(1)dns 报警就一定是感染了吗?怎么处理?
不一定。
引起dns报警的情况有:恶意软件感染,域名劫持,DNS欺骗,DDoS攻击等。
处理方法:
1、分析报警,查看报警类型、源IP地址、目标域名等,分析确定是否存在异常或潜在威胁。
2、流量分析
3、查看日志
4、利用威胁情报平台查看相关的IP地址、域名或URL是否被标记为恶意或可疑的。5、响应和隔离
(2)公网 ip 未流量交互,内网报警是什么情况?怎么处理
情况:
1、内部恶意活动引起的,如未经授权的访问、数据泄露等。
2、内部网络被入侵
3、内部配置问题,如防火墙设置,IDS配置错误等。
处理:
1、分析报警:报警类型、源IP地址、目标IP地址等。
2、流量分析:查看内部网络中的通信活动,包括源和目标IP地址、协议和端口等,以确定是否存在异常或恶意活动。
3、日志分析:检查内部设备的日志
4、内部调查:确定是否是内部用户活动引起的
5、隔离和响应
(3) 一台主机在内网进行横向攻击,怎么处理
查看是否是误报,如果不是误报采取以下措施
1、隔离受感染的主机
2、收集证据:收集有关攻击的证据,包括日志、网络流量、被修改或受感染的文件等。
3、确定攻击的方式和方法,采取措施停止攻击行为。
4、清除恶意代码,更新和修补系统,密码和凭证重置,安全审查和加固。
(4) 遇到一个挖矿病毒,你会怎么处理?
**1、判断(第一步先判断)
**1.查看cpu占用率(判断CPU占用率高不高)
2.查看天眼的流量分析,是否去别的有危险的网站下载东西,然后在本地执行了挖矿的一些命令:
(结合天眼设备分析,看是否去可疑网站下载过东西或在本地执行挖矿命令)
3.是否有外连,向远程ip的请求:(是否有外连或者远程ip请求 netstart -ano 查看所有端口)
2、事件分析(第二步分析)
(1)登录网站服务器,查看进程是否有异常;(查看网站服务器是否有异常进程 系统命令tasklist)
(2)进行查看异常进程的服务项是什么.选择可疑服务项,然后停止服务,其启动类型会变为静止。(并查看它的服务项,尤其是可疑服务项(系统命令services.msc查看服务项))
(3)进行查看一下计划任务有没有可疑的(查看一下有没有可疑的计划任务)
3、临时解决方案(最后解决并处置)
(1)停止并禁用可疑服务项,有时候服务项的名称会变,但描述不会变,根据描述快速找到可疑服务项,删除服务项;(然后根据描述寻找可疑服务项,停用可疑服务项)
(2)根据实际存在木马的路径,进行删除木马(如果知道木马路径的话,直接删马)
(3)重启计算机;
(4)使用杀软全盘查杀
(5) 知道一个恶意攻击我们的域名,反查域名后得到一个 IP,但是 此 IP 没有和我们交互流量,请问原因是什么
1、转发或代理服务器:攻击者可能使用转发或代理服务器作为中间节点来隐藏其真实IP地址。这样,攻击流量会经过转发或代理服务器,而不是直接与我们的系统交互。
2、假冒IP地址:攻击者可能使用了虚假的IP地址进行攻击,以隐藏其真实身份和来源。
3、攻击者未成功进入系统:尽管发现了恶意攻击的域名和相关IP地址,但攻击者可能尚未成功进入系统或发起有效的攻击。
**(6)判断误报
**首先看ip是内网ip还是外网ip
1)如果是内网ip,并且有明显的恶意请求,比如ipconfig那么此内网服务器可能会失陷。还有可能就是内网的系统有一些业务逻辑问题,因为内网在部署的时候很少会考虑一些安全问题。比如说内网的业务逻辑携带了一些sql语句,这一类属于误报
2)如果是外网ip,根据请求报和响应包的内容进行对比判断。比如sql语句查询用户名密码,然后响应包返回了相应的内容,这一类是属于恶意攻击。
(7)文件上传数据包如何判断是不是攻击
1、查看响应体响应结果判断服务器是否接受了该上传请求,上传成功通常状态码为200,查看响应体中是否响应了上传路径,访问该上传路径查看文件是否被解析是否存在
2、通过查看日志判断文件是否落地
3、登陆受害者主机全局搜索上传文件
(8)流量层面分析Apache Log4j2 远程代码执行漏洞是否攻击成功?
1、dnslog类:查看是否存在源ip与dnslog的外联日志记录
2、命令执行攻击
2.1 有回显:响应体中存在命令执行结果
2.2无回显 :存在源ip与ldap服务ip的外联日志记录
(9)如何研判JBOSS 反序列化漏洞攻击成功?
1.在访问JBOSS漏洞页面/invoker/readonly后,返回值为500
2.请求体有collections.map.LazyMap、keyvalue.TiedMapEntry攻击链特征并且有明显的命令执行行为,比如whoami。
3.在返回500 堆栈报错页面内容中包含了系统返回内容 比如系统用户:root
(10)如何研判Fastjson反序列化漏洞攻击成功?
1.请求头:method: POST content_type: application/json
2、请求体:data:com.sun.rowset.JdbcRowSetlmpl,dataSourceName,@type
3.请求体: 包含攻击者C2服务器地址
4.状态码为:400 也可能是500
5.通过天眼分析平台进行回溯分析,在分析中心输入语法:(sip:(失陷服务器P)OR sip:(攻击者C2IP)AND(dip:(失陷服务器IP)OR dip:(攻击者C2lP)
(11)如何在流量层面分析struts2命令执行是否成功
1.查看请求头或请求体中是否含有OGNL表达式,Struts2 命令执行的原理是通过 Ognl表达式执行 java 代码
2.查看请求头或请求体中是否存在命令执行类代码
3.查看响应体是否返回上述命令执行的结果
(12)要判断Log4j漏洞攻击是否成功,可以采取以下措施
1、监视受感染应用程序的日志,查看是否有异常或错误信息,或者是否包含与攻击相关的信息。
2、监视网络流量,查看是否有大量的请求被发送到攻击者的服务器。
3、检查系统中的异常或警告信息,例如系统崩溃、不正常的CPU使用率或内存使用率等。
4、在受感染的系统中进行代码审查,查看是否有与攻击相关的代码或配置文件。
(13)负载均衡 XFF 头里有 IP0 IP1 IP2,请问哪个是真实 IP?
X-Forwarded-For头信息可以有多个,中间用逗号分隔,第一项为真实的客户端IP,剩下的就是曾经经过的代理或负载均衡的IP地址。
X-Forwarded-For: client1, proxy1, proxy2
因此为IP0
(14)溯源思路
首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式,通过webshell或者木马去微步分析,或者去安恒威胁情报中心进行ip检测分析,是不是云服务器,基站等,如果是云服务器的话可以直接反渗透,看看开放端口,域名,whois等进行判断,获取姓名电话等丢社工库看看能不能找到更多信息然后收工
