• 博客园Logo
  • 会员
  • 周边
  • 捐助
  • 新闻
  • 博问
  • 闪存
  • 赞助商
    • 搜索
      所有博客
    • 搜索
      当前博客
  • 写随笔 我的博客 短消息 简洁模式
    用户头像
    我的博客 我的园子 账号设置 简洁模式 ... 退出登录
    注册 登录
rxrxrx
博客园    首页    新随笔    联系   管理    订阅  订阅

告警类问题 8

1、SQL注入类告警该怎么处理?

答:根据数据包回显,判断注入是否成功,如果成功可以直接上报研判,如果没有成功,但一直在尝试攻击,我们也可以上报研判,进行封禁IP。

 

2、SQL注入告警有什么特征?

答:请求报文中有特殊的sql字符,比如,and、or、id=1、updatexml、select、union等。

响应报文中有一些sql回显,就比如一些错误回显或者登陆成功的回显。

 

3、怎么在告警里面判断是否有sql注入?

答:请求报文中有特殊的sql字符,比如,and、or、id=1、updatexml、select、union等。

响应报文中有一些sql回显,就比如一些错误回显或者登陆成功的回显。(同上)

 

4、告警成功该怎么去处理?

答:首先要判断告警是否有效,如果是有效的话,我们可以直接上报给研判组。

 

5、告警日志的分析思路

答:首先要收集所有的告警日志,然后我们对收集的告警日志进行全面分析,根据告警的重要性和紧急程度确定告警的等级,然后我们再持续对告警日志进行监控和分析。

 

6、网络攻击类告警该怎么判断?

答:首先要确认目的资产是不是公司资产,如果不是就可以忽略;

然后再次判断总体的告警次数多不多,如果多就需要重点关注;

最后再看攻击载荷是否出现登陆成功的关键字,就如success等。

 

7、如何判断无效告警,使用安全设备?

答:可以通过特征规则将无效告警、误报告警过滤掉;

通过对告警日志进行研判分析,从中找出真实有效的攻击事件。

 

8、代理工具类告警怎么判断?

答:排除业务人员私自搭建代理的可能;

植入服务器之前,必定存在漏洞利用的情况,就比如文件上传、命令执行等漏洞;

查看受害资产所有的告警,确定再代理告警前后没有其他告警。

 

9、代理工具设备分析?

答:查看流量是否有代理工具的具体流量,就比如frp、ngroc等,都有公开的流量特征。

 

10、怎么判断文件上传告警是否攻击成功?

答:通过响应结果判断上传请求,上传成功的状态码通常是200;

也可以通过查看日志来判断上传是否成功;

也可以登录受害者主机全局搜索上传文件;

回显状态码为200,并且有上传成功路径,返回access等字样。

 

11、文件上传的排查思路?

web目录下进行目录扫描,可以用D盾或者河马;

查看web目录近期新增或修改的文件,排查是否有恶意文件。

 

12、XFF字段原理?哪一个可能是客户端真实地址?

答:XFF是指HTTP请求头中的一个字段,用来标识客户端的IP地址的;
最后的IP地址就是客户端的真实IP地址

 

13、XFF是否可信?或多个地址的情况?

答:不可信,存在伪造的可能
存在多个IP地址的情况

 

14、告警显示的ip是2.2.1,但xff里的ip是2.2.2,请求的真实ip是哪个?

答:以xff为准

 

15、XFF有可能会被伪造吗,原因是什么?

答:有可能,XFF通过多个代理服务器,在BP抓包的过程中,可以对其进行更改伪造。

 

16、内网横向有哪些告警类型?

 

答:cs相关告警、隧道类告警、内网段的漏洞扫描、暴力破解;

 

内网主机对内部其他主机的攻击行为,该主机可能被黑客控制沦为跳板机,企图控制更多的内网其他主机。

 

 

 

17、设备内网攻击你怎么分析的?

 

答:是否有隧道流量、是否有横向攻击流量、是否有内网暴力破解的流量;

记录下内网有恶意行为机器的ip

 

18、 水坑攻击:(利用社会工程学)

答:分析攻击目标的上网活动规律;

寻找攻击目标经常访问的网站的漏洞;

将网站攻破并植入恶意程序,等待目标访问

 

19、鱼叉攻击:(钓鱼诱骗对方)

答:指利用电子邮件伪装,附上木马程序;

发送到目标电脑上;

诱导受害者去打开附件来感染木马。

 

20、钓鱼邮件的处理方法?

答:a、先确认邮件发送者信息是否正常,否则不要打开邮件

b、如果要排查是否有问题的话,推荐接入微步在线或奇安信的情报分析中心,对邮件内容出现的URL做扫描。

 

21、如何分析排查钓鱼邮件事件?

答:1.查看邮件发送时间点
2.排查邮箱登录日志,发现恶意IP在什么时间通过web登录成功
3.查看邮件内容,确认钓鱼邮件的影响和目的
4.排查浏览器或上网行为,判断是否访问过钓鱼页面
5.对访问过的设备进行全盘查杀

 

22、邮件服务器告警有两种可能,产生原因是什么?

答:一、是邮件服务器负责转发邮件至各个用户,所以钓鱼或病毒邮件接收端首先是邮件服务器ip

二、是邮件服务器假设的网站存在漏洞可能被攻陷(邮件服务器一般放在内网中)

 

23、中挖矿病毒的现象和处理方法?

答:系统CPU占用接近100%;

系统内存异常,占用不稳定。

处理:

a.kill死进程

b.使用漏扫工具扫描
c.找到可疑程序并删除
d.更新系统补丁

 

24、挖矿木马告警怎么判断?

答:1、如果有挖矿协议流量,判断下数据包里的协议是否是挖矿协议;

2、如果是威胁情报告警,将目的ip地址放入到威胁检测平台做检测,看是否被打上矿池标签。

 

25、如果有一个告警发现有挖矿木马,怎么在威胁感知上怎么从流量方面来确定是挖矿木马?

答:如果从流量判断挖矿木马,需要确认是否有挖矿协议流量,常见的有开头jsonrpc、Stratum之类的协议流量。

Stratum是一种用于矿池与矿工之间通信的开放式协议,用于协调矿池中的多个矿工进行加密货币挖掘。

Stratum协议流量通常使用TCP端口3333或3334。

 

26、天眼告警主机外联的排查思路?

 

答:主机外联主要判断主机请求的外网地址是否是恶意,或者是dnslog相关平台域名,若地址在威胁情报查询是恶意或请求dnslog相关域名次数较多,可判断主机异常。

 

 

posted @ 2023-06-30 18:27  RXXH  阅读(1815)  评论(0)  编辑  收藏  举报
刷新页面返回顶部
Copyright © 2024 RXXH
Powered by .NET 8.0 on Kubernetes