#干货满满# hw防守方面试题整理

1.基本思路流程
收集信息：收集客户信息和中毒主机信息，包括样本
判断类型：判断是否是安全事件，何种安全事件，勒索、挖矿、断网、DoS 等等
抑制范围：隔离使受害⾯不继续扩⼤
深入分析：日志分析、进程分析、启动项分析、样本分析方便后期溯源
清理处置：杀掉进程，删除文件，打补丁，删除异常系统服务，清除后门账号防止事件扩大，处理完毕后恢复生产
产出报告：整理并输出完整的安全事件报告
2.Windows入侵排查思路
检查系统账号安全

查看服务器是否有弱口令，远程管理端口是否对公网开放（使用netstat -ano命令、或者问服务器管理员）

lusrmgr.msc命令查看服务器是否存在可疑账号、新增账号，如有管理员群组的（Administrators）里的新增账户，如有，请立即禁用或删除掉

用 D 盾或者注册表中查看服务器是否存在隐藏账号、克隆账号

结合日志，查看管理员登录时间、用户名是否存在异常

检查方法：Win+R 打开运行，输入“eventvwr.msc”，回车运行，打开“事件查看器”，导出 Windows 日志–安全，利用 Log Parser 进行分析

检查异常端口、进程

netstat -ano检查端口连接情况，是否有远程连接、可疑连接
任务管理器-进程
检查启动项、计划任务、服务

检查系统相关信息

查看系统版本以及补丁信息

查找可疑目录及文件

日志分析

3.Linux入侵排查思路
账号安全

who                查看当前登录用户（tty本地登陆 pts远程登录）
w                 查看系统信息，想知道某一时刻用户的行为
uptime        查看登陆多久、多少用户，负载
1
2
3
1、用户信息文件/etc/passwd
root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell
注意：无密码只允许本机登陆，远程不允许登陆

2、影子文件/etc/shadow
root6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
用户名：加密密码：密码最后一次修改日期：两次密码的修改时间间隔：密码有效期：密码修改到期到的警告天数：密码过期之后的宽限天数：账号失效时间：保留
1
2
3
4
5
6
7
8
9
/etc/passwd 存储一般的用户信息，任何人都可以访问；/etc/shadow 存储用户的密码信息，只有 root 用户可以访问

历史命令

通过 .bash_history 查看帐号执行过的系统命令
1、root的历史命令 histroy
2、打开 /home 各帐号目录下的 .bash_history，查看普通帐号的历史命令

历史操作命令的清除：history -c
但此命令并不会清除保存在文件中的记录，因此需要手动删除.bash_profile文件中的记录
1
2
3
4
5
6
检查异常端口

netstat -antlp|more
查看下pid所对应的进程文件路径，
运行ls -l /proc/$PID/exe或file /proc/$PID/exe（$PID 为对应的pid 号）
1
2
3
检查异常进程

ps aux | grep pid
1
检查开机启动项

开机启动配置文件

/etc/rc.local
/etc/rc.d/rc[0~6].d
1
2
检查定时任务

crontab -l 列出某个用户cron服务的详细内容
Tips：默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/root
crontab -r 删除每个用户cront任务(谨慎：删除所有的计划任务)
crontab -e 使用编辑器编辑当前的crontab文件
如：*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件
2、利用anacron实现异步定时任务调度
1
2
3
4
5
6
重点关注

/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
1
2
3
4
5
6
7
8
9
检查服务

chkconfig --list 命令，可以查看系统运行的服务

检查异常文件

检查系统日志

Linux的登录日志查看文件
日志默认存放位置：/var/log/
查看可登录的账户 cat/etc/passwd|grep ‘/bin/bash’
查看所有用户最后的登录信息 lastlog
查看用户最近登录信息 last 其中，/var/log/wtmp 存储登录成功的信息、btmp 存储登录失败的信息、utmp 存储当前正在登录的信息
查看当前用户登录系统情况 who
Linux常用排查命令
这个问题就是 linux 入侵排查排查的一部分

https://cloud.tencent.com/developer/article/1822210

系统信息

查看当前系统状态 top
操作系统信息 uname -a
查看当前系统进程信息 ps
查看历史命令 history
列出本机所有的连接和监听的端口 netstat
查看谁在使用某个端口 lsof
用户登录

查看当前用户登录系统情况 who

分析超级权限账户 awk-F： ‘{if（$3==0）print $1}’/etc/passwd

查看可登录的账户 cat/etc/passwd|grep ‘/bin/bash’

查看用户错误的登录信息 lastb

查看所有用户最后的登录信息 lastlog

查看用户最近登录信息 last

/var/log/ 其中，/var/log/wtmp 存储登录成功的信息、btmp存储登录失败的信息、utmp存储当前正在登录的信息

查看空口令账户 awk-F： ‘length（$2）==0 {print $1}’/etc/shadow

Linux基线规范
每个公司有每个公司的基线规范体系，但是答题分为下列五个方面

账号管理和授权

检查特殊账号，是否存在空密码的账户和 root 权限账户
禁用或删除无用账号
添加口令策略:/etc/login.defs修改配置文件，设置过期时间、连续认证失败次数
禁止 root 远程登录，限制root用户直接登录。
检查 su 权限。vi /etc/pam.d/su添加auth required pam_wheel.so group=test
服务

关闭不必要的服务
SSH 服务安全
不允许 root 账号直接登录系统，PermitRootLogin=no
修改 SSH 使用的协议版本为 2
修改允许密码错误次数（默认 6 次），MaxAuthTries=3
文件系统

设置 umask 值 vi /etc/profile 添加行 umask 027
设置登录超时 vi /etc/profile 修改配置文件，将以 TMOUT= 开头的行注释，设置为 TMOUT=180
日志

启用 syslogd 日志，配置日志目录权限，或者设置日志服务器

记录所有用户的登录和操作日志，通过脚本代码实现记录所有用户的登录操作日志，防止出现安全事件后无据可查

https://www.alibabacloud.com/help/zh/faq-detail/49809.htm

IP 协议安全要求

远程登录取消 telnet 采用 ssh
设置 /etc/hosts.allow 和 deny
禁止 ICMP 重定向
禁止源路由转发
防 ssh 破解，iptables (对已经建立的所有链接都放行，限制每分钟连接 ssh 的次数)+ denyhost (添加 ip 拒绝访问)
Linux 安全基线检查

Linux：https://cloud.tencent.com/developer/article/1668982

Windows 安全基线检查
Windows：https://cloud.tencent.com/developer/article/1668937

主要包括五个方面：身份鉴别、访问控制、安全审计、资源控制、剩余信息保护

身份鉴别

更改缺省账户

检查Guest用户是否禁用

密码复杂性要求

密码长度最小不能小于8位

访问控制

共享账户检查

远程关机授权

本地关机

授权帐户登陆

安全审计

用户登录日志记录

系统日志完备性检查

登录超时管理

资源控制

登录超时管理

远程登录超时配置

剩余信息保护

不显示上次的用户名

关机前清除虚拟内存页面

不启用可还原的加密来存储密码

中间件基线规范（APACHE）
https://www.alibabacloud.com/help/zh/faq-detail/52981.htm

配置

账号
授权
日志
session 过期时间（防ddos）
绑定监听地址
禁止

目录权限
访问外部文件
CGI
非法HTTP方法（PUT DELETE）
隐藏

服务版本号
重定向错误页面
删除

配置文件
默认安装的无用文件
中间件常见漏洞
https://www.freebuf.com/articles/web/192063.html

（一） IIS
1、PUT漏洞

2、短文件名猜解

3、远程代码执行

4、解析漏洞

（二） Apache
1、解析漏洞

2、目录遍历

（三） Nginx
1、文件解析

2、目录遍历

3、CRLF注入

4、目录穿越

（四）Tomcat
1、远程代码执行

2、war后门文件部署

（五）jBoss
1、反序列化漏洞

2、war后门文件部署

（六）WebLogic
1、反序列化漏洞

2、SSRF

3、任意文件上传

4、war后门文件部署

（七）其它中间件相关漏洞
1、FastCGI未授权访问、任意命令执行

2、PHPCGI远程代码执行

Linux、Windows安全加固
IIS 服务器应该做哪些方面的保护措施？

整理来源：http://www.williamlong.info/archives/118.html

保持 Windows 升级
使用 IIS 防范工具
移除缺省的 Web 站点
如果你并不需要 FTP 和 SMTP 服务，请卸载它们
有规则地检查你的管理员组和服务:
严格控制服务器的写访问权限
设置复杂的密码
减少/排除 Web 服务器上的共享
禁用 TCP/IP 协议中的 NetBIOS
使用 TCP 端口阻塞
仔细检查 .bat 和 .exe 文件：每周搜索一次 .bat
管理 IIS 目录安全
使用 NTFS 安全
管理用户账户
审计你的 Web 服务器
Linux系统安全加固需要注意的内容

关闭不必要的系统服务
更改 SSH 默认端口
禁止 root 用户远程 ssh 登录
限制用户使用 su 命令切换 root
密码复杂度策略
检查密码重复使用次数限制
检查是否存在空口令账号
禁止同时按下 ctrl+alt+del 重启
禁用 telnet 服务
框架漏洞&常见命令注入漏洞？php? Strust2 ?
Struts2 OGNL 注入
weblogic
fastjson
TP5 代码执行
laravel：debug mode 远程代码执行漏洞（CVE-2021-3129）
Spring Expression Language SPEL 表达式注入
Spring Security Oauth2 远程代码执行
Spring框架漏洞总结
常见安全工具、设备
工具

端口及漏洞扫描：Namp、Masscan
抓包：Wireshark，Burpsuite、Fiddler、HttpCanary
Web自动化安全扫描：Nessus、Awvs、Appscan、Xray
信息收集：Oneforall、hole
漏洞利用：MSF、CS
Webshell 管理：菜刀、蚁剑、冰蝎、哥斯拉
————————————————

感谢楼主分享，打卡学习一下

感谢楼主分享，打卡学习一下

感谢分享，有助于工作和学习！

感谢实用的分享，打卡学习

感谢楼主的精彩分享，有助工作!!!

每日打卡学习，感谢分享，学习了！！！

总结的很到位，~  

感谢分享

我在社区摸爬滚打这么多年，所谓阅人无数，就算没有见过猪走路，也总明白猪肉是啥味道的。一看到楼主的气势，我就觉得楼主同在社区里灌水的那帮小混子有着本质的差别，你一定就是传说中的最强技术牛。