当前位置：首页 > news >正文

HW面试应急响应之场景题

news 2025/7/5 16:26:20

(1)dns 报警就一定是感染了吗？怎么处理？

不一定。

引起dns报警的情况有：恶意软件感染，域名劫持，DNS欺骗，DDoS攻击等。

处理方法：
1、分析报警，查看报警类型、源IP地址、目标域名等，分析确定是否存在异常或潜在威胁。
2、流量分析
3、查看日志
4、利用威胁情报平台查看相关的IP地址、域名或URL是否被标记为恶意或可疑的。5、响应和隔离

(2)公网 ip 未流量交互，内网报警是什么情况？怎么处理

情况：
1、内部恶意活动引起的，如未经授权的访问、数据泄露等。
2、内部网络被入侵
3、内部配置问题，如防火墙设置，IDS配置错误等。

处理：
1、分析报警：报警类型、源IP地址、目标IP地址等。
2、流量分析：查看内部网络中的通信活动，包括源和目标IP地址、协议和端口等，以确定是否存在异常或恶意活动。
3、日志分析：检查内部设备的日志
4、内部调查：确定是否是内部用户活动引起的
5、隔离和响应

(3) 一台主机在内网进行横向攻击，怎么处理

查看是否是误报，如果不是误报采取以下措施
1、隔离受感染的主机
2、收集证据：收集有关攻击的证据，包括日志、网络流量、被修改或受感染的文件等。
3、确定攻击的方式和方法，采取措施停止攻击行为。
4、清除恶意代码，更新和修补系统，密码和凭证重置，安全审查和加固。

(4) 遇到一个挖矿病毒，你会怎么处理？

**1、判断(第一步先判断)

**1.查看cpu占用率(判断CPU占用率高不高)
2.查看天眼的流量分析，是否去别的有危险的网站下载东西，然后在本地执行了挖矿的一些命令:
(结合天眼设备分析，看是否去可疑网站下载过东西或在本地执行挖矿命令)
3.是否有外连，向远程ip的请求:(是否有外连或者远程ip请求 netstart -ano 查看所有端口)

2、事件分析(第二步分析)

(1)登录网站服务器，查看进程是否有异常;(查看网站服务器是否有异常进程系统命令tasklist)
(2)进行查看异常进程的服务项是什么.选择可疑服务项，然后停止服务，其启动类型会变为静止。(并查看它的服务项，尤其是可疑服务项(系统命令services.msc查看服务项))
(3)进行查看一下计划任务有没有可疑的(查看一下有没有可疑的计划任务)

3、临时解决方案(最后解决并处置)

(1)停止并禁用可疑服务项，有时候服务项的名称会变，但描述不会变，根据描述快速找到可疑服务项，删除服务项;(然后根据描述寻找可疑服务项，停用可疑服务项)
(2)根据实际存在木马的路径，进行删除木马(如果知道木马路径的话，直接删马)
(3)重启计算机;
(4)使用杀软全盘查杀

(5) 知道一个恶意攻击我们的域名，反查域名后得到一个 IP，但是此 IP 没有和我们交互流量，请问原因是什么

1、转发或代理服务器：攻击者可能使用转发或代理服务器作为中间节点来隐藏其真实IP地址。这样，攻击流量会经过转发或代理服务器，而不是直接与我们的系统交互。
2、假冒IP地址：攻击者可能使用了虚假的IP地址进行攻击，以隐藏其真实身份和来源。
3、攻击者未成功进入系统：尽管发现了恶意攻击的域名和相关IP地址，但攻击者可能尚未成功进入系统或发起有效的攻击。

**(6)判断误报

**首先看ip是内网ip还是外网ip
1）如果是内网ip，并且有明显的恶意请求，比如ipconfig那么此内网服务器可能会失陷。还有可能就是内网的系统有一些业务逻辑问题，因为内网在部署的时候很少会考虑一些安全问题。比如说内网的业务逻辑携带了一些sql语句，这一类属于误报

2）如果是外网ip，根据请求报和响应包的内容进行对比判断。比如sql语句查询用户名密码，然后响应包返回了相应的内容，这一类是属于恶意攻击。

(7)文件上传数据包如何判断是不是攻击

1、查看响应体响应结果判断服务器是否接受了该上传请求，上传成功通常状态码为200，查看响应体中是否响应了上传路径，访问该上传路径查看文件是否被解析是否存在
2、通过查看日志判断文件是否落地
3、登陆受害者主机全局搜索上传文件

(8)流量层面分析Apache Log4j2 远程代码执行漏洞是否攻击成功?

1、dnslog类:查看是否存在源ip与dnslog的外联日志记录
2、命令执行攻击
2.1 有回显:响应体中存在命令执行结果
2.2无回显 :存在源ip与ldap服务ip的外联日志记录

(9)如何研判JBOSS 反序列化漏洞攻击成功?

1.在访问JBOSS漏洞页面/invoker/readonly后，返回值为500
2.请求体有collections.map.LazyMap、keyvalue.TiedMapEntry攻击链特征并且有明显的命令执行行为，比如whoami。
3.在返回500 堆栈报错页面内容中包含了系统返回内容比如系统用户:root

(10)如何研判Fastjson反序列化漏洞攻击成功?

1.请求头:method: POST content_type: application/json
2、请求体：data:com.sun.rowset.JdbcRowSetlmpl,dataSourceName,@type
3.请求体: 包含攻击者C2服务器地址
4.状态码为:400 也可能是500
5.通过天眼分析平台进行回溯分析，在分析中心输入语法:(sip:(失陷服务器P)OR sip:(攻击者C2IP)AND(dip:(失陷服务器IP)OR dip:(攻击者C2lP)

(11)如何在流量层面分析struts2命令执行是否成功

1.查看请求头或请求体中是否含有OGNL表达式，Struts2 命令执行的原理是通过 Ognl表达式执行 java 代码
2.查看请求头或请求体中是否存在命令执行类代码
3.查看响应体是否返回上述命令执行的结果

(12)要判断Log4j漏洞攻击是否成功，可以采取以下措施

1、监视受感染应用程序的日志，查看是否有异常或错误信息，或者是否包含与攻击相关的信息。
2、监视网络流量，查看是否有大量的请求被发送到攻击者的服务器。
3、检查系统中的异常或警告信息，例如系统崩溃、不正常的CPU使用率或内存使用率等。
4、在受感染的系统中进行代码审查，查看是否有与攻击相关的代码或配置文件。

(13)负载均衡 XFF 头里有 IP0 IP1 IP2，请问哪个是真实 IP？

X-Forwarded-For头信息可以有多个，中间用逗号分隔，第一项为真实的客户端IP，剩下的就是曾经经过的代理或负载均衡的IP地址。

X-Forwarded-For: client1, proxy1, proxy2

因此为IP0

(14)溯源思路

首先通过系统日志、安全设备截获攻击包等从中分析出攻击者的ip和攻击方式，通过webshell或者木马去微步分析，或者去安恒威胁情报中心进行ip检测分析，是不是云服务器，基站等，如果是云服务器的话可以直接反渗透，看看开放端口，域名，whois等进行判断，获取姓名电话等丢社工库看看能不能找到更多信息然后收工