#每日一记#关于安全的知识+20220414

                                            

                                            

                                            纯粹学习，勿做他用。

     以下是近期整理的一些安全知识点。

     1、安全事件、重保监管、上线安全检查可以促进安服业务的销售。

     2、近些年发生的安全事件，某某企业中了GandGrab勒索病毒、某企业感染驱动人生病毒、华住旗下多个连锁酒店2.4亿入住记录泄露、某医院被GlobeImposter勒索。

     3、网络层面耗尽服务器资源导致服务故障的攻击最有可能的是拒绝服务攻击。

     4、网页被篡改是应急响应中常见的安全问题，造成网页内容发生篡改的最有可能的网络层面原因是DNS劫持。

     5、PCHunter是windows下常用的进程分析工具。

     6、为了提升系统的安全管理员应尽量关闭不需要的服务。

     7、Windows服务可以作为独立的进程或以DLL的形式依附在svchost.exe。

     8、Windows服务通常是以管理员的身份运行的。

     9、用户通过深信服安全感知平台发现内网存在疑似挖矿现象，判断主机是否存在挖矿行为的方法有：使用杀毒查杀软件对失陷主机进行检查，看是否报挖矿病毒；通过Windows任务管理器，查看该主机CPU占用情况；通过wireshark网络分析工具抓包，抓取通信流量，包括与之通信的域名、通信内容，看主机是否与矿池存在通信行为。

     10、在windows病毒事件的处置过程中，Virustotal站点可以对疑似恶意程序进行有效的识别。

     11、网页被篡改是应急响应中常见的安全问题，造成网页内容发生篡改的WEB应用层原因为webshell后门。

     12、在网络安全事件中我们经常会遇到撞库和暴力破解攻击，有效的防护有：网络的管理后台可以不开放到公网访问；如果需要远程管理公司网络可以使用VPN方式接入到内网；对于一定要开放到公网的web系统，在登陆时附加图形检验码防止暴破；密码复杂并一定就安全，例如键盘序的规律字符组合、字典序的复杂英文字符。

     13、病毒导致的现象：CPU/内存飙升；服务器无法登录；DNS服务器报毒；异常流量。

      14、在分析日志的过程中，发现get请求语句为

     

     ，黑客在尝试SQL注入攻击。

     15、445端口可能存在ms17-010漏洞。

     16、关于恶意软件的危害描述：破坏计算机数据；窃取用户隐私信息；利用被病毒控制的用户计算机进行非法行为；占用计算机空间、抢占硬件资源。

     17、网络安全中常用的术语： 。

     18、WEB应用攻击类型的说法：该语句属于目录遍历攻击

;该语句属于sql注入攻击

;在某asp页面添加

      19、在web类安全问题的处置中，是否存在web访问日志是能否溯源到黑客攻击路径的关键，关于web日志：Linux下nginx日志位置可以通过nginx.conf配置文件来判断；Linux下Apache日志位置可以通过 来判断；IIS日志默认存储于

目录下，日志默认命名方式为exYYMMDD.log。

      20、跨站式脚本漏洞（XSS）的分类包括：反射型XSS漏洞；存储型XSS漏洞；DOM型XSS漏洞。

      21、递归修改当前文件夹下html子文件夹下的文件所有者改为   ，命令为

。  22、黑客利用Google Hacking技术可以实现：发现站占中历史遗留的webshell后台；发现站点的敏感目录；找某种类型的SEO。

      23、改变文件属性使其不可被修改的命令是，查看文件特殊属性的命令lsattr。

      24、黑链可能会被插入的式方：网页文件、服务器C盘windows目录、location重定向、href注入超链接、nginx配置文件。

      25、windows查看系统日志的方法为：开始--运行--输入 ；开始--设置--控制面析--管理工具中找到“事件查看器”。

      26、若登录类型为10，则表示远程交互（终端服务、远程桌面、远程协助）。

      27、三个常用的 webshell 查杀工具：D盾、悬镜、360主机卫士。

      28、这条日志最有可能是使用菜刀工具产生的。

      29、如何判断文件是否是“病毒文件”或者“后门文件”

      （1）将文件或文件的md5值导入到www.virustotal.com或[url=https://bbs.sangfor.com.cn/www.threatbook.cn]www.threatbook.cn[/url]进行验证，如果文件或其md5被标志为“恶意”，则可判断文件是“病毒文件”或者“后门文件”；

      （2）查看该文件关联的进程，如果进程有向外发起扫描的行为或持续占用大量的系统资源，也可判断文件是“病毒文件”或“后门文件”；

      （3）使用火绒、360、EDR等杀毒软件进行文件查杀，如果安全软件检测出为病毒或木马，也可判断该文件是“病毒文件”或者“后门文件”。

     30、简述企业指是中勒索病毒的处置思路。

     （1）确认加密文件的创建时间和修改时间；

     （2）隔离中毒主机，可以将中毒主机断网或将中毒主机进行微隔离操作；

     （3）导出桌面的勒索信息文件，作为判断勒索病毒家庭和版本的依据，也可截图处理；

     （4）提取系统安全日志，分析是否存在加密文件时间点之前不久的登录记录。如果登录源是公网IP，则很大可能为公网访问，如果为内网，则再去上一跳排查，一跳跳溯源；

     （5）如果无登录或日志最开始有清除记录，可检查系统补丁是否有MS17-010， 被加密主机如果为对外开放服务器，如果是则怀疑通过web攻击入侵；

     （6）提供加固方案，在出口部署防火墙，在终端部署杀毒软件，关闭风险端口，做好数据备份措施。

感谢分享                     

感谢分享，学习打卡！

感谢分享，学习打卡！

坚持每日学习打卡

感谢分享，学习打卡！

感谢分享，学习打卡！

感谢分享，学习打卡！

感谢分享，学习打卡！

感谢分享，学习打卡！