如何打击黑灰产工具

1. 全面监控和快速响应（溯源）：对黑灰进行长期跟进，了解黑灰产工具的传播链条和路径，第一时间捕获活跃的黑灰产工具（建立特征词监控，数据取样、交叉分析）

2. 建立软件指纹库，增加风险识别能力

3. 建立黑灰产情报共享，最大化情报价值

如何反爬

1. 后台对访问进行统计，如果单个 IP 访问超过阈值，予以封锁

2. 后台对访问进行统计，如果单个 session 访问超过阈值，予以封锁

3. 后台对访问进行统计，如果单个 userAgent 访问超过阈值，予以封锁

4. 以上的组合

Linux下查找服务端口的命令

Linux下查找服务端口的命令？一句话查找80端口服务的命令？

使用grep 命令 要使用 grep 命令在Linux 中查找指定服务的默认端口号，只需运行

grep <port> /etc/services
grep services /etc/services

如何发现钓鱼邮件

钓鱼邮件发现

发现途径如下：

邮件系统异常登录告警、员工上报、异常行为告警、邮件蜜饵告警

推荐接入微步或奇安信的情报数据。对邮件内容出现的 URL 做扫描，可以发现大量的异常链接

钓鱼邮件处置

https://www.freebuf.com/articles/es/264037.html

1. 屏蔽办公区域对钓鱼邮件内容涉及站点、URL 访问

   根据办公环境实际情况可以在上网行为管理、路由器、交换机上进行屏蔽

   邮件内容涉及域名、IP 均都应该进行屏蔽

   对访问钓鱼网站的内网 IP 进行记录，以便后续排查溯源可能的后果

2. 屏蔽钓鱼邮件

   屏蔽钓鱼邮件来源邮箱域名

   屏蔽钓鱼邮件来源 IP

   有条件的可以根据邮件内容进行屏蔽

   删除还在邮件服务器未被客户端收取钓鱼邮件

3. 处理接收到钓鱼邮件的用户

   • 根据钓鱼邮件发件人进行日志回溯

     此处除了需要排查有多少人接收到钓鱼邮件之外，还需要排查是否公司通讯录泄露。采用 TOP500 姓氏撞库发送钓鱼邮件的攻击方式相对后续防护较为简单。如果发现是使用公司通讯录顺序则需要根据通讯录的离职情况及新加入员工排查通讯录泄露时间。毕竟有针对性的社工库攻击威力要比 TOP100、TOP500 大很多

   • 通知已接收钓鱼邮件的用户进行处理

   • 删除钓鱼邮件

   • 系统改密

   • 全盘扫毒

4. 后续：溯源、员工培训提升安全意识

如何查看区分是扫描流量和手动流量

（扫描数据量大，请求有规律，手动扫描间隔较少）

遇到.exe文件如何处理？

首先看它的来源和去向，然后可以下载但不运行，放入微步沙箱中，看是否有后门，若有后门，就用 IDA 反汇编得到恶意攻击者的有用信息，再进一步描绘出攻击者画像进行溯源

Linux 的 Selinux 是什么？如何设置 Selinux？

SELinux 是一种安全子系统，它能控制程序只能访问特定文件使用 setup 工具进入图形化关闭搜索或者修改/etc/sysconfig/selinux 文件

SELINUX=disabled

***打开使用 service iptables start 或则/etc/init.d/iptables start

iptables 工作在 TCP/IP 模型中的哪层？

网络层

日志分析ELK的使用和分析

https://www.zhihu.com/question/21427267

• Elasticsearch是个开源分布式搜索引擎，它的特点有：分布式，零配置，自动发现，索引自动分片，索引副本机制，restful风格接口，多数据源，自动搜索负载等。
• Logstash是一个完全开源的工具，他可以对你的日志进行收集、过滤，并将其存储供以后使用（如，搜索）。
• Kibana 也是一个开源和免费的工具，它Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以帮助您汇总、分析和搜索重要数据日志。

举例-阿里规范 用户历史命令记录

缺点：安全性不够。使用x-pack实现安全认证及权限管理功能

awk sed的使用

Log4j

log4j 是 javaweb 的日志组件，用来记录 web 日志

去指定下载文件的 url 在搜索框或者搜索的 url 里面，加上 是会被直接执行的。后面再去指定下载文件的 url，去下载我们的恶意文件。比如是 x.cla***完成后，并且会执行代码块

修复：升级 Log4j 到最新版本，根据业务判断是否关闭 lookup

⬆️入侵检测&防御

WAF产品如何来拦截攻击？

Waf 产品有三种

1. 云 Waf

   用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护，它的主要实现方式是利用 DNS 技术，通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测，如存在异常请求则进行拦截否则将请求转发至真实服务器

2. Web 防护软件

   安装在需要防护的服务器上，实现方式通常是 Waf 监听端口或以 Web 容器扩展方式进行请求检测和阻断

3. 硬件 Web ***

   Waf 串行部署在 Web 服务器前端，用于检测、阻断异常流量。常规硬件 Waf 的实现方式是通过代理技术代理来自外部的流量

原理都相同，通过部署在 Web 服务器前方串行接入来将 Web 流量牵引到 WAF 设备中进行清洗或者拦截，最终只把正常用户的请求转发给服务器

当前市场上 Waf 产品核心的防护机制是“规则”，每一个请求、会话，经过抓包，“开包检查”，每一项规则都会检查到，一旦检查不通过，就会被认为是非法访问，拒绝处理

WAF有哪些防护方式？

• Web基础防护

  可防范常规的 web 应用攻击，如 SQL 注入攻击、XSS 跨站攻击等，可检测 webshell，检查 HTTP 上传通道中的网页木马，打开开关即实时生效

• CC 攻击防护

  可根据 IP、Cookie 或者 Referer 字段名设置灵活的限速策略，有效缓解 CC 攻击

• 精准访问防护

  对常见 HTTP 字段进行条件组合， 支持定制化防护策略如CSRF防护，通过自定义规则的配置，更精准的识别恶意伪造请求、保护网站敏感信息、提高防护精准性

• IP 黑白名单

  添加终拦截与始终放行的黑白名单 IP，增加防御准确性

• 地理位置访问控制

  添加地理位置访问控制规则，针对来源 IP 进行自定义访问控制

• 网页防篡改

  对网站的静态网页进行缓存配置，当用户访问时返回给用户缓存的正常页面，并随机检测网页是否被篡改

• 网站反爬虫

  动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为

• 误报屏蔽

  针对特定请求忽略某些攻击检测规则，用于处理误报事件

• 隐私屏蔽

  隐私信息屏蔽，避免用户的密码等信息出现在事件日志中

• 防敏感信息泄露

  防止在页面中泄露用户的敏感信息，例如：用户的身份证号码、手机号码、电子邮箱等

不安全的第三方组件的漏洞如何做前置规避？

第三方组件缺陷又被归结为供应链安全问题，供应链安全需要多方面考虑。没有万能方案，但是组织可以用分层防御的组合来保护供应链

• 安全战略评估

  要评估风险与合规性，需要针对业务挑战、需求和目标评估现有的安全治理框架——包括数据隐私、第三方风险和IT法规合规需求及差距。安全风险量化、安全开发、法规和标准合规性以及安全教育和培训是关键

• 事件响应计划与编排

  提前为入侵、关闭或中断做好准备，并拥有稳健的事件响应计划很重要。通过实践、测试和易执行的响应计划和补救措施，防止损失

https://www.freebuf.com/articles/neopoints/261681.html

如果现在要你写一个检测命令注入的脚本？

你会怎么写，有哪些要注意的地方，如果别人的脚本检测出来了你的脚本没检测出来你觉的你的脚本会存在什么问题，脚本检测过程中如果没有回显你会怎么做

🅰️溯源

⬆️基本步骤

1.攻击源捕获

• 安全设备报警，如扫描IP、威胁阻断、病毒木马、入侵事件等
• 日志与流量分析，异常的通讯流量、攻击源与攻击目标等
• 服务器资源异常，异常的文件、账号、进程、端口，启动项、计划任务和服务等
• 邮件钓鱼，获取恶意文件样本、钓鱼网站 URL 等
• 蜜罐系统，获取攻击者 ID、电脑信息、浏览器指纹、行为、意图的相关信息

2.溯源反制手段

• IP 定位技术
  根据IP定位物理地址--代理 IP
  溯源案例：通过 IP 端口扫描，反向渗透服务器进行分析，最终定位到攻击者相关信息
• ID 追踪术
  ID 追踪术，搜索引擎、社交平台、技术论坛、社工库匹配
  溯源案例：利用 ID 从技术论坛追溯邮箱，继续通过邮箱反追踪真实姓名，通过姓名找到相关简历信息
• 网站 url
  域名 Whois 查询--注册人姓名、地址、电话和邮箱 --域名隐私保护
  溯源案例：通过攻击 IP 历史解析记录/域名，对域名注册信息进行溯源分析
• 恶意样本分析
  提取样本特征、用户名、ID、邮箱、C2 服务器等信息--同源分析
  溯源案例：样本分析过程中，发现攻击者的个人 ID 和 QQ，成功定位到攻击者
• 社交账号
  基于 JSONP 跨域，获取攻击者的主机信息、浏览器信息、真实 IP 及社交信息等
  利用条件：可以找到相关社交网站的 jsonp 接口泄露敏感信息，相关网站登录未注销

3.攻击者画像

• 攻击路径

  攻击目的：拿到权限、窃取数据、获取利益、DDOS 等
  网络代理：代理 IP、跳板机、C2 服务器等
  攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等

• 攻击者身份画像

  虚拟身份：ID、昵称、网名
  真实身份：姓名、物理位置
  联系方式：手机号、qq/微信、邮箱
  组织情况：单位名称、职位信息

技巧

1. 域名、ip 反查目标个人信息
2. 支付宝转账，确定目标姓氏
3. 淘宝找回密码，确定目标名字
4. 企业微信手机号查公司名称
5. REG007 查注册应用、网站
6. 程序 PDB 信息泄露

主动防御

基于网络欺骗与浏览器指纹的WEB攻击溯源

1. 浏览器指纹技术
2. 网络欺骗技术，蜜罐蜜网

流量溯源

可利用流量工具 wireshark 进行溯源：

1. 查看 eval、 z0、 shell whoami 等关键字，查看出现次数过多的时候， 需要查看是哪个页面发起的请求，有可能是 webshell
2. 通过 WireShark 工具快速搜索关键字，定位到异常流量包
3. 找出异常 IP 和所上传的内容，查看是否为 webshell

如何定位到攻击IP：

1. 首先通过选择 - 统计 - 对话查看流量的走向情况， 定位可疑的 IP 地址

2. 根据定位到的 IP 地址，尝试对上传的 webshell 进行定位

   ip.addr == ip && http matches
   "uploadllevallselectlxp_cmdshell" && http.request.method == "POST"

3. 查找到 webshell 后尝试溯源漏洞位置

   http.request.uri contains "webshell.php"

   定位到最开始 webshell 执行或上传的时候

4. 根据最开始的 HTTP 上传包或者其他漏洞特征定位漏洞类型

wireshark

wireshark 简单的过滤规则

• 过滤ip：

  过滤源 ip 地址：ip.src1.1.1.1

  目的 ip 地址：ip.dst1.1.1.1

• 过滤端口：

  过滤80端口：tcp.port == 80

  源端口：tcp.srcport == 80

  目的端：tcp.dstport == 80

• 协议过滤：直接输入协议名即可，如 http 协议 http

• http 模式过滤：过滤 get/post 包 httprequest.mothod == "GET/POST"

常用取证工具

Wireshark、xplico、 Volatility、 FastlR Collector、Autopsy、 Dumplt、 FTK Imager、Foremost、Scalpel、 Bulk_ exetractor 等

优秀文章

域前置溯源方法思考

⬆️其他

对蜜罐的了解