本文已参与「新人创作礼」活动,一起开启掘金创作之路。
HW期间发现的告警类型
web攻击:信息泄露,弱口令,xss,sql,文件上传,文件包含,webshell,命令执行,xxe 威胁情报:木马远控,挖矿木马,勒索病毒,僵尸网络,黑市工具
sql注入,webshell如何判定为真实的攻击
可以通过请求体中的payload进行判断,正常业务请求的sql语句通体较长且无敏感的函数使用,sql注入事件请求体中的payload通常较短且语句中有敏感函数 比如sleep updatexml
流量侧/主机侧 如何判定为误报
攻击主要来自三个方向,网络侧,主机侧和应用侧。网络侧就是流量,主要查看安全设备的告警分析,主机侧看执行了什么命令,或是否被传马,应用侧看waf防火墙就好
应急响应的思路
先看是否误报,不是误报就隔离主机 收集信息:收集客户信息和中毒主机信息,包括样本 判断类型:判断是否是安全事件,是何种安全事件,勒索,挖矿,断网,ddos等 深入分析:日志分析,进程分析,启动项分析,样本分析 日志被删:是否存在全流量设备,并联,查看wireshake,登录服务器,看啊可能是否存在进程占用日志,根据进程详细信息,找到软连接,然后复原日志继续查看 清理处置:直接杀掉进程,删除文件,打补丁,异或是修复文件 产出报告
网络七层协议或模型
osi模型:物理层,数据链路层,网络层,传输层,会话层,表示层,应用层 tcp/ip(4层):网络连接层,网络层,传输层,应用层
木马病毒的研究,病毒爆发了,如何处理,比如说蠕虫
1、询问攻击情况范围 2、攻击痕迹挖掘 3、样本分析 4、后门及木马文件排查根除 cpu占用率以及日志排查
log4j漏洞
log4j是借助JNDI的插件漏洞,用JNDI的漏洞作为跳板来执行反弹shell
发现冰蝎后,上传webshell的动作方式
主要取决于冰蝎的版本,2.0和3.0的加密方式不同,一般常见的都是冰蝎3.0,在发现冰蝎后,看session的值和查看是否有md5加密数据
