面试题
关于应急响应:
window,
可以先向客户了解发生异常的时间,根据收集到的相关信息来定位可疑文件,筛选出日志进行排查, 删除完可疑文件后,看是否留下定时任务等。
事件查看器,大量登入失败 事件id——4625
https://blog.csdn.net/qq_45825991/article/details/115577680
linux,
awk 筛选出相关日志,筛选非法测试登入的相关ip
,/var/log/目录下的相关日志
定时任务等后门排查
web日志
a、找到中间件的web日志,打包到本地方便进行分析。
b、推荐工具:Window下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。
Linux下,使用Shell命令组合查询分析
定位webshell , 分析日志,webshell名【如sss.php】第一次出现的时间来定位入侵时间,
溯源的方法和介绍
溯源方法
攻击源捕获——溯源处置——攻击者画像
攻击源捕获来源
1.审查邮件钓鱼
2.获取安全设备数据进行分析,特别是流量数据;
3.网络资产所在的服务器运行状态;
4.中间件日志信息查看;
5.合理运用蜜罐系统进行溯源追踪。
溯源处置
1.域名查询
2.IP查询
3.身份查询
4.文件查询
攻击者画像
1.攻击路径
2.攻击目的
3.网络代理
4.攻击手法
5.攻击者的身份画像,由四个部分组成,分别是:
虚拟身份:ID、昵称、网名
真实身份:姓名、家庭/办公物理位置
联系方式:手机号、QQ/微信、邮箱
组织情况:单位名称、职位信息
test:
sql注入修复:使用预编译,PDO,正则表达式过滤,开启魔
术引号,加装WAF等