应急响应的思路【笔记】2022-4-20

面试题

关于应急响应：

window，

可以先向客户了解发生异常的时间,根据收集到的相关信息来定位可疑文件，筛选出日志进行排查， 删除完可疑文件后，看是否留下定时任务等。
事件查看器，大量登入失败 事件id——4625

https://blog.csdn.net/qq_45825991/article/details/115577680

linux，

awk 筛选出相关日志，筛选非法测试登入的相关ip
，/var/log/目录下的相关日志
定时任务等后门排查

web日志

a、找到中间件的web日志，打包到本地方便进行分析。
b、推荐工具：Window下，推荐用 EmEditor 进行日志分析，支持大文本，搜索效率还不错。
Linux下，使用Shell命令组合查询分析

定位webshell , 分析日志，webshell名【如sss.php】第一次出现的时间来定位入侵时间，

溯源的方法和介绍

溯源方法

攻击源捕获——溯源处置——攻击者画像
攻击源捕获来源
1.审查邮件钓鱼
2.获取安全设备数据进行分析，特别是流量数据；
3.网络资产所在的服务器运行状态；
4.中间件日志信息查看；
5.合理运用蜜罐系统进行溯源追踪。

溯源处置

1.域名查询
2.IP查询
3.身份查询
4.文件查询

攻击者画像

1.攻击路径
2.攻击目的
3.网络代理
4.攻击手法
5.攻击者的身份画像，由四个部分组成，分别是：
虚拟身份：ID、昵称、网名
真实身份：姓名、家庭/办公物理位置
联系方式：手机号、QQ/微信、邮箱
组织情况：单位名称、职位信息

test:
sql注入修复：使用预编译，PDO，正则表达式过滤，开启魔
术引号，加装WAF等