护网面试总结

1.冰蝎4.0的流量特征

冰蝎4.0HTTP协议进行通信，使得通信流量看起来是正常的Web流量，难以被检测；

使用RC4加密算法对通信流量进行加密;

PHPwebshell中存在固定代码

$post=Decrypt(file_get_contents("php://input"));
eval($post);

请求头和响应头里面会带有Connection：Keep-alive；

content-Type字段：Application/x-www-form-urlencoded

webshell会有一段连接32位md5值的前16位，默认连接密码为rebeyond;

2.冰蝎3.0和4.0的区别

冰蝎3.0采用自定义的二进制协议进行通信，冰蝎4.0采用HTTP协议进行通信;

冰鞋3.0使用DES加密算法，冰蝎4.0使用RC4加密算法;

3.cs流量特征（50050）

被控端会发送心跳包；

在执行下发指令时，会看到木马攻击者访问c2服务器上面的submit.php界面，并且在访问界面会带有一个id参数；

cs4.0版本的ua头时固定的，4.5及以上版本随机的，能避免被蓝队检测到；

url路径；

解密算法checksum8（92L，93L）；

4.MSF流量特征

使用默认的4444端口作为反向连接端口；

数据包中包含metepreter，revshell等特定字符；

5.哥斯拉流量特征

在cookie字段，最后一个cookie的值出现分号；

payload中，有pass字符和java反射，base64加密解密等特征，php，adp就是一句话木马；

6.蚁剑流量特征

payload中，php中使用assert，eval函数执行，在jsp中使用java类（ClassLoader）加载，也会带有base64加密解密特征；

流量特征；每个请求都在@ini_sey("diplay_erors","0");@set_time_limit(0),后面也会有base64等字符；

7.weblogic（7001端口）

weblogic原理：比如CVE-2021-2109，远程代码执行漏洞，攻击者通过构造恶意的HTTP请求，触发Weblogic Server的漏洞，来实现远程代码执行。

weblogic反序列化原理：Weblogic控制台7001端口默认会开启T3协议服务，T3协议触发的Weblogic Server WLS Core Conponents中 存在反序列化漏洞，攻击者可以构发送来获取目标服务器权限。

8.shrio

分为550和721，550是反序列化，721是加密解密，550不需要rememberMe Cookie解密，721需要来remenberMe Cookie解密；

9.log4j是一个日志框架

流量特征：主要是有JNDI关键词

原理如下：

JNDI注入：可以通过日志文件配置中的特定字段来配置JNDI资源，JNDI是用来访问命名和目录服务的API；

JNDI服务利用：攻击者构造恶意的日志文件，在日志配置文件中使用特定的字段，指定一个远程的JNDI服务地址，当Log4j尝试解析并获取JNDI资源时，会向远程地址发起请求；

JNDI远程代码执行：攻击者在远程JNDI服务上搭建一个恶意的RMI服务，该服务会返回一个恶意的代码，当Log4j尝试获取JNDI资源时，他会从远程JNDI服务获取到恶意代码，并在应用程序执行，从而导致远程代码执行漏洞；

恶意代码执行：当成功利用Log4j漏洞，攻击者可以在受影响的应用程序中执行任意恶意代码，包括远程命令执行，代码执行，服务器接管等；

11.fastjson

原理：Fastjson是一个Java序列化和反序列化框架，能将Java对象转化为JSON格式的字符串，并将JSON字符串转换为Java对象；

怎么发现是fastjson站点：1.查看网站源代码搜索关键词；2.用开发者工具，看看请求代码中是否村在“fastjson”或"com.alibaba.fastjson"；

12.中了病毒木马应急事件

中了某某木马，该怎么办

a.首先要及时隔离机器，断网，不能利用这台机器接着攻击；

b其次，要确定攻击范围，是否通过内网渗透了更多机器；

c保留样本，分析攻击是如何发起攻击的，从哪里进行攻击的，看看流量包，及时对攻击者ip进行反制溯源

恢复机器，及时清理干净后门，对系统进行重装

及时更改密码，防止攻击者获得更多密码

13.出现那个Webshell连接，如何判断是误报

a.查看连接来源：查看连接的IP地址和端口，，如果是一个可信赖的IP地址和端口，可能是误报

b.分析连接行为：查看连接的时间，频率，尝试连接的目标，如果是和正常的流量相符合，可能是误报

c.检查文件：检查服务器上的文件是否存在异常，比如未知的PHP，ASP，JSP文件等，如果发现可疑文件，那可能是真实的Webshell连接

d检查日志：检查服务器访问日志和安全日志等，查看是否存在可疑的行为或攻击尝试行为，如果时的话，可能是真实的Webshell连接 

13.挖矿病毒排查（CPU拉满，服务器卡顿，网络阻塞）

a.检查系统资源占用：挖矿木马会占用大量的CPU或GPU资源，导致系统变得非常缓慢，可以使用Windows的任务管理器（Ctrl+Shift+Esc）或者Linux的top命令查看

netstat: netstat -ano

查看进程列表： tasklist

b.查看网络连接情况：挖矿木马会通过网络连接到挖矿池，上传挖矿结果并下载新的挖矿任务，可以使用netstat命令或者Wireshark等网络抓包工具来检查网络连接情况；

c.检查系统进程表:挖矿木马会在系统中创建新的进程，使用ps命令或者Windows的任务管理器来检查系统进程列表；

d扫描系统文件：挖矿木马可能会修改系统文件来隐藏自己，可以使用杀毒软件或命令行扫描工具进行扫描

14.挖矿事件如何处置

a.首先要询问情况，看是什么时候发现的;

b.寻找攻击遗迹，看看cpu占用，进程，计划任务，可疑用户；

c.备份样本分析，上传沙箱获取攻击行为并尝试溯源加分；

d.及时清理后门，删除可疑计划任务，进程，启动项，文件等

d.提出修改建议

15.服务器被打了怎么应急

a.收集信息：收集客户信息和中毒主机信息，，包括样本

b.判断类型：判断是否是安全事件，哪种安全事件，是勒索，挖矿，断网，ddos

c.抑制范围：隔离是受害面不继续扩大

d.深入分析：日志分析，进程分析，启动项分析，样本分析后方便溯源

e.