护网设备使用

最新推荐文章于 2025-02-27 14:39:50 发布

她比寒风冷

最新推荐文章于 2025-02-27 14:39:50 发布

阅读量1k

点赞数 19

文章标签：网络安全 web安全

本文链接：https://blog.csdn.net/qq_51484208/article/details/144653729

版权

椒图

椒图的整体架构有哪3个部分，作用分别是什么？

云管理中心:负责接收Agent端上报的数据，分析数据、处理扫描任务、处理攻击日志等 Web管理端: 使用浏览器访问云管理中心，负责查询服务器概况，实现配置各种安全策略等. Agent:负责执行安全策略、上报数据等

椒图的安装部署步骤

搭建云中心:在内网环境搭建云管理中心。

导入授权:使用初始超级管理员账号登陆私有云管理后台，进入授权管理功能，复制机器码提交商务人员生成授权文件，并进行导入。

安装agent:使用提供的产品安装包，在服务器安装服务端软件

使用:使用前台业务账号通过WEB端进行配置管理

椒图agent安装要求

权限要求:

root用户安装

防火墙要求:

开通agent服务器到云管理中心单向通信的TCP 443端口、7901端

口、7902端口并验证是否可正常通讯。

浏览器要求:

支持使用火狐浏览器 (Firefox 51.0及以上版本)

支持使用谷歌浏览器(Google Chrome 57及以上版本)

支持奇安信-可信浏览器的兼容模式

IE11及以上

端口说明:

443端口:提供web页面访问，Agent与云管理中心建立连接Agent日志数据上传，Agent更新驱动、升级等

7901端口: 沙箱扫描

7902端口: 病毒查杀

椒图的默认管理地址、账号、密码是什么？

提供对所有管理服务器的风险跟踪，监控每台服务器的安全状态。对于恶意用户的攻击行为可以生成攻击事件，针对每一个攻击事件都可以进行回溯攻击过程。对服务器资产信息进行管理。访问地址: https://云管理中心ip/login

默认密码: jowto@1234 superadmin账号具有超级管理员权限，对所有前台业务账户、后台账号拥有删除.禁止/启用、修改权限、记录审计等功能。首次使用超级管理员登录需要对超级管理员密码进行修改,修改成功后需要重新登录。默认密码:jowto1234。访问地址: https://ip/login

椒图支持哪些账号的风险检测？

支持高权限账号，过期账号，默认账号，可远程账户，账号目录等账户风险检测。

暴力破解会导致该IP被锁定多长时间，如何解锁？

指在一定时间内错误登录达到一定次数则被认为暴力破解，防护模式下该IP会被锁定60分钟，可在临时黑名单中解锁。

主要对远程登录、SSH登录等应用进行防护。开关开启时为监控模式，开关自动封停时为防护模式。

哪种开关没开会导致对应功能不生效？

注意检查防护开关-文件防护开关是否开启，如未开始则会导致此功能不生效

监控模式:监控受保护文件，对受保护文件只进行监控不做拦截，可以对监控文件进行读取、写入、删除创建、执行、链接、重命名的操作行为，并记录日志到日志分析。

防护模式:对受保护文件违反规则的进行拦截。可以对监控文件进行读取、写入、删除、创建、执行、链接、重命名的操作行为，并记录日志到日志分析。注意检查防护开关-文件防护开关是否开启，如未开始则会导致文件防护相关功能不生效。操作系统加固”功能基于操作系统内核加固技术，针对操作系统核心资源，如注册表、系统文件、进程等资源进行有效防护。支持监控与防护两种模式。开关关闭时为监控模式，开关开启时为防护模式。注意检查防护开关-ip流量层过滤开关是否开启，如未开始则此功能不生效 IP黑白名单：此功能是用来进行管理黑白名单的。支持导出、导入。临时黑名单指暴力破解或防端口扫描拦截的IP，将在临时黑名单显示。注意检查防护开关-IP流量层过滤开关是否开启，如未开始则此功能不生效防端口扫描：该功能则通过限制单位时间内扫描端口数量，并对扫描P进行锁定来防护，并在发现端口被扫描时生成时间告警。

微蜜罐功能的作用

微蜜罐功能可以监视系统是否有人入侵或者扫描服务器添加“返回信息”，监听端口，当存在探测此端口时，将产生日志。

椒图可以和哪些产品联动？

天眼和NGSOC的授权，允许两个产品请求数据进行联动。

漏洞详情中具体能看到哪些内容？

点击“网络信息”，可查看到攻击源IP、目的IP、目的端口、HTTP信息点击“动态信息",可查看到进程调用链信息，发现攻击源192.168.10.1对192.168.10.3:8080发起了HTTP请求点击“日志调查”，选择适配条件(示例分析中为进程创建所以选择调查进程》查看日志进程创建日志

解释各类安全定义（随机问5个，全答上为满分）

l 应用入侵类告警，

主要来源包括RASP防护，如文件上传漏洞、webshell利用、任意文件读取、RCE等。

nRASP（Runtime Application Self-Protection）, 运行时程序自我保护，是一种嵌入至到运行时环境的安全防护加固技术，工作于ASP、PHP、Java等脚本语言解释器内部，通过HOOK函数的方式，可以细粒度的监控应用脚本的行为及函数调用上下文信息，及时发现恶意代码和漏洞利用行为，缩小攻防信息不对称的时间差，有效降低未知安全威胁造成的破坏。

l文件上传漏洞(

File Upload Attack)是由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，导致允许攻击者向某个可通过 Web 访问的目录上传任意web文件，并能够将这些文件传递给解释器，攻击者就可以在远程服务器上执行任意web脚本。

Webshell利用就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。已知Webshell是指木马库可以识别并准确判断的Webshell。黑客通常会在入侵了一个网站后，将webshell与网站服务器WEB目录下正常的网页文件混在一起，用浏览器来访问Webshell得到一个命令执行环境来控制服务器。

l远程命令执行:

攻击者直接向后台服务器远程注入操作系统命令或者代码，从而导致后台系统进程中执行攻击者执行的任意命令或代码。

l无文件攻击:

是指磁盘上没有特定的恶意文件。无文件攻击利用合法的应用程序和流程来执行恶意活动，例如特权升级，有效负载交付，数据收集等。

l任意文件读取

:web开放了文件读取及下载的功能（存在读取文件/下载的函数），并且用户端可控制路径，对于用户端输入的路径没有做到完全的过滤

l失陷主机:

通常是指网络入侵攻击者以某种方式获得控制权的主机，在获得控制权后，攻击者可能以该主机为跳板继续攻击企业内网的其他主机，另外，失陷主机往往具有无规律性、高隐蔽性的特点，很多入侵动作本身难以识别或无法确认攻击是否成功，但通过攻陷后的各种动作可以判断该主机已经被攻陷。通常可以通过以下任一种行为，判断该主机可能已经失陷：主要来源包括无文件攻击、本地提权、反弹shell等。

l无文件攻击是指磁盘上没有特定的恶意文件。无文件攻击利用合法的应用程序和流程来执行恶意活动，例如特权升级，有效负载交付，数据收集等。

l本地提权漏洞就是一个本来非常低权限、受限制的用户，可以提升到系统至高无上的权限

l反弹shell 在渗透过程中，攻击者往往因为端口限制而无法直连目标机器，此时需要通过反弹shell来获取一个交互式shell，以便攻击者继续深入渗透

l后门恶意软件在软件中植入病毒等具有后门功能的代码，通过运行软件来对用户的系统造成破坏、窃取机密等

l弱口令通常认为是容易被别人猜测到或被破解工具破解的口令均为弱口令

l口令复用没有严格区分不同口令，口令复用率高，当口令泄露容易被别人轻易利用

l异常行为是指主机发生非寻常的攻击行为，或遭受到异常的攻击行为，其中包括暴力破解攻击，攻击者通过系统地组合并尝试所有的可能性以破解用户的用户名、密码等敏感信息。攻击者往往借助自动化脚本工具来发动暴力破解攻击。通常可以通过以下任一种行为，判断该主机可能已经失陷：主要来源包括暴力破解、异常登录、恶意扫描等。

l暴力破解是指攻击者通过随机生成的密码字典或随机组合密码的方式不断尝试登陆服务器异常登录当添加登录白名单时，如果没有通过添加到白名单的IP或用户名登录Agent时，会产生异常登录的报警，通过添加白名单IP/用户名登录agent时，将不再进行报警

l恶意扫描是指攻击者在前期利用各类扫描工具对目标资产进行信息收集，例如：端口扫描、使用扫描器扫描漏洞等