Hvv蓝队应急常问面试题

web入侵：网页挂马、主页篡改、Webshell系统入侵：病毒木马、勒索软件、远控后门网络攻击：DDOS攻击、DNS劫持、ARP欺骗

收集信息：收集客户信息和中毒主机信息，包括样本判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS 等等抑制范围：隔离使受害⾯不继续扩⼤深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产产出报告：整理并输出完整的安全事件报告

1.检查系统账号安全2.查看服务器是否有弱口令，远程管理端口是否对公网开放（使用netstat -ano 命令、或者问服务器管理员）3.lusrmgr.msc 命令查看服务器是否存在可疑账号、新增账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉4.用 D 盾或者注册表中查看服务器是否存在隐藏账号、克隆账号5.结合日志，查看管理员登录时间、用户名是否存在异常6.检查方法：Win+R 打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”，导出 Windows 日志–安全，利用 Log Parser 进行分析

netstat -ano检查端口连接情况，是否有远程连接、可疑连接任务管理器-进程检查启动项、计划任务、服务查看系统版本以及补丁信息查找可疑目录及文件日志分析自动化查杀

建立连接后 所有请求 **Cookie的格式都为: Cookie: PHPSESSID=; path=/；**静态分析：各种语言的webshell中都会存在**16位数的连接密码**，默认变量为key

who查看当前登录用户（tty本地登陆 pts远程登录）w  查看系统信息，想知道某一时刻用户的行为uptime查看登陆多久、多少用户，负载

1、用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bashaccount:password:UID:GID:GECOS:directory:shell用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell注意：无密码只允许本机登陆，远程不允许登陆2、影子文件/etc/shadowroot:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留3、/etc/passwd 存储一般的用户信息，任何人都可以访问；/etc/shadow 存储用户的密码信息，只有 root 用户可以访问4、检查计划任务检查方法：a、单击【开始】>【设置】>【控制面板】>【任务计划】，查看计划任务属性，便可以发现木马文件的路径b、单击【开始】>【运行】；输入 cmd，然后输入at，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接5、服务自启动：检查方法：单击【开始】>【运行】，输入services.msc，注意服务状态和启动类型，检查是否有异常服务6、自动化查杀病毒查杀：检查方法：下载安全软件，更新最新病毒库，进行全盘扫描webshell查杀：检查方法：选择具体站点路径进行webshell查杀，建议使用两款webshell查杀工具同时查杀，可相互补充规则库的不足、例如：D盾、CloudWalker

通过.bash_history查看帐号执行过的系统命令1、root的历史命令histroy2、打开/home各帐号目录下的.bash_history，查看普通帐号的历史命令系统信息：查看当前系统状态 top操作系统信息 uname -a查看当前系统进程信息 ps查看历史命令 history列出本机所有的连接和监听的端口 netstat查看谁在使用某个端口 lsof
用户登录：查看当前用户登录系统情况 who分析超级权限账户 awk-F：‘{if（$3==0）print $1}’/etc/passwd查看可登录的账户 cat/etc/passwd|grep ‘/bin/bash’查看用户错误的登录信息 lastb查看所有用户最后的登录信息 lastlog查看用户最近登录信息 last/var/log/ 其中，/var/log/wtmp 存储登录成功的信息、btmp存储登录失败的信息、utmp存储当前正在登录的信息查看空口令账户 awk-F：‘length（$2）==0 {print $1}’/etc/shadow

netstat -antlp|more查看下pid所对应的进程文件路径，运行ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的pid 号）

ps aux | grep pid

开机启动配置文件/etc/rc.local/etc/rc.d/rc[0~6].d

crontab -l 列出某个用户cron服务的详细内容Tips：默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/rootcrontab -r 删除每个用户cront任务(谨慎：删除所有的计划任务)crontab -e 使用编辑器编辑当前的crontab文件/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件2、利用anacron实现异步定时任务调度

重点关注/var/spool/cron/*/etc/crontab/etc/cron.d/*/etc/cron.daily/*/etc/cron.hourly/*/etc/cron.monthly/*/etc/cron.weekly//etc/anacrontab/var/spool/anacron/*

chkconfig --list 命令，可以查看系统运行的服务检查异常文件检查系统日志

日志默认存放位置：/var/log/查看可登录的账户 cat/etc/passwd|grep ‘/bin/bash’查看所有用户最后的登录信息 lastlog查看用户最近登录信息 last 其中，/var/log/wtmp 存储登录成功的信息、btmp 存储登录失败的信息、utmp 存储当前正在登录的信息查看当前用户登录系统情况 who

系统日志分析方法：a、前提：开启审核策略，若日后系统出现故障、安全事故则可以查看系统的日志文件，排除故障，追查入侵者的信息等b、Win+R打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”C、导出应用程序日志、安全日志、系统日志，利用Log Parser进行分析WEB访问日志分析方法：a、找到中间件的web日志，打包到本地方便进行分析。b、推荐工具：Window下，推荐用 EmEditor 进行日志分析，支持大文本，搜索效率还不错。Linux下，使用Shell命令组合查询分析

未授权访问或弱口令：Redis 未授权访问、Docker API 未授权访问、Hadoop Yarn 未授权访问、NFS 未授权访问、Rsync 弱口令、PostgreSQL 弱口令、Tomcat 弱口令、SSH 弱口令、Telnet 弱口令、Windows 远程桌面弱口令远程命令执行漏洞：WebLogic XML 反序列化漏洞、Jenkins 反序列化、Jboss 远程代码执行、Spring 远程代码执行、ElasticSearch 命令执行、永恒之蓝、Struts2 系列漏洞、常见 CMS 的远程命令执行漏洞新爆的高危漏洞：一般每次爆发新的高危漏洞，都会紧跟一波大规模的全网扫描利用和挖矿

原因排查：一旦发现服务器被挖矿，应该首先查看挖矿进程所属的用户，根据挖矿进程的运行用户去排查该用户下是否还运行着其它进程确定这些进程是否有上述经常被恶意利用的漏洞。如果有常见的漏洞，则应该重点对此进行排查找到原因清除木马：1.及时隔离主机部分带有蠕虫功能的挖矿木马在取得本机的控制权后，会以本机为跳板机对同一局域网内的其他主机进行已知漏洞的扫描和进一步利用， 所以发现挖矿现象后，在不影响业务的前提下应该及时隔离受感染主机，然后进行下一步分析2.删除文件、阻断与矿池通讯iptables -A INPUT -S xmr.crypto- pool.fr -j DROPiptables -A OUTPUT -d xmr.crypto- pool.fr -j DROP3.清除定时任务大部分挖矿进程会在受感染主机中写入定时任务来完成程序的驻留，当安全人员只清除挖矿木马时，定时任务会再次从服务器下载挖矿进程或者直接执行挖矿脚本，导致挖矿进程清除失败4.清除启动项有的挖矿进程为了实现长期驻留，会向系统中添加启动项来确保系统重启后挖矿进程还能重新启动，所以在清除时还应该关注启动项中的内容如果有可疑的启动项，也应该进行排查，确认是挖矿进程后，对其进行清除5.kill 挖矿进程对于单进程挖矿程序，直接结束挖矿进程即可。但是对于大多数的挖矿进程，如果挖矿进程有守护进程，应先杀死守护进程再杀死挖矿进程，避免清除不彻底在实际的清除工作中，应找到本机上运行的挖矿脚本，根据脚本的执行流程确定木马的驻留方式， 并按照顺序进行清除， 避免清除不彻底6.清除公钥文件在用户 home 目录的 .ssh 目录下放置 authoruzed_keys 文件，从而免密登录该机器也是一种常见的保持服务器控制权的手段。在排查过程中应该查看该文件中是否有可疑公钥信息，有的话直接删除，避免攻击者再次免密登录该主机

及时隔离主机定位事件范围，查看文件 webshell 文件的创建时间，对 webshell 取证样本通过创建时间结合日志分析可疑行为，以及启动用户的其他进程确定漏洞清除 webshell 及残留文件，修复漏洞尝试复现攻击路径，还原攻击链

find 命令find /var/www/html -name "*.php" |xargs egrep 'assert|eval|phpinfo()|(base64_decoolcode|shell_exec|passthru|file_put_contents(.*$|base64_decode('

静态检测：通过匹配特征码，特征值，危险函数函数来查找 webshell 的方法，只能查找已知的 webshell动态检测：webshell 传到服务器了，在执行函数时这些对于系统调用、系统配置、数据库、文件的操作动作都是可以作为判断依据日志检测：使用 webshell 一般不会在系统日志中留下记录，但是会在网站的 web 日志中留下 webshell 页面的访问数据和数据提交记录语法检测：语法语义分析形式，是根据php 语言扫描编译的实现方式，进行剥离代码、注释，分析变量、函数、字符串、语言结构的分析方式，来实现关键危险函数的捕捉方式这样可以完美解决漏报的情况

用流量监测的安全设备，比如天眼，查看报文，分析报文里和 host 和网站目录路径，查看是否可疑，使用微步查询 host 是否为恶意，使用 wireshark 对数据包深度分析看一下请求的网站路径，源 IP 与目的 IP 地址，host 字段的值以及发包内容等工具有 wireshark，网站的话微步在线等威胁情报中心

文件：可能在系统有上传功能或者有文本编辑器，看一下是否有 base64 加密或者 url 加密，解码验证一下是否有恶意代码系统日志：有没有 web 容器做了一些危险行为，比如 bash 反弹 shell 等网络应用日志：有没有异常的网站文件，类似 webshell 等，就有可能是命令执行

攻击规则匹配，通过正则匹配日志中的攻击请求统计方法，统计请求出现次数，次数少于同类请求平均次数则为异常请求白名单模式，为正常请求建立白名单，不在名单范围内则为异常请求HMM 模型，类似于白名单，不同点在于可对正常请求自动化建立模型，从而通过正常模型找出不匹配者则为异常请求借助日志分析工具，如 LogForensics 

分析数据包请求头中的 xff、referer 等收集有用的信息

确定攻击来源，是不是员工内部误操作，比如询问运维是否有自动化轮训脚本如果没有，确定是攻击，结合时间点，根据设备信息，看一下安全事件，进程，流量找到问题主机：开始应急响应流程：准备、检测、遏制、根除、恢复、跟踪，具体的操作要交给现场运维去处理

邮件系统异常登录告警、员工上报、异常行为告警、邮件蜜饵告警推荐接入微步或奇安信的情报数据、对邮件内容出现的 URL 做扫描，可以发现大量的异常链接

屏蔽办公区域对钓鱼邮件内容涉及站点、URL 访问1.根据办公环境实际情况可以在上网行为管理、路由器、交换机上进行屏蔽2.邮件内容涉及域名、IP 均都应该进行屏蔽3.对访问钓鱼网站的内网 IP 进行记录，以便后续排查溯源可能的后果

1.屏蔽钓鱼邮件来源邮箱域名2.屏蔽钓鱼邮件来源 IP3.有条件的可以根据邮件内容进行屏蔽4.删除还在邮件服务器未被客户端收取钓鱼邮件

1.根据钓鱼邮件发件人进行日志回溯2.此处除了需要排查有多少人接收到钓鱼邮件之外，还需要排查是否公司通讯录泄露。采用 TOP500 姓氏撞库发送钓鱼邮件的攻击方式相对后续防护较为简单。如果发现是使用公司通讯录顺序则需要根据通讯录的离职情况及新加入员工排查通讯录泄露时间。毕竟有针对性的社工库攻击威力要比 TOP100、TOP500 大很多3.通知已接收钓鱼邮件的用户进行处理4.删除钓鱼邮件5.系统改密6.全盘扫毒后续：溯源、员工培训提升安全意识

（扫描数据量大，请求有规律，手动扫描间隔较少）

首先看它的来源和去向，然后可以下载但不运行，放入微步沙箱中，看是否有后门若有后门，就用 IDA 反汇编得到恶意攻击者的有用信息，再进一步描绘出攻击者画像进行溯源