常见问题

• Linux中Apche日志文件在哪？
  /var/log/apche2/access.log
• Linux如何实现权限维持？
  1. suid后门
  2. 计划任务后门
  3. cat命令缺陷后门
• XFF字段原理(显示真实IP地址)
  X-Forwarded-For(XFF)是一个HTTP头部字段，主要用于跟踪请求从客户端到服务器的传递路径，主要在HTTP请求被代理或者负载均衡时使用。
  XFF字段可以被代理服务器添加到请求中，以记录原始请求的IP地址。如果有多个代理，XFF可以包含一个或多个IP地址，列表中每个IP地址代表一个中间代理。
  X-Forwarded-For: client1, proxy1, proxy2
  client1：真正发起请求的客户端IP地址，proxy1、proxy2是中间经过的代理服务器地址。
• XFF注入如何利用？
  攻击者通过修改XFF标头字段来伪造IP地址，使服务器误以为请求来自另一个客户端。攻击者根据该IP地址执行授权、身份验证或其他与安全相关的操作：
  1、伪造请求：攻击者使用其他用户的IP地址发送请求，绕过访问控制或执行操作，导致未授权访问或数据泄露
  2、资源耗尽：通过伪造大量不同的IP地址，攻击者可以使服务器超负荷，导致服务器不可用。
  3、用户追踪：在用户会话之间伪造不同的IP地址，泄露隐私。
• DNS劫持
  1、本地DNS劫持攻击：通过用户植入恶意的软件然后修改本地的DNS设置，通过这样的手段让用户访问被重定向，让正常访问变成访问到恶意网站
  2、路由器DNS劫持攻击：路由器是固定设置，攻击者通过漏洞来攻击所有链接的用户；也可以通过密码来接管路由器
  3、流氓DNS服务器：攻击会通过控制的DNS服务器，将DNS重定向到恶意站点，用户使用或被篡改成DNS服务器时，就会访问到恶意站点。
• DNS外带劫持
  攻击者将数据嵌入到DNS查询中，将嵌入数据的DNS查询发送到一个能够捕获查询的服务器平台，服务器捕获查询后，解析查询获取嵌入的数据，从而实现数据传输或执行远程命令。
• CS流量特征
  1、心跳包特征：间隔一定时间，均有通信，且流级上的上下行数据长度固定
  2、域名/IP特征：
  1.不走CDN、域前置的、域名及IP暴露
  2.走CDN、域前置的，真实IP会被隐藏
  3、指令特诊：
  1、下发指令时，通过心跳包接受指令，server端返回的数据包更长，甚至包含要加载的DII模块数据。
  2、指令执行完，client端通过POST请求发送执行的结果数据，body部分通过加密和base64编码
  3、不同指令，执行的时间间隔不一样，可以通过POST请求和GET请求的间隔时间进行判断。
  4、数据特征：在请求的返回包中，通信数据均隐藏在jqeury*.js中。