、员工上报、异常行为告警、邮件蜜饵告警

推荐接入微步或奇安信的情报数据。对邮件内容出现的 URL 做扫描，可以发现大量的异常链接

钓鱼邮件处置

1. 屏蔽办公区域对钓鱼邮件内容涉及站点、URL 访问

   根据办公环境实际情况可以在上网行为管理、路由器、交换机上进行屏蔽

   邮件内容涉及域名、IP 均都应该进行屏蔽

   对访问钓鱼网站的内网 IP 进行记录，以便后续排查溯源可能的后果

2. 屏蔽钓鱼邮件

   屏蔽钓鱼邮件来源邮箱域名

   屏蔽钓鱼邮件来源 IP

   有条件的可以根据邮件内容进行屏蔽

   删除还在邮件服务器未被客户端收取钓鱼邮件

3. 处理接收到钓鱼邮件的用户

   • 根据钓鱼邮件发件人进行日志回溯

     此处除了需要排查有多少人接收到钓鱼邮件之外，还需要排查是否公司通讯录泄露。采用 TOP500 姓氏撞库发送钓鱼邮件的攻击方式相对后续防护较为简单。如果发现是使用公司通讯录顺序则需要根据通讯录的离职情况及新加入员工排查通讯录泄露时间。毕竟有针对性的社工库攻击威力要比 TOP100、TOP500 大很多

   • 通知已接收钓鱼邮件的用户进行处理

   • 删除钓鱼邮件

   • 系统改密

   • 全盘扫毒

4. 后续：溯源、员工培训提升安全意识

如何查看区分是扫描流量和手动流量

（扫描数据量大，请求有规律，手动扫描间隔较少）

遇到.exe文件如何处理？

首先看它的来源和去向，然后可以下载但不运行，放入微步沙箱中，看是否有后门，若有后门，就用 IDA 反汇编得到恶意攻击者的有用信息，再进一步描绘出攻击者画像进行溯源

Linux 的 Selinux 是什么？如何设置 Selinux？

SELinux 是一种安全子系统，它能控制程序只能访问特定文件使用 setup 工具进入图形化关闭搜索或者修改/etc/sysconfig/selinux 文件

SELINUX=disabled

iptables 工作在 TCP/IP 模型中的哪层？

网络层

awk sed的使用

awk '{ print }' filename---打印文件的每一行

awk '{ sum += $1 } END { print sum }' ----filename计算文件中数字的总和

sed 's/old/new/g' filename ---替换文件中old为new

WAF产品如何来拦截攻击？

Waf 产品有三种

1. 云 Waf

   用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护，它的主要实现方式是利用 DNS 技术，通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测，如存在异常请求则进行拦截否则将请求转发至真实服务器

2. Web 防护软件

   安装在需要防护的服务器上，实现方式通常是 Waf 监听端口或以 Web 容器扩展方式进行请求检测和阻断

3. 硬件 Web

   Waf 串行部署在 Web 服务器前端，用于检测、阻断异常流量。常规硬件 Waf 的实现方式是通过代理技术代理来自外部的流量

原理都相同，通过部署在 Web 服务器前方串行接入来将 Web 流量牵引到 WAF 设备中进行清洗或者拦截，最终只把正常用户的请求转发给服务器

当前市场上 Waf 产品核心的防护机制是“规则”，每一个请求、会话，经过抓包，“开包检查”，每一项规则都会检查到，一旦检查不通过，就会被认为是非法访问，拒绝处理

WAF有哪些防护方式？

• Web基础防护

  可防范常规的 web 应用攻击，如 SQL 注入攻击、XSS 跨站攻击等，可检测 webshell，检查 HTTP 上传通道中的网页木马，打开开关即实时生效

• 精准访问防护

  对常见 HTTP 字段进行条件组合， 支持定制化防护策略如CSRF防护，通过自定义规则的配置，更精准的识别恶意伪造请求、保护网站敏感信息、提高防护精准性

• IP 黑白名单

  添加终拦截与始终放行的黑白名单 IP，增加防御准确性

• 地理位置访问控制

  添加地理位置访问控制规则，针对来源 IP 进行自定义访问控制

• 网页防篡改

  对网站的静态网页进行缓存配置，当用户访问时返回给用户缓存的正常页面，并随机检测网页是否被篡改

• 网站反爬虫

  动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为

• 误报屏蔽

  针对特定请求忽略某些攻击检测规则，用于处理误报事件

• 隐私屏蔽

  隐私信息屏蔽，避免用户的密码等信息出现在事件日志中

• 防敏感信息泄露

  防止在页面中泄露用户的敏感信息，例如：用户的身份证号码、手机号码、电子邮箱等

在安全防御软件中攻击者画像有什么用

• 攻击路径

  攻击目的：拿到权限、窃取数据、获取利益、DDOS 等 网络代理：代理 IP、跳板机、C2 服务器等 攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等

• 攻击者身份画像

  虚拟身份：ID、昵称、网名 真实身份：姓名、物理位置 联系方式：手机号、qq/微信、邮箱 组织情况：单位名称、职位信息

主动防御

1. 浏览器指纹技术

2. 网络欺骗技术，蜜罐蜜网