柚子快報激活碼778899分享：護網(wǎng)面試總結

http://yzkb.51969.com/

1.冰蝎4.0的流量特征

冰蝎4.0HTTP協(xié)議進行通信，使得通信流量看起來是正常的Web流量，難以被檢測；

使用RC4加密算法對通信流量進行加密;

PHPwebshell中存在固定代碼

$post=Decrypt(file_get_contents("php://input"));

eval($post);

請求頭和響應頭里面會帶有Connection：Keep-alive；

content-Type字段：Application/x-www-form-urlencoded

webshell會有一段連接32位md5值的前16位，默認連接密碼為rebeyond;

2.冰蝎3.0和4.0的區(qū)別

冰蝎3.0采用自定義的二進制協(xié)議進行通信，冰蝎4.0采用HTTP協(xié)議進行通信;

冰鞋3.0使用DES加密算法，冰蝎4.0使用RC4加密算法;

3.cs流量特征（50050）

被控端會發(fā)送心跳包；

在執(zhí)行下發(fā)指令時，會看到木馬攻擊者訪問c2服務器上面的submit.php界面，并且在訪問界面會帶有一個id參數(shù)；

cs4.0版本的ua頭時固定的，4.5及以上版本隨機的，能避免被藍隊檢測到；

url路徑；

解密算法checksum8（92L，93L）；

4.MSF流量特征

使用默認的4444端口作為反向連接端口；

數(shù)據(jù)包中包含metepreter，revshell等特定字符；

5.哥斯拉流量特征

在cookie字段，最后一個cookie的值出現(xiàn)分號；

payload中，有pass字符和java反射，base64加密解密等特征，php，adp就是一句話木馬；

6.蟻劍流量特征

payload中，php中使用assert，eval函數(shù)執(zhí)行，在jsp中使用java類（ClassLoader）加載，也會帶有base64加密解密特征；

流量特征；每個請求都在@ini_sey("diplay_erors","0");@set_time_limit(0),后面也會有base64等字符；

7.weblogic（7001端口）

weblogic原理：比如CVE-2021-2109，遠程代碼執(zhí)行漏洞，攻擊者通過構造惡意的HTTP請求，觸發(fā)Weblogic Server的漏洞，來實現(xiàn)遠程代碼執(zhí)行。

weblogic反序列化原理：Weblogic控制臺7001端口默認會開啟T3協(xié)議服務，T3協(xié)議觸發(fā)的Weblogic Server WLS Core Conponents中?存在反序列化漏洞，攻擊者可以構發(fā)送來獲取目標服務器權限。

8.shrio

分為550和721，550是反序列化，721是加密解密，550不需要rememberMe Cookie解密，721需要來remenberMe Cookie解密；

9.log4j是一個日志框架

流量特征：主要是有JNDI關鍵詞

原理如下：

JNDI注入：可以通過日志文件配置中的特定字段來配置JNDI資源，JNDI是用來訪問命名和目錄服務的API；

JNDI服務利用：攻擊者構造惡意的日志文件，在日志配置文件中使用特定的字段，指定一個遠程的JNDI服務地址，當Log4j嘗試解析并獲取JNDI資源時，會向遠程地址發(fā)起請求；

JNDI遠程代碼執(zhí)行：攻擊者在遠程JNDI服務上搭建一個惡意的RMI服務，該服務會返回一個惡意的代碼，當Log4j嘗試獲取JNDI資源時，他會從遠程JNDI服務獲取到惡意代碼，并在應用程序執(zhí)行，從而導致遠程代碼執(zhí)行漏洞；

惡意代碼執(zhí)行：當成功利用Log4j漏洞，攻擊者可以在受影響的應用程序中執(zhí)行任意惡意代碼，包括遠程命令執(zhí)行，代碼執(zhí)行，服務器接管等；

11.fastjson

原理：Fastjson是一個Java序列化和反序列化框架，能將Java對象轉(zhuǎn)化為JSON格式的字符串，并將JSON字符串轉(zhuǎn)換為Java對象；

怎么發(fā)現(xiàn)是fastjson站點：1.查看網(wǎng)站源代碼搜索關鍵詞；2.用開發(fā)者工具，看看請求代碼中是否村在“fastjson”或"com.alibaba.fastjson"；

12.中了病毒木馬應急事件

中了某某木馬，該怎么辦

a.首先要及時隔離機器，斷網(wǎng)，不能利用這臺機器接著攻擊；

b其次，要確定攻擊范圍，是否通過內(nèi)網(wǎng)滲透了更多機器；

c保留樣本，分析攻擊是如何發(fā)起攻擊的，從哪里進行攻擊的，看看流量包，及時對攻擊者ip進行反制溯源

恢復機器，及時清理干凈后門，對系統(tǒng)進行重裝

及時更改密碼，防止攻擊者獲得更多密碼

13.出現(xiàn)那個Webshell連接，如何判斷是誤報

a.查看連接來源：查看連接的IP地址和端口，，如果是一個可信賴的IP地址和端口，可能是誤報

b.分析連接行為：查看連接的時間，頻率，嘗試連接的目標，如果是和正常的流量相符合，可能是誤報

c.檢查文件：檢查服務器上的文件是否存在異常，比如未知的PHP，ASP，JSP文件等，如果發(fā)現(xiàn)可疑文件，那可能是真實的Webshell連接

d檢查日志：檢查服務器訪問日志和安全日志等，查看是否存在可疑的行為或攻擊嘗試行為，如果時的話，可能是真實的Webshell連接?

13.挖礦病毒排查（CPU拉滿，服務器卡頓，網(wǎng)絡阻塞）

a.檢查系統(tǒng)資源占用：挖礦木馬會占用大量的CPU或GPU資源，導致系統(tǒng)變得非常緩慢，可以使用Windows的任務管理器（Ctrl+Shift+Esc）或者Linux的top命令查看

netstat: netstat -ano

查看進程列表： tasklist

b.查看網(wǎng)絡連接情況：挖礦木馬會通過網(wǎng)絡連接到挖礦池，上傳挖礦結果并下載新的挖礦任務，可以使用netstat命令或者Wireshark等網(wǎng)絡抓包工具來檢查網(wǎng)絡連接情況；

c.檢查系統(tǒng)進程表:挖礦木馬會在系統(tǒng)中創(chuàng)建新的進程，使用ps命令或者Windows的任務管理器來檢查系統(tǒng)進程列表；

d掃描系統(tǒng)文件：挖礦木馬可能會修改系統(tǒng)文件來隱藏自己，可以使用殺毒軟件或命令行掃描工具進行掃描

14.挖礦事件如何處置

a.首先要詢問情況，看是什么時候發(fā)現(xiàn)的;

b.尋找攻擊遺跡，看看cpu占用，進程，計劃任務，可疑用戶；

c.備份樣本分析，上傳沙箱獲取攻擊行為并嘗試溯源加分；

d.及時清理后門，刪除可疑計劃任務，進程，啟動項，文件等

d.提出修改建議

15.服務器被打了怎么應急

a.收集信息：收集客戶信息和中毒主機信息，，包括樣本

b.判斷類型：判斷是否是安全事件，哪種安全事件，是勒索，挖礦，斷網(wǎng)，ddos

c.抑制范圍：隔離是受害面不繼續(xù)擴大

d.深入分析：日志分析，進程分析，啟動項分析，樣本分析后方便溯源

e.

柚子快報激活碼778899分享：護網(wǎng)面試總結

http://yzkb.51969.com/

好文鏈接