2023最新蓝队面试题整理（hw防守方面试题整理）含答案

应急响应

宏观题

基本思路流程

1. 收集信息：收集客户信息和中毒主机信息，包括样本
2. 判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS 等等
3. 抑制范围：隔离使受害⾯不继续扩⼤
4. 深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源
5. 清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产
6. 产出报告：整理并输出完整的安全事件报告

Windows入侵排查思路

1. 检查系统账号安全
   1. 查看服务器是否有弱口令，远程管理端口是否对公网开放（使用netstat -ano命令、或者问服务器管理员）
   2. lusrmgr.msc命令查看服务器是否存在可疑账号、新增账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉
   3. 用 D 盾或者注册表中查看服务器是否存在隐藏账号、克隆账号
   4. 结合日志，查看管理员登录时间、用户名是否存在异常
   5. 检查方法：Win+R 打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”，导出 Windows 日志--安全，利用 Log Parser 进行分析
2. 检查异常端口、进程
   1. netstat -ano检查端口连接情况，是否有远程连接、可疑连接
   2. 任务管理器-进程
3. 检查启动项、计划任务、服务
4. 检查系统相关信息
5. 查看系统版本以及补丁信息
6. 查找可疑目录及文件
7. 日志分析

Linux的登录日志查看文件

• 日志默认存放位置：/var/log/
• 查看可登录的账户 cat/etc/passwd|grep '/bin/bash'
• 查看所有用户最后的登录信息 lastlog
• 查看用户最近登录信息 last 其中，/var/log/wtmp 存储登录成功的信息、btmp 存储登录失败的信息、utmp 存储当前正在登录的信息
• 查看当前用户登录系统情况 who

Linux常用排查命令

系统信息

1. 查看当前系统状态 top
2. 操作系统信息 uname -a
3. 查看当前系统进程信息 ps
4. 查看历史命令 history
5. 列出本机所有的连接和监听的端口 netstat
6. 查看谁在使用某个端口 lsof

用户登录

1. 查看当前用户登录系统情况 who
2. 分析超级权限账户 awk-F： '{if（3==0）print3==0）print1}'/etc/passwd
3. 查看可登录的账户 cat/etc/passwd|grep '/bin/bash'
4. 查看用户错误的登录信息 lastb
5. 查看所有用户最后的登录信息 lastlog
6. 查看用户最近登录信息 last
7. /var/log/ 其中，/var/log/wtmp 存储登录成功的信息、btmp存储登录失败的信息、utmp存储当前正在登录的信息
8. 查看空口令账户 awk-F

CSDN网络安全面试题大礼包免费领取

Linux基线规范

每个公司有每个公司的基线规范体系，但是答题分为下列五个方面

账号管理和授权

• 检查特殊账号，是否存在空密码的账户和 root 权限账户
• 禁用或删除无用账号
• 添加口令策略:/etc/login.defs修改配置文件，设置过期时间、连续认证失败次数
• 禁止 root 远程登录，限制root用户直接登录。
• 检查 su 权限。vi /etc/pam.d/su添加auth required pam_wheel.so group=test

服务

• 关闭不必要的服务
• SSH 服务安全不允许 root 账号直接登录系统，PermitRootLogin=no修改 SSH 使用的协议版本为 2修改允许密码错误次数（默认 6 次），MaxAuthTries=3

文件系统

• 设置 umask 值 vi /etc/profile 添加行 umask 027
• 设置登录超时 vi /etc/profile 修改配置文件，将以 TMOUT= 开头的行注释，设置为 TMOUT=180

日志

• 启用 syslogd 日志，配置日志目录权限，或者设置日志服务器
• 记录所有用户的登录和操作日志，通过脚本代码实现记录所有用户的登录操作日志，防止出现安全事件后无据可查
• https://www.alibabacloud.com/help/zh/faq-detail/49809.htm

IP 协议安全要求

• 远程登录取消 telnet 采用 ssh
• 设置 /etc/hosts.allow 和 deny
• 禁止 ICMP 重定向
• 禁止源路由转发
• 防 ssh 破解，iptables (对已经建立的所有链接都放行，限制每分钟连接 ssh 的次数)+ denyhost (添加 ip 拒绝访问)

Windows 安全基线检查

主要包括五个方面：身份鉴别、访问控制、安全审计、资源控制、剩余信息保护

• 身份鉴别
• 更改缺省账户
• 检查Guest用户是否禁用
• 密码复杂性要求
• 密码长度最小不能小于8位
• 访问控制
• 共享账户检查
• 远程关机授权
• 本地关机
• 授权帐户登陆
• 安全审计
• 用户登录日志记录
• 系统日志完备性检查
• 登录超时管理
• 资源控制
• 登录超时管理
• 远程登录超时配置
• 剩余信息保护
• 不显示上次的用户名
• 关机前清除虚拟内存页面
• 不启用可还原的加密来存储密码

中间件基线规范（APACHE）

配置

• 账号
• 授权
• 日志
• session 过期时间（防ddos）
• 绑定监听地址

禁止

• 目录权限
• 访问外部文件
• CGI
• 非法HTTP方法（PUT DELETE）

隐藏

• 服务版本号
• 重定向错误页面

删除

• 配置文件
• 默认安装的无用文件

中间件常见漏洞

（一） IIS
1、PUT漏洞

2、短文件名猜解

3、远程代码执行

4、解析漏洞

（二） Apache
1、解析漏洞

2、目录遍历

（三） Nginx
1、文件解析

2、目录遍历

3、CRLF注入

4、目录穿越

（四）Tomcat
1、远程代码执行

2、war后门文件部署

（五）jBoss
1、反序列化漏洞

2、war后门文件部署

（六）WebLogic
1、反序列化漏洞

2、SSRF

3、任意文件上传

4、war后门文件部署

（七）其它中间件相关漏洞
1、FastCGI未授权访问、任意命令执行

2、PHPCGI远程代码执行

 由于篇幅原因，没有进行全部展示，如果有小伙伴需要我整理的这套网络安全面试题，可以下方扫码领取