HW面试应急响应之场景题

2024-06-05 22:36
文章标签 面试 场景 响应 应急 hw

本文主要是介绍HW面试应急响应之场景题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

(1)dns 报警就一定是感染了吗?怎么处理?

不一定。

引起dns报警的情况有:恶意软件感染,域名劫持,DNS欺骗,DDoS攻击等。

处理方法:
1、分析报警,查看报警类型、源IP地址、目标域名等,分析确定是否存在异常或潜在威胁。
2、流量分析
3、查看日志
4、利用威胁情报平台查看相关的IP地址、域名或URL是否被标记为恶意或可疑的。5、响应和隔离

(2)公网 ip 未流量交互,内网报警是什么情况?怎么处理

情况:
1、内部恶意活动引起的,如未经授权的访问、数据泄露等。
2、内部网络被入侵
3、内部配置问题,如防火墙设置,IDS配置错误等。

处理:
1、分析报警:报警类型、源IP地址、目标IP地址等。
2、流量分析:查看内部网络中的通信活动,包括源和目标IP地址、协议和端口等,以确定是否存在异常或恶意活动。
3、日志分析:检查内部设备的日志
4、内部调查:确定是否是内部用户活动引起的
5、隔离和响应

(3) 一台主机在内网进行横向攻击,怎么处理

查看是否是误报,如果不是误报采取以下措施
1、隔离受感染的主机
2、收集证据:收集有关攻击的证据,包括日志、网络流量、被修改或受感染的文件等。
3、确定攻击的方式和方法,采取措施停止攻击行为。
4、清除恶意代码,更新和修补系统,密码和凭证重置,安全审查和加固。

(4) 遇到一个挖矿病毒,你会怎么处理?

**1、判断(第一步先判断)

**1.查看cpu占用率(判断CPU占用率高不高)
2.查看天眼的流量分析,是否去别的有危险的网站下载东西,然后在本地执行了挖矿的一些命令:
(结合天眼设备分析,看是否去可疑网站下载过东西或在本地执行挖矿命令)
3.是否有外连,向远程ip的请求:(是否有外连或者远程ip请求 netstart -ano 查看所有端口)

2、事件分析(第二步分析)

(1)登录网站服务器,查看进程是否有异常;(查看网站服务器是否有异常进程 系统命令tasklist)
(2)进行查看异常进程的服务项是什么.选择可疑服务项,然后停止服务,其启动类型会变为静止。(并查看它的服务项,尤其是可疑服务项(系统命令services.msc查看服务项))
(3)进行查看一下计划任务有没有可疑的(查看一下有没有可疑的计划任务)

3、临时解决方案(最后解决并处置)

(1)停止并禁用可疑服务项,有时候服务项的名称会变,但描述不会变,根据描述快速找到可疑服务项,删除服务项;(然后根据描述寻找可疑服务项,停用可疑服务项)
(2)根据实际存在木马的路径,进行删除木马(如果知道木马路径的话,直接删马)
(3)重启计算机;
(4)使用杀软全盘查杀

(5) 知道一个恶意攻击我们的域名,反查域名后得到一个 IP,但是 此 IP 没有和我们交互流量,请问原因是什么

1、转发或代理服务器:攻击者可能使用转发或代理服务器作为中间节点来隐藏其真实IP地址。这样,攻击流量会经过转发或代理服务器,而不是直接与我们的系统交互。
2、假冒IP地址:攻击者可能使用了虚假的IP地址进行攻击,以隐藏其真实身份和来源。
3、攻击者未成功进入系统:尽管发现了恶意攻击的域名和相关IP地址,但攻击者可能尚未成功进入系统或发起有效的攻击。

**(6)判断误报

**首先看ip是内网ip还是外网ip
1)如果是内网ip,并且有明显的恶意请求,比如ipconfig那么此内网服务器可能会失陷。还有可能就是内网的系统有一些业务逻辑问题,因为内网在部署的时候很少会考虑一些安全问题。比如说内网的业务逻辑携带了一些sql语句,这一类属于误报

2)如果是外网ip,根据请求报和响应包的内容进行对比判断。比如sql语句查询用户名密码,然后响应包返回了相应的内容,这一类是属于恶意攻击。

(7)文件上传数据包如何判断是不是攻击

1、查看响应体响应结果判断服务器是否接受了该上传请求,上传成功通常状态码为200,查看响应体中是否响应了上传路径,访问该上传路径查看文件是否被解析是否存在
2、通过查看日志判断文件是否落地
3、登陆受害者主机全局搜索上传文件

(8)流量层面分析Apache Log4j2 远程代码执行漏洞是否攻击成功?

1、dnslog类:查看是否存在源ip与dnslog的外联日志记录
2、命令执行攻击
2.1 有回显:响应体中存在命令执行结果
2.2无回显 :存在源ip与ldap服务ip的外联日志记录

(9)如何研判JBOSS 反序列化漏洞攻击成功?

1.在访问JBOSS漏洞页面/invoker/readonly后,返回值为500
2.请求体有collections.map.LazyMap、keyvalue.TiedMapEntry攻击链特征并且有明显的命令执行行为,比如whoami。
3.在返回500 堆栈报错页面内容中包含了系统返回内容 比如系统用户:root

(10)如何研判Fastjson反序列化漏洞攻击成功?

1.请求头:method: POST content_type: application/json
2、请求体:data:com.sun.rowset.JdbcRowSetlmpl,dataSourceName,@type
3.请求体: 包含攻击者C2服务器地址
4.状态码为:400 也可能是500
5.通过天眼分析平台进行回溯分析,在分析中心输入语法:(sip:(失陷服务器P)OR sip:(攻击者C2IP)AND(dip:(失陷服务器IP)OR dip:(攻击者C2lP)

(11)如何在流量层面分析struts2命令执行是否成功

1.查看请求头或请求体中是否含有OGNL表达式,Struts2 命令执行的原理是通过 Ognl表达式执行 java 代码
2.查看请求头或请求体中是否存在命令执行类代码
3.查看响应体是否返回上述命令执行的结果

(12)要判断Log4j漏洞攻击是否成功,可以采取以下措施

1、监视受感染应用程序的日志,查看是否有异常或错误信息,或者是否包含与攻击相关的信息。
2、监视网络流量,查看是否有大量的请求被发送到攻击者的服务器。
3、检查系统中的异常或警告信息,例如系统崩溃、不正常的CPU使用率或内存使用率等。
4、在受感染的系统中进行代码审查,查看是否有与攻击相关的代码或配置文件。

(13)负载均衡 XFF 头里有 IP0 IP1 IP2,请问哪个是真实 IP?

X-Forwarded-For头信息可以有多个,中间用逗号分隔,第一项为真实的客户端IP,剩下的就是曾经经过的代理或负载均衡的IP地址。

X-Forwarded-For: client1, proxy1, proxy2

因此为IP0

(14)溯源思路

首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式,通过webshell或者木马去微步分析,或者去安恒威胁情报中心进行ip检测分析,是不是云服务器,基站等,如果是云服务器的话可以直接反渗透,看看开放端口,域名,whois等进行判断,获取姓名电话等丢社工库看看能不能找到更多信息然后收工

这篇关于HW面试应急响应之场景题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1034364

相关文章

Hadoop企业开发案例调优场景

需求 (1)需求:从1G数据中,统计每个单词出现次数。服务器3台,每台配置4G内存,4核CPU,4线程。 (2)需求分析: 1G / 128m = 8个MapTask;1个ReduceTask;1个mrAppMaster 平均每个节点运行10个 / 3台 ≈ 3个任务(4    3    3) HDFS参数调优 (1)修改:hadoop-env.sh export HDFS_NAMENOD

字节面试 | 如何测试RocketMQ、RocketMQ?

字节面试:RocketMQ是怎么测试的呢? 答: 首先保证消息的消费正确、设计逆向用例,在验证消息内容为空等情况时的消费正确性; 推送大批量MQ,通过Admin控制台查看MQ消费的情况,是否出现消费假死、TPS是否正常等等问题。(上述都是临场发挥,但是RocketMQ真正的测试点,还真的需要探讨) 01 先了解RocketMQ 作为测试也是要简单了解RocketMQ。简单来说,就是一个分

秋招最新大模型算法面试,熬夜都要肝完它

💥大家在面试大模型LLM这个板块的时候,不知道面试完会不会复盘、总结,做笔记的习惯,这份大模型算法岗面试八股笔记也帮助不少人拿到过offer ✨对于面试大模型算法工程师会有一定的帮助,都附有完整答案,熬夜也要看完,祝大家一臂之力 这份《大模型算法工程师面试题》已经上传CSDN,还有完整版的大模型 AI 学习资料,朋友们如果需要可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费

深入理解RxJava:响应式编程的现代方式

在当今的软件开发世界中,异步编程和事件驱动的架构变得越来越重要。RxJava,作为响应式编程(Reactive Programming)的一个流行库,为Java和Android开发者提供了一种强大的方式来处理异步任务和事件流。本文将深入探讨RxJava的核心概念、优势以及如何在实际项目中应用它。 文章目录 💯 什么是RxJava?💯 响应式编程的优势💯 RxJava的核心概念

PostgreSQL核心功能特性与使用领域及场景分析

PostgreSQL有什么优点? 开源和免费 PostgreSQL是一个开源的数据库管理系统,可以免费使用和修改。这降低了企业的成本,并为开发者提供了一个活跃的社区和丰富的资源。 高度兼容 PostgreSQL支持多种操作系统(如Linux、Windows、macOS等)和编程语言(如C、C++、Java、Python、Ruby等),并提供了多种接口(如JDBC、ODBC、ADO.NET等

java面试常见问题之Hibernate总结

1  Hibernate的检索方式 Ø  导航对象图检索(根据已经加载的对象,导航到其他对象。) Ø  OID检索(按照对象的OID来检索对象。) Ø  HQL检索(使用面向对象的HQL查询语言。) Ø  QBC检索(使用QBC(Qurey By Criteria)API来检索对象。 QBC/QBE离线/在线) Ø  本地SQL检索(使用本地数据库的SQL查询语句。) 包括Hibern

简单的角色响应鼠标而移动

actor类 //处理移动距离,核心是找到角色坐标在世界坐标的向量的投影(x,y,z),然后在世界坐标中合成,此CC是在地面行走,所以Y轴投影始终置为0; using UnityEngine; using System.Collections; public class actor : MonoBehaviour { public float speed=0.1f; CharacterCo

贝壳面试:什么是回表?什么是索引下推?

尼恩说在前面 在40岁老架构师 尼恩的读者交流群(50+)中,最近有小伙伴拿到了一线互联网企业如得物、阿里、滴滴、极兔、有赞、希音、百度、网易、美团的面试资格,遇到很多很重要的面试题: 1.谈谈你对MySQL 索引下推 的认识? 2.在MySQL中,索引下推 是如何实现的?请简述其工作原理。 3、说说什么是 回表,什么是 索引下推 ? 最近有小伙伴在面试 贝壳、soul,又遇到了相关的

毕业前第二次面试的感慨

距面试已经过去了有几天了,我现在想起来都有说多的恨感慨。 我一直都是想找刚刚起步的企业,因为这能让我学到更多的东西,然而正好有一家企业是刚起步的,而且他还有自己的产品专利,可以说这是一家,即是创业又是刚起步的公司,这家公司回复了我投给他的简历,这家企业想进一步了解我的情况,因为简历上我符合这家企业的基本要求,所以要进一步了解。 虽然面试的过程中,他给我的面试题,我做得并不是很理想,

嵌入式技术的核心技术有哪些?请详细列举并解释每项技术的主要功能和应用场景。

嵌入式技术的核心技术包括处理器技术、IC技术和设计/验证技术。 1. 处理器技术    通用处理器:这类处理器适用于不同类型的应用,其主要特征是存储程序和通用的数据路径,使其能够处理各种计算任务。例如,在智能家居中,通用处理器可以用于控制和管理家庭设备,如灯光、空调和安全系统。    单用途处理器:这些处理器执行特定程序,如JPEG编解码器,专门用于视频信息的压缩或解压。在数字相机中,单用途