首页
题库
公司真题
专项练习
面试题库
在线编程
面试
面试经验
AI 模拟面试
简历
求职
学习
基础学习课
实战项目课
求职辅导课
专栏&文章
竞赛
我要招人
发布职位
发布职位、邀约牛人
更多企业解决方案
AI面试、笔试、校招、雇品
HR免费试用AI面试
最新面试提效必备
登录
/
注册
Nicehr
湖北大学 网络安全
发布于浙江
关注
已关注
取消关注
@ocean-_-:
蓝队面试题整理(hw防守方面试题整理)part 1
之前整理的有关于蓝队方面的面试题适合作为 hw 防守方,很久没更了放放存货🎈,整理自网络侵删,如有帮助点赞支持,之后会继续更新面试题系列 OCEAN'S 安全面试题整理系列文章: 渗透测试&网络&CTF面试题整理 PHP&Java&Py&漏洞利用or运维面试题整理 红队面试题整理 蓝队面试题整理(含回答) HR问题 🅰️应急响应🛡️ ⬆️宏观题 1.基本思路流程 收集信息:收集客户信息和中毒主机信息,包括样本 判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS 等等 抑制范围:隔离使受害⾯不继续扩⼤ 深入分析:日志分析、进程分析、启动项分析、样本分析方便后期溯源 清理处置:杀掉进程,删除文件,打补丁,删除异常系统服务,清除后门账号防止事件扩大,处理完毕后恢复生产 产出报告:整理并输出完整的安全事件报告 2.Windows入侵排查思路 检查系统账号安全 查看服务器是否有弱口令,远程管理端口是否对公网开放(使用netstat -ano命令、或者问服务器管理员) lusrmgr.msc命令查看服务器是否存在可疑账号、新增账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉 用 D 盾或者注册表中查看服务器是否存在隐藏账号、克隆账号 结合日志,查看管理员登录时间、用户名是否存在异常 检查方法:Win+R 打开运行,输入“eventvwr.msc”,回车运行,打开“事件查看器”,导出 Windows 日志--安全,利用 Log Parser 进行分析 检查异常端口、进程 netstat -ano检查端口连接情况,是否有远程连接、可疑连接 任务管理器-进程 检查启动项、计划任务、服务 检查系统相关信息 查看系统版本以及补丁信息 查找可疑目录及文件 日志分析 3.Linux入侵排查思路 账号安全 who 查看当前登录用户(tty本地登陆 pts远程登录)w 查看系统信息,想知道某一时刻用户的行为uptime 查看登陆多久、多少用户,负载 1、用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bashaccount:password:UID:GID:GECOS:directory:shell用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell注意:无密码只允许本机登陆,远程不允许登陆2、影子文件/etc/shadowroot:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留 /etc/passwd 存储一般的用户信息,任何人都可以访问;/etc/shadow 存储用户的密码信息,只有 root 用户可以访问 历史命令 通过 .bash_history 查看帐号执行过的系统命令1、root的历史命令 histroy2、打开 /home 各帐号目录下的 .bash_history,查看普通帐号的历史命令历史操作命令的清除:history -c但此命令并不会清除保存在文件中的记录,因此需要手动删除.bash_profile文件中的记录 检查异常端口 netstat -antlp|more查看下pid所对应的进程文件路径,运行ls -l /proc/$PID/exe或file /proc/$PID/exe($PID 为对应的pid 号) 检查异常进程 ps aux | grep pid 检查开机启动项 开机启动配置文件 /etc/rc.local/etc/rc.d/rc[0~6].d 检查定时任务 crontab -l 列出某个用户cron服务的详细内容Tips:默认编写的crontab文件会保存在 (/var/spool/cron/用户名 例如: /var/spool/cron/rootcrontab -r 删除每个用户cront任务(谨慎:删除所有的计划任务)crontab -e 使用编辑器编辑当前的crontab文件如:*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件2、利用anacron实现异步定时任务调度 重点关注 /var/spool/cron/*/etc/crontab/etc/cron.d/*/etc/cron.daily/*/etc/cron.hourly/*/etc/cron.monthly/*/etc/cron.weekly//etc/anacrontab/var/spool/anacron/* 检查服务 chkconfig --list 命令,可以查看系统运行的服务 检查异常文件 检查系统日志 Linux的登录日志查看文件 日志默认存放位置:/var/log/ 查看可登录的账户 cat/etc/passwd|grep '/bin/bash' 查看所有用户最后的登录信息 lastlog 查看用户最近登录信息 last 其中,/var/log/wtmp 存储登录成功的信息、btmp 存储登录失败的信息、utmp 存储当前正在登录的信息 查看当前用户登录系统情况 who Linux常用排查命令 这个问题就是 linux 入侵排查排查的一部分 https://cloud.tencent.com/developer/article/1822210 系统信息 查看当前系统状态 top 操作系统信息 uname -a 查看当前系统进程信息 ps 查看历史命令 history 列出本机所有的连接和监听的端口 netstat 查看谁在使用某个端口 lsof 用户登录 查看当前用户登录系统情况 who 分析超级权限账户 awk-F: '{if(1}'/etc/passwd 查看可登录的账户 cat/etc/passwd|grep '/bin/bash' 查看用户错误的登录信息 lastb 查看所有用户最后的登录信息 lastlog 查看用户最近登录信息 last /var/log/ 其中,/var/log/wtmp 存储登录成功的信息、btmp存储登录失败的信息、utmp存储当前正在登录的信息 查看空口令账户 awk-F: 'length(1}'/etc/shadow Linux基线规范 每个公司有每个公司的基线规范体系,但是答题分为下列五个方面 账号管理和授权 检查特殊账号,是否存在空密码的账户和 root 权限账户 禁用或删除无用账号 添加口令策略:/etc/login.defs修改配置文件,设置过期时间、连续认证失败次数 禁止 root 远程登录,限制root用户直接登录。 检查 su 权限。vi /etc/pam.d/su添加auth required pam_wheel.so group=test 服务 关闭不必要的服务 SSH 服务安全 不允许 root 账号直接登录系统,PermitRootLogin=no 修改 SSH 使用的协议版本为 2 修改允许密码错误次数(默认 6 次),MaxAuthTries=3 文件系统 设置 umask 值 vi /etc/profile 添加行 umask 027 设置登录超时 vi /etc/profile 修改配置文件,将以 TMOUT= 开头的行注释,设置为 TMOUT=180 日志 启用 syslogd 日志,配置日志目录权限,或者设置日志服务器 记录所有用户的登录和操作日志,通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查 https://www.alibabacloud.com/help/zh/faq-detail/49809.htm IP 协议安全要求 远程登录取消 telnet 采用 ssh 设置 /etc/hosts.allow 和 deny 禁止 ICMP 重定向 禁止源路由转发 防 ssh 破解,iptables (对已经建立的所有链接都放行,限制每分钟连接 ssh 的次数)+ denyhost (添加 ip 拒绝访问) Linux 安全基线检查 Linux:https://cloud.tencent.com/developer/article/1668982 Windows 安全基线检查 Windows:https://cloud.tencent.com/developer/article/1668937 主要包括五个方面:身份鉴别、访问控制、安全审计、资源控制、剩余信息保护 身份鉴别 更改缺省账户 检查Guest用户是否禁用 密码复杂性要求 密码长度最小不能小于8位 访问控制 共享账户检查 远程关机授权 本地关机 授权帐户登陆 安全审计 用户登录日志记录 系统日志完备性检查 登录超时管理 资源控制 登录超时管理 远程登录超时配置 剩余信息保护 不显示上次的用户名 关机前清除虚拟内存页面 不启用可还原的加密来存储密码 中间件基线规范(APACHE) https://www.alibabacloud.com/help/zh/faq-detail/52981.htm 配置 账号 授权 日志 session 过期时间(防ddos) 绑定监听地址 禁止 目录权限 访问外部文件 CGI 非法HTTP方法(PUT DELETE) 隐藏 服务版本号 重定向错误页面 删除 配置文件 默认安装的无用文件 中间件常见漏洞 https://www.freebuf.com/articles/web/192063.html (一) IIS1、PUT漏洞 2、短文件名猜解 3、远程代码执行 4、解析漏洞 (二) Apache1、解析漏洞 2、目录遍历 (三) Nginx1、文件解析 2、目录遍历 3、CRLF注入 4、目录穿越 (四)Tomcat1、远程代码执行 2、war后门文件部署 (五)jBoss1、反序列化漏洞 2、war后门文件部署 (六)WebLogic1、反序列化漏洞 2、SSRF 3、任意文件上传 4、war后门文件部署 (七)其它中间件相关漏洞1、FastCGI未授权访问、任意命令执行 2、PHPCGI远程代码执行 Linux、Windows安全加固 IIS 服务器应该做哪些方面的保护措施? 整理来源:http://www.williamlong.info/archives/118.html 保持 Windows 升级 使用 IIS 防范工具 移除缺省的 Web 站点 如果你并不需要 FTP 和 SMTP 服务,请卸载它们 有规则地检查你的管理员组和服务: 严格控制服务器的写访问权限 设置复杂的密码 减少/排除 Web 服务器上的共享 禁用 TCP/IP 协议中的 NetBIOS 使用 TCP 端口阻塞 仔细检查 .bat 和 .exe 文件:每周搜索一次 .bat 管理 IIS 目录安全 使用 NTFS 安全 管理用户账户 审计你的 Web 服务器 Linux系统安全加固需要注意的内容 关闭不必要的系统服务 更改 SSH 默认端口 禁止 root 用户远程 ssh 登录 限制用户使用 su 命令切换 root 密码复杂度策略 检查密码重复使用次数限制 检查是否存在空口令账号 禁止同时按下 ctrl+alt+del 重启 禁用 telnet 服务 框架漏洞&常见命令注入漏洞?php? Strust2 ? Struts2 OGNL 注入 weblogic fastjson TP5 代码执行 laravel:debug mode 远程代码执行漏洞(CVE-2021-3129) Spring Expression Language SPEL 表达式注入 Spring Security Oauth2 远程代码执行 Spring框架漏洞总结 常见安全工具、设备 工具 端口及漏洞扫描:Namp、Masscan 抓包:Wireshark,Burpsuite、Fiddler、HttpCanary Web自动化安全扫描:Nessus、Awvs、Appscan、Xray 信息收集:Oneforall、hole 漏洞利用:MSF、CS Webshell 管理:菜刀、蚁剑、冰蝎、哥斯拉 设备 网络安全设备常识 常见的 HW 设备有:公安部网防G01、K01、360网康/网神***、微步威胁情报、安恒云-Web应用***(玄武盾)、默安蜜罐、知道创宇蜜罐、山石*** 即客户拥有物理的基础设施(自建机房、自购设备、网络) NGAF/N***:下一代 Web 应用***(Next Generation Application Firewall,通***和下一代***的区别),聚合了以下功能 IDS HIDS:基于主机的入侵检测系统 NIDS:基于网络的入侵检测系统 HIDS+NIDS:基于混合数据源的入侵检测系统 IPS:入侵防御系统 AV:反病毒系统 EDR:主机安全管理\终端检测和响应 EDR 实时监测终端上发生的各类行为,采集终端运行状态,在后端通过大数据安全分析、机器学习、沙箱分析、行为分析、机器学习等技术,提供深度持续监控、威胁检测、高级威胁分析、调查取证、事件响应处置、追踪溯源等功能,可第一时间检测并发现恶意活动,包括已知和未知威胁,并快速智能地做出响应,全面赋予终端主动、积极的安全防御能力 简单来说就是给内网环境中所有主机安装管理软件终端,可以在管理平台集中管理和数据分析过滤,基本所有安全厂商都有自己的 EDR 产品 运维审计和管理平台(堡垒机) DAS:数据库安全审计平台 LAS:日志审计安全平台 AC:上网行为管理系统 伪装欺骗系统(蜜罐、蜜网) SIP:安全态势感知平台 这个算是让整套系统性能得到提升的灵魂了,定位为客户的安全大脑,是一个集检测、可视、响应处置于一体的大数据安全分析平台。产品以大数据分析为核心,支持主流的安全设备、网络设备、操作系统等多源数据接入,利用大数据、关联分析、告警降噪等技术,实现海量数据的统一挖掘分析 云网络 云网络包括私有云和公有云 云主机安全 云*** 云堡垒机 云蜜罐 云 DDOS 防护 等等
点赞 8
评论 1
全部评论
推荐
最新
楼层
暂无评论,快来抢首评~
相关推荐
07-23 11:56
魔门塔(苏州)科技有限公司_感知算法工程师(准入职员工)
momenta内推
momenta日常实习面经-嵌入式软件开发,摘自优秀牛友👋一面:1.freertos优先级有几种模式 2.freertos的任务调度 3.freertos的任务优先级设置的值越大,优先级是越高还是越低 4.Linux移植根文件系统用什么做的 5.编译流程 6.MQTT的了解 7.长连接和短连接 8.cmake和makefile 9.git 10....
点赞
评论
收藏
分享
07-28 12:55
北京科技大学 C++
时间过得好快 马上秋招就要开始了
作为25届的小菜鸡给大家一些建议。一、一定要明确自己的求职方向先思考自己想做什么职业/行业和自己适合什么样的行业/职业;各位同学可以也观察自己专业以往的就业趋势,思考自己专业的就业方向,也可以多和同专业的学长学姐沟通交流;要自己有一个大致的求职方向,明白自己适合什么样的工作。怎样才能知道自己适合什么样的工作呢?其实最直白的方法还是!实习!不管你是要从事自身专业的工作还是想要跨专业求职,只有深入实践,对你的职业规划进行一个先行体验的大动作,你才能晓得你到底适不适合,你所学的专业知识和技能,是否能够运用在工作生活中。所以还没有实习经历的26届同学们,抓住毕业前的机会,多积累含金量较高的实习~不仅可...
点赞
评论
收藏
分享
07-08 17:23
腾讯音乐娱乐集团_客户端(准入职员工)
mentor手把手教我包装简历
我的简历可以说是全是水份实习期间在给mentor打杂后面写简历把mentor干的活全写进去了然后发给他看让他锐评一下后续秋招每一轮面试都会问这个优化问题,大部分情况都能答出来,偶尔遇到面试官问的非常细的时候,我就再去骚扰mentor,让他给我解答,让简历里的这个点做到滴水不漏。
勇敢的马后炮炮手在写...:
你起一个中介作用
简历当中有水分算不算造假...
点赞
评论
收藏
分享
07-13 18:34
阿里巴巴_软件开发(实习员工)
秋招准备投简历了,求指点
rt,修改了一波,望佬指点,准备开投了
来offer来oc:
快进到offer打牌
你的简历改到第几版了
点赞
评论
收藏
分享
07-25 09:37
门头沟学院 客户端其它
傻逼公司,真受不了了
设想一下:你好不容易拿到个offer,寻思上网上搜搜这家公司风评怎么样,结果,要多坏有多坏,基本没有好的评价。然后你怀着忐忑的心去了,入职之后,感觉氛围也没有网上说的那样糟糕啊,这是为什么。说理由之前,先说一个咱们经常干的一件事情,吃饭。今天你准备和朋友小聚一下,想着上抖音搜搜这附近哪家饭馆不错,猛炫一顿,一搜,诶,这博主吃的真香啊,这家菜绝对不错,就他家了,溜溜达达到地方之后,照着博主的菜单点了一下,菜上来了,你尝了一口,发现也就那样,甚至没有你老妈做的好吃。这个餐馆就是公司,你上抖音搜餐馆看看菜啥样就是上网上搜公司看看风评,其实,就那么回事。有很多事情,大家要心知肚明,你既然从事互联网行业...
asdasdasda...:
主要是加班也不一定能学到更多技术
风评不好的公司,你会去吗...
点赞
评论
收藏
分享
评论
点赞成功,聊一聊 >
点赞
收藏
分享
评论
提到的真题
返回内容
全站热榜
更多
1
...
大模型应用开发面经 (5年经验)
3.0W
2
...
实习都是CRUD怎么包装
6205
3
...
滴滴提前批
5723
4
...
都是 dirty work,为什么别人的简历上就能言之有物🤔
5296
5
...
【07.29更新】能救一个是一个!26届毁意向毁约裁员黑名单
3831
6
...
百度提前批一面(秋招第一场也估计是压力最大的)
3705
7
...
秋招首凉-腾讯TEG 云架构平台提前批
3301
8
...
团孝子启动ing!
2977
9
...
干活最少的实习生因为长得漂亮转正了
2323
10
...
字节懂车帝 后端实习一面
2289
创作者周榜
更多
正在热议
更多
#
26届的你,投了哪些公司?
#
12965次浏览
158人参与
#
我对___祛魅了
#
23299次浏览
240人参与
#
中兴秋招
#
191179次浏览
2142人参与
#
你最讨厌面试问你什么?
#
9033次浏览
147人参与
#
你跟室友的关系怎么样?
#
2401次浏览
54人参与
#
工作中哪个瞬间让你想离职
#
42648次浏览
365人参与
#
简历上的经历如何包装
#
9057次浏览
263人参与
#
通信/硬件求职避坑tips
#
85857次浏览
868人参与
#
如何快速融入团队?
#
8508次浏览
104人参与
#
和同事相处最忌讳的是__
#
11514次浏览
122人参与
#
你遇到最难的面试题目是_
#
3219次浏览
69人参与
#
什么样的背景能拿SSP?
#
13442次浏览
112人参与
#
我和mentor的爱恨情仇
#
61557次浏览
377人参与
#
元戎启行求职进展汇总
#
35771次浏览
275人参与
#
字节跳动工作体验
#
457950次浏览
4623人参与
#
应届生进小公司有什么影响吗
#
85361次浏览
1053人参与
#
打工人的精神状态
#
66671次浏览
1099人参与
#
大疆今年的机械笔试难吗?
#
43590次浏览
477人参与
#
实习生活中那些难忘的瞬间
#
162596次浏览
2422人参与
#
你认为工作的意义是什么
#
161358次浏览
1068人参与
#
职场常用语录大全
#
6040次浏览
42人参与
牛客网
牛客网在线编程
牛客网题解
牛客企业服务