应急响应的思路【笔记】2022-4-20

面试题

文章目录

  • 关于应急响应:
    • window,
    • linux,
    • web日志
    • 溯源的方法和介绍
      • 溯源方法
      • 溯源处置
      • 攻击者画像

关于应急响应:

window,

可以先向客户了解发生异常的时间,根据收集到的相关信息来定位可疑文件,筛选出日志进行排查, 删除完可疑文件后,看是否留下定时任务等。
事件查看器,大量登入失败 事件id——4625

https://blog.csdn.net/qq_45825991/article/details/115577680

linux,

awk 筛选出相关日志,筛选非法测试登入的相关ip
,/var/log/目录下的相关日志
定时任务等后门排查

web日志

a、找到中间件的web日志,打包到本地方便进行分析。
b、推荐工具:Window下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。
Linux下,使用Shell命令组合查询分析

定位webshell , 分析日志,webshell名【如sss.php】第一次出现的时间来定位入侵时间,

溯源的方法和介绍

溯源方法

攻击源捕获——溯源处置——攻击者画像
攻击源捕获来源
1.审查邮件钓鱼
2.获取安全设备数据进行分析,特别是流量数据;
3.网络资产所在的服务器运行状态;
4.中间件日志信息查看;
5.合理运用蜜罐系统进行溯源追踪。

溯源处置

1.域名查询
2.IP查询
3.身份查询
4.文件查询

攻击者画像

1.攻击路径
2.攻击目的
3.网络代理
4.攻击手法
5.攻击者的身份画像,由四个部分组成,分别是:
虚拟身份:ID、昵称、网名
真实身份:姓名、家庭/办公物理位置
联系方式:手机号、QQ/微信、邮箱
组织情况:单位名称、职位信息

test:
sql注入修复:使用预编译,PDO,正则表达式过滤,开启魔
术引号,加装WAF等

你可能感兴趣的:(面试,应急响应,蓝队)