Webshell防御方法
(1)配置防火墙:配置必要的防火墙,并开启防火墙策略,防止暴露不必要的服务为攻击者提供利用条件。
(2)加固服务器:对服务器进行安全加固,例如,关闭远程桌面功能、定期更换密码、禁止使用最高权限用户运行程序、使用HTTPS加密协议等。
(3)权限管理:加强权限管理,对敏感目录进行权限设置,限制上传目录的脚本执行权限,不允许配置执行权限等。
(4)工具查杀:安装Webshell检测工具(D盾,河马),根据检测结果对已发现的可疑Webshell痕迹立即隔离查杀,并排查漏洞。
(5)修复漏洞:排查程序存在的漏洞,并及时修补漏洞。可以通过专业人员的协助排查漏洞及入侵原因。
(6)备份文件:时常备份数据库等重要文件。
(7)不明文件:需要保持日常维护,并注意服务器中是否有来历不明的可执行脚本文件。
(8)白名单:采用白名单机制上传文件,不在白名单内的一律禁止上传,上传目录权限遵循最小权限原则。
HW中常见的安全设备有哪些?
入侵检测:IDS
入侵防御:IPS
流量威胁检测设备:腾讯御界、奇安信天眼、绿盟、深信服等等
流量监测:科来
应用防火墙(WAF):绿盟WAF、腾讯云WAF、深信服WAF、阿里云WAF等等
蜜罐:默安蜜罐、知道创宇蜜罐等等
防火墙:防火墙(玄武盾)、山石防火墙、360网康/网神防火墙
态势感知:绿盟态势感知、奇安信态势感知(目前部分金融客户对攻击IP封禁在态势感知系统上统一做封禁处理)
SOC:绿盟、奇安信
谈谈IDS和IPS是什么?有什么作用?
入侵检测:IDS,类似防火墙,主要用于入网流量检测
入侵防御:IPS,对杀软和防火墙的补充,阻止病毒攻击以及点到点应用滥用
WAF有哪些防护方式?
1、Web基础防护
可防范常规的 web 应用攻击,如 SQL 注入攻击、XSS 跨站攻击等,可检测 webshell,检查 HTTP 上传通道中的网页木马,打开开关即实时生效
2、CC 攻击防护
可根据 IP、Cookie 或者 Referer 字段名设置灵活的限速策略,有效缓解 CC 攻击
3、精准访问防护
对常见 HTTP 字段进行条件组合, 支持定制化防护策略如CSRF防护,通过自定义规则的配置,更精准的识别恶意伪造请求、保护网站敏感信息、提高防护精准性
4、IP 黑白名单
添加终拦截与始终放行的黑白名单 IP,增加防御准确性
windows和linux加固?(操作系统加固)
windows:删除无用账号、禁用来宾账号、设置密码复杂度、关闭默认共享、关闭自启
linux:删除无用账号、配置密码策略(复杂度、过期时间)、限制su命令使用、限制ssh远程登陆root、减少命令记录数(.bash_history)、升级内核版本
mysql加固呢?(数据库加固)
mysql:使用低权限用户配置网站、启用mysql日志记录、禁用文件导入导出
sql server:使用低权限用户配置网站、关闭xp—cmdshell功能
Windows常用的命令有哪些?
ping:检查网络联通
ipconfig:查看ip地址
dir:显示当前文件夹的内容
net user:查看用户
netstat:查看端口
tasklist:查看进程列表
find:搜索文件中的字符串
regedit:注册表
Linux常见命令有哪些?
ls:显示当前文件夹的内容
ifconfig:查看ip地址
whoami:查看用户
netstat:查看端口
ps:查看进程列表
grep:文件中搜索字符串
crontal:检查定时任务
常见漏洞端口有哪些?
21(FTP)、873(Rsync)、1433(MSSQL)、1521(Oracle)、2181(Zookeeper)、3306(Mysql)、5432(PostgreSQL)、6379(redis)、7001(weblogic)、8161(ActiveMQ )、9200(elasticsearch )、27017(Mongodb)、50070,50050(Hadoop)
简单说下SQL注入的几种类型?
提交方式分为:GET型、POST型、cookie型
注入点分为:数字型、字符型、布尔型
获得文件读取漏洞,通常会读哪些文件
1、linux
etc/passwd、etc/shadow直接读密码
/etc/hosts # 主机信息
/root/.bashrc # 环境变量
/root/.bash_history # 还有root外的其他用户
/root/.viminfo # vim 信息
/root/.ssh/id_rsa # 拿私钥直接ssh
/proc/xxxx/cmdline # 进程状态枚举 xxxx 可以为0000-9999 使用burpsuite
数据库 config 文件
web 日志 access.log, error.log
ssh 日志
bash /root/.ssh/id_rsa /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys /etc/ssh/sshd_config /var/log/secure /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/syscomfig/network-scripts/ifcfg-eth1
2、windows
C:\boot.ini //查看系统版本
C:\Windows\System32\inetsrv\MetaBase.xml //IIS 配置文件
C:\Windows\repair\sam //存储系统初次安装的密码
C:\Program Files\mysql\my.ini //Mysql 配置
C:\Program Files\mysql\data\mysql\user.MY D //Mysql root
C:\Windows\php.ini //php 配置信息
C:\Windows\my.ini //Mysql 配置信息
1432
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
