HW 蓝队面试题整理(应急响应细节题)

最新推荐文章于 2024-12-10 14:32:47 发布
原创 最新推荐文章于 2024-12-10 14:32:47 发布 · 2.6k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #网络安全 #运维 #网络

本文围绕网络安全展开,介绍了数据包和日志的分析思路与工具,如用天眼、wireshark 等;提及文件上传、命令执行等日志查看要点;阐述了 Windows 和 Linux 日志分析技巧、应急响应场景;还涵盖端口修改、漏洞加固、攻击应对、态势感知产品使用等网络安全相关内容。

B. 细节题

1.你能大概说一下,比如数据包或者日志,你的分析思路是什么,以及你会用到哪些工具或者那些网站进行查询?

  • 用流量监测的安全设备,比如天眼,查看报文,分析报文里和 host 和网站目录路径,查看是否可疑,使用微步查询 host 是否为恶意,使用 wireshark 对数据包深度分析

  • 看一下请求的网站路径,源 IP 与目的 IP 地址,host 字段的值以及发包内容等

  • 工具有 wireshark,网站的话微步在线等威胁情报中心

2.文件上传和命令执行,有看过相关日志吗

  • 文件:可能在系统有上传功能或者有文本编辑器,看一下是否有 base64 加密或者 url 加密,解码验证一下是否有恶意代码

  • 系统日志:有没有 web 容器做了一些危险行为,比如 bash 反弹 shell 等

  • 网络应用日志:有没有异常的网站文件,类似 webshell 等,就有可能是命令执行

3.windows日志分析工具

Log Parser、LogParser Lizard、Event Log Explorer

4.Linux日志分析技巧命令

  • 定位有多少IP在爆破主机的root帐号:

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

  • 定位有哪些IP在爆破:

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

  • 爆破用户名字典是什么?

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print"$1\n";}'|uniq -c|sort -nr

  • 登录成功的IP有哪些

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more登录成功的日期、用户名、IP:grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

  • 增加一个用户kali日志:

Jul 10 00:12:15 localhost useradd[2382]: new group: name=kali, GID=1001Jul 10 00:12:15 localhost useradd[2382]: new user: name=kali, UID=1001, GID=1001,home=/home/kali, shell=/bin/bashJul 10 00:12:58 localhost passwd: pam_unix(passwd:chauthtok): password changed for kali#grep "useradd" /var/log/secure

  • 删除用户kali日志:

Jul 10 00:14:17 localhost userdel[2393]: delete user 'kali'Jul 10 00:14:17 localhost userdel[2393]: removed group 'kali' owned by 'kali'Jul 10 00:14:17 localhost userdel[2393]: removed shadow group 'kali' owned by 'kali'# grep "userdel" /var/log/secure

  • su切换用户:

Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good byroot(uid=0)sudo授权执行:sudo -lJul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ;COMMAND=/sbin/shutdown -r now

5.给你一个比较大的日志,应该如何分析

  • 攻击规则匹配,通过正则匹配日志中的攻击请求

  • 统计方法,统计请求出现次数,次数少于同类请求平均次数则为异常请求

  • 白名单模式,为正常请求建立白名单,不在名单范围内则为异常请求

  • HMM 模型,类似于白名单,不同点在于可对正常请求自动化建立模型,从而通过正常模型找出不匹配者则为异常请求

  • 借助日志分析工具

如 LogForensics 腾讯实验室 https://security.tencent.com/index.php/opensource/detail/15
最低0.47元/天 解锁文章
2024hw 蓝队面试题合集
Sumarua的博客
07-01 1344
2024HW蓝队面试题合集,面试题及答案
2024hw蓝队面试题-1
aihua002的博客
06-15 737
我使用过的设备包括各种防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)安全信息和事件管理(SIEM)系统等。在遇到误报时,我通常会首先确认这是一个真正的误报,而不是对系统的实际威胁。确认后,我会分析误报产生的原因,这可以包括查看规则配置、检查硬件和软件是否存在漏洞等。然后依据我所调查分析的结果,调整设备设置或是规则以避免在未来再发生同样的误报。在这个过程中,我们还需要在一段时间内继续监视该设备,确认新的设置和规则是否有效。规则配置不当、威胁情报不准确、设备漏洞或缺陷、用户正常活动、软件或服务更新等当
蓝队面试题整理hw防守方面试题整理).pdf
07-25
蓝队面试题整理hw防守方面试题整理).pdf
2023年最新整理网络安全护网蓝队面试题
msb_114的博客
06-30 1753
2023最新整理的护网蓝队面试题,防守方面试题合集
2023最新蓝队面试题整理hw防守方面试题整理)含答案
msb_114的博客
04-18 1219
蓝队面试题整理hw防守方面试题整理)含答案!
护网面试总结
shayebudon的博客
04-20 9224
怎么确定一个网站是不是站库分离 (1)查询web服务器名 LENOVO-GH*****—select @@servername; (2)查询数据库服务器名 DESKTOP-1HV****—select host_name(); 对比两个查询结果,即可判断。相同则同站同库,不同就是站库分离 知道那些防火墙设备 常见的 HW 设备有:公安部网防G01、K01、360网康/网神防火墙、微步威胁情报、安恒云-Web应用防火墙(玄武盾)、默安蜜罐、知道创宇蜜罐、山石防火墙 NGAF/NGFW:下一代 Web 应用防火
蓝队面试题
qq_44796739的博客
07-29 2679
蓝队面试题
2023年HW蓝队面试题
04-26
### 2023年HW蓝队面试题详解 #### 一、HVV的分组与流程 在网络安全领域,“护网行动”(HVV)是一项重要的实战演练活动,旨在检验和提升网络防御能力。HVV活动通常分为红队与蓝队两大阵营,其中红队扮演攻击者的...
HW 蓝队面试题整理
黑战士的博客
07-30 1463
研判工作要充分利用已有安全设备(需要提前了解客户的网络拓扑以及部署设备情况),分析其近期的设备告警,将全部流量日志(日志条件:源地址,目的地址,端口,事件名称,时间,规则 ID,发生 次数等)根据研判标准进行筛选(像挖矿、蠕虫、病毒、拒绝服务这类不太可能为攻击方发起的攻击的事件,直接过滤掉,减少告警数量),一般情况下,真实攻击不可能只持续一次,它一定是长时间、周期性、多 IP 的进行攻击。这个算是让整套系统性能得到提升的灵魂了,定位为客户的安全大脑,是一个集检测、可视、响应处置于一体的大数据安全分析平台。
人生首次面试——护网面试经验.docx
03-30
人生首次面试——护网面试经验.docx
深信服护网面试经验分享.docx
03-30
深信服护网面试经验分享.docx
面试必问之应急响应
m0_62373986的博客
07-23 1474
勒索病毒和挖矿木马是应急响应里最常见到的两种类型,危害性和影响性也是最大。在两者应急响应的排查过程中,都需要对日志、进程、服务、启动项、计划任务、网络连接等方面进行分析。1、先隔离,避免其它主机受影响,把损失降到最小2、根据组织架构排查其它受影响的主机,确定排查范围3、对受害主机进行排查,主要是日志、进程、服务、网络连接、计划任务、启动项等4、定位到突破点,分析攻击者利用何种方式入侵主机5、清除攻击利用点,全盘扫描,加固修复6、流程总结。
HW 蓝队面试题整理hw防守方面试题整理
jennycisp的博客
04-26 1924
很多小伙伴想要一窥网络安全整个体系,这里我分享一份打磨了4年,已经成功修改到4.0版本的**《平均薪资40w的网络安全工程师学习路线图》**对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问。👉优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
应急响应(面试)
weixin_52620919的博客
12-01 1520
GhostPetya勒索病毒 该怎么做: 1)未部署端点安全的终端应急解决方案 1做好重要文件的备份工作(非本地备份)。 3利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445 2开启系统防火墙。 端口的服务)。 4打开系统自动更新,并检测更新进行安装。 5停止使用WindowsXP、Windows 2003等微软已不再提供安全更新的操作 系统。 6如无需使用共享服务建议关闭该服务。 2)已部署端点安全的终端应急解决方案 ①如果用户已经部署终端管理类产品,可通过终端管理软件进行内网打补丁
2023最新最全!蓝队护网初级面试题大合集!必看!
2301_77732591的博客
06-18 3535
本人从事网络安全工作10年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。随着网络安全被列为国家安全战略的一部分,这个曾经细分的领域发展提速了不少,除了一些传统安全厂商以外,一些互联网大厂也都纷纷加码了在这一块的投入,随之而来的吸引了越来越多的新鲜血液不断涌入。
面试分享 | 护网蓝队面试经验
zkaqlaoniao的博客
11-09 2114
为什么将自我介绍能力放在第一位,实际上自我介绍才是面试中最重要的一点,因为护网面试并没有确定的目,让面试官去提问更多是的和面试官的一种 “交谈” ,面试的难易程度也自然就取决于你如何去和面试官 “聊天”。所以我认为自我介绍能力是面试能力的首要位置。
2024蓝队HW面试题收集(持续更新)
qq_65165505的博客
05-20 6181
24年hw面试题收集汇总,持续更新
【护网】面试及经验分享(非常详细),零基础入门到精通,看这一篇就够了
最新发布
隔壁王叔的博客
12-10 1575
【护网】面试及经验分享(非常详细),零基础入门到精通,看这一篇就够了
window入侵排查
u012207466的博客
06-12 2771
## 第1篇:window入侵排查 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell、后台弱口令 系统入侵:病毒木马、勒索软件、远控后门、系统命令执行、反序列化漏洞 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。 ### 0x01 入侵排查思路 ####...
"蓝队面试题整理HW防守方面试题精华
蓝队面试题整理hw防守方面试题整理).pdf是一份包含了各种与网络安全防御相关的面试题整理文件。该文件主要内容包括应急响应、宏观、基本思路流程、Windows入侵排查思路、Linux入侵排查思路、Linux的登录日志...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AI小模型

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值