上海市奉贤区建设局网站,新房装修效果图大全2022新款,做学校网站导航条应该有哪些,c2c网站制作蓝队面经(一) 文章目录 蓝队面经(一)入侵排查思路windows入侵排查思路Linux入侵排查思路 Linux 如何查看登录日志Windows 和 Linux 的日志文件放在哪里#xff1f;WindowsLinux Linux 常用排查命令有哪些#xff1f;Linux 的 Selinux 是什么#xff1f;如何设置 SelinuxWindowsLinux Linux 常用排查命令有哪些Linux 的 Selinux 是什么如何设置 Selinux安全加固Windows 安全加固Linux 安全加固 windows 日志分析工具Linux 日志分析技巧命令Linux 基线规范Windows 安全基线检查中间件基线规范APACHE中间件常见漏洞常见中间件的配置文件路径常用的安全工具以及常见的设备威胁情报库怎么发现有没有被攻击 入侵排查思路
windows入侵排查思路
1.收集信息收集与系统安全相关的信息包括日志文件进程列表网络连接系统配置等。 Windows系统日志存放在 C:\Windows\System32\winevt\Logs\目录下使用系统自带的【事件查看器】来查看
WIN R输入 eventvwr打开事件查看器。
系统日志(System.evtx)记录系统进程、设备磁盘活动等比如系统进程的启动/停止/暂停设备驱动无法正常启动或停止。 安全日志(Security.evtx)记录安全性事件比如用户登录/注销/权限变更文件及文件夹访问等是应急响应最常用的日志。 应用程序日志(Application.evtx)记录系统安装的应用程序软件的运行日志。
Windows日志有五种事件类型每条日志有且只有一种类型。
信息Information应用程序、驱动程序或服务成功操作的事件。 警告Warning可能会发生的问题比如磁盘空间不足。 错误Error功能和数据丢失。 成功审核Success audit安全性日志记录用户、策略、访问等事件比如登录成功。 失败审核Failure audit登录失败事件比如用户访问网络驱动器失败。 Windows进程列表命令
tasklisttasklist /M 会输出依赖的dlldll文件是Dynamic Link Library动态链接库文件的缩写它是一种共享库文件包含了程序所需的代码和数据。与静态链接库不同动态链接库可以在程序运行时动态加载使得程序的内存占用更小同时也方便了程序的更新和维护。
tasklist /V 会输出进程的详细信息tasklist /? 查看tasklist帮助信息Windows查看TCP连接netstat
Netstat是一个在大多数现代操作系统中可用的命令行工具用于显示各种网络相关信息如网络连接、路由表、接口统计等。。这种类型的信息对于网络故障排除、性能分析和防止未授权访问都非常有用。
netstat 列出所有活动TCP连接netstat -a: 显示所有连接和监听端口netstat -b 显示在创建每个连接或监听端口时涉及的可执行文件netstat -n: 以数字形式显示地址和端口号而不是尝试确定名称netstat -o 显示关联的进程IDnetstat -ano 所有连接和监听端口 以数字形式显示地址和端口号 显示关联的进程ID2.分析信息对收集到的信息进行分析确定异常行为和潜在威胁 BTAB 蓝队分析工具箱专注于攻击特征分析。可以辅助安全运营人员在客户现场较苛刻环境下(无网、无python环境)的流量包分析、木马分析等场景目前已集成流量包检测、SQL注入检测、Webshell检测、bash命令执行检测以及解码序列化等工具。 https://github.com/Martin2877/btab/releases/tag/v0.3.3 3.确认威胁:确认系统存在威胁并确定其类型和程度。 4.阻止攻击:采取相应的措施尽快阻止攻击并减少损失。 5.恢复系统:对受到攻击的系统进行恢复确保其正常运行。
具体来说可以采取以下几种方法进行入侵排查 1. 使用防病毒软件定期使用防病毒软件扫描系统及时发现并清除潜在的威胁。 2. 定期更新系统定期更新系统和安全补丁以确保系统的安全性。 3. 监控网络连接监控网络连接情况及时发现异常连接和流量以及非法访问尝试。 4. 分析日志文件分析日志文件了解系统的使用情况和异常行为及时发现威胁。 5. 使用安全工具使用安全工具如入侵检测系统、网络监控系统等帮助发现和阻止威胁。 6. 加强用户教育加强用户教育提高用户安全意识减少人为因素对系统安全的影响 Linux入侵排查思路
1. 收集基础信息收集系统的版本、配置文件和日志等信息了解系统的正常运行状态。
查看Linux系统版本信息的几种方法
查看Linux内核版本命令两种方法
cat /proc/versionuname -a查看Linux系统版本的命令3种方法
lsb_release -a即可列出所有版本信息
这个命令适用于所有的Linux发行版包括RedHat、SUSE、Debian…等发行版。cat /etc/redhat-release这种方法只适合Redhat系的Linuxcat /etc/issue此命令也适用于所有的Linux发行版。lsb_release -a:查看Linux发行版和版本信息。ifconfig或ip addr show查看网络接口、IP地址和相关配置信息。cat /etc/resolv.conf显示DNS配置信息。cat /etc/hosts查看本地主机名解析配置。cat /etc/fstab显示文件系统挂载配置。分析异常行为通过比较正常状态与异常状态的差异分析系统上出现的任何异常行为例如不寻 常的进程、网络流量或文件更改。确认入侵点确定攻击者可能入侵的方式并检查是否存在未修复的漏洞。隔离受感染的系统及时隔离受感染的系统以限制损害并避免进一步传播。恢复系统清除恶意代码并修复受损部分通过备份恢复数据和配置文件确保系统安全。收集证据收集入侵事件的详细信息包括攻击的时间、入侵的方式、影响范围、损失情况等以便后续追踪和定位攻击者。
在实际操作中需要结合专业的工具和技能进行排查例如使用抓包工具Wireshark分析网络流量、使用进程监控工具ps、top、htop等查看进程运行情况。同时还需要不断学习更新各种安全相关的技能和知识以提高排查入侵事件的能力
Linux 如何查看登录日志
在 Linux 系统中可以通过以下方式查看登录日志
/var/log/auth.log文件该文件记录了所有用户的认证信息包括 SSH 登录、sudo 访问以及 su 切换等操作。/var/log/secure文件该文件用于记录系统身份验证和授权消息通常在 Red Hat 系统上使用。其中包括 SSH 登录、sudo 访问以及 su 切换等操作。/var/log/messages文件该文件记录了系统的运行消息包括启动和关闭服务、内核消息以及其 他重要事件。w命令可以查看当前已登录的用户和他们的会话信息。last命令可以查看最近所有登录和注销会话的用户列表以及日期和时间。lastlog命令可以查看所有用户最后一次登录的时间和位置。 需要注意的是在某些系统中这些文件名可能会有所不同例如 Ubuntu 系统中的 /var/log/auth.log 文件可能是 /var/log/auth.log.1、/var/log/auth.log.2.gz等形式。因此在查看登录日志时最好先了解当前系统的具体情况 Windows 和 Linux 的日志文件放在哪里
Windows
系统事件记录器Event Viewer 应用程序中提供了 Windows 系统的事件日志管理工具。这些日志文件通常存储在 C:\Windows\System32\winevt\Logs 目录中。应用程序日志包括应用程序特定的事件、错误和警告等信息可以使用 Event Viewer 应用程序进行查看。这些日志文件通常存储在应用程序的安装目录下或者 Windows 系统目录中。安全日志记录有关系统安全性的重要信息例如登录、注销、权限更改等。这些日志文件通常存储在 C:\Windows\System32\winevt\Security.evtx 文件中。
Linux
系统日志Linux 系统中的所有日志都存储在 /var/log 目录下。主要的日志文件包括 /var/log/messages记录系统启动期间的消息以及其他系统级别的消息。 /var/log/syslog记录核心系统日志也包括其他应用程序的日志。 /var/log/auth.log记录用户登录和其他身份验证相关事件的日志文件。各种服务/软件的日志文件各种服务或软件分别根据自己的命名规范来命名相应的日志文件其中一些可能位于 /var/log 目录下而另一些则可能位于 /var/log/service 目录下。 需要注意的是日志文件在系统运行一段时间后可能会变得非常庞大因此需要定期进行归档和清理以释放磁盘空间并提高系统性能。 Linux 常用排查命令有哪些
在 Linux 系统中有许多工具和命令可以用来排查问题。以下是一些常用的排查命令 top显示当前系统中最占用 CPU 和内存的进程。 ps显示当前系统所有运行的进程列表。 netstat显示网络连接状态和统计信息例如打开的端口、TCP/UDP 连接和网络接口等。 ifconfig/iwconfig显示网络接口的状态和配置信息。 ping/traceroute用于测试网络是否连通以及检测网络故障的工具。 df/du显示磁盘使用情况包括已用空间和可用空间等信息。 ls/lsof用于查看打开的文件、目录和文件描述符。 strace/ltrace跟踪应用程序执行期间的系统调用和库函数调用。 tcpdump捕获网络数据包并将其记录到日志文件中以便进行后续分析。 tail实时监视日志文件并显示最新添加的日志信息。 以上这些命令只是其中的一部分不同的问题可能需要使用不同的命令和工具。在实际操作中需要根据具体的情况选择合适的命令和工具并结合自己的经验和知识进行排查。 Linux 的 Selinux 是什么如何设置 Selinux
SELinuxSecurity-Enhanced Linux是一个针对 Linux 内核的安全模块它可以限制进程和用户的访问权限并提供更加细粒度的访问控制。SELinux 基于强制访问控制MAC模型将每个进程/对象分配到不同的安全上下文中并通过策略文件来定义这些上下文之间的关系。
在 Linux 中SELinux 可以通过以下步骤进行设置
检查 SELinux 状态使用命令 getenforce 或者 sestatus 来检查当前 SELinux 的状态例如 enforcing、permissive 或者 disabled 等。修改 SELinux 配置文件 /etc/selinux/config可以修改 SELINUX 参数的值为 enforcing强制模 式、permissive宽容模式或者disabled禁用 SELinux等。安装和管理 SELinux 策略包使用 yum 命令安装和管理 SELinux 相关的策略包例如 policycoreutils 和 selinux-policy 等。设定 SELinux 上下文使用 chcon、semanage 和 restorecon 等命令来更改文件或目录的安全上 下文。确认 SELinux 日志在排除 SELinux 相关问题时可以使用命令 ausearch、ausearch、auditctl 等 来确认 SELinux 日志。 需要注意的是在对 SELinux 进行设置和管理时需要有一定的 Linux 系统管理经验和 SELinux 相关知 识。因为错误的配置可能会导致系统不稳定或者无法启动所以在操作前应仔细阅读相关文档并进行备 份。 安全加固
Windows 安全加固
更新操作系统和软件及时安装 Windows 操作系统和软件的安全更新。禁用 SMBv1由于 SMBv1 协议存在一些严重的漏洞建议禁用 SMBv1 协议。 SMBServer Message Block是一种用于文件共享、打印机共享和通用网络通信的协议。不同版本的 SMB如 SMB1、SMB2、SMB3在功能和特性方面有所不同。 启用 UAC启用用户账户控制UAC以限制非管理员用户的系统访问权限。 用户账号控制User Account Control 为WindowsVista推出的一项安全技术其原理是通过限制安全应用软件对系统层级的访问提升Windows操作系统的安全性。 配置防火墙使用 Windows 防火墙过滤不必要的网络流量并确保只允许合法的流量通过。使用 BitLocker 或类似的加密工具对重要数据和文件进行加密存储以避免数据泄漏。 Bitlocker 可以拆分为bit locker直接翻译的话就是比特锁意思是每个 bit 都加密。Bitlocker 使用 AES 加密算法加密整个卷来保护数据。简单来说BitLocker 会将 Windows的安装分区或者其他用于保存文件的分区进行加密并将密钥保存在硬盘之外的地方并对早期启动组件完整性检查合并到一起来增强数据保护。 BitLocker 主要有两种工作模式TPM 模式和 U盘模式同时为了实现更高程度的安全我们还可以同时启用这两种模式。 配置组策略使用本地组策略或 Active Directory 组策略来限制用户和计算机的访问权限。检查安全事件日志定期检查 Windows 安全事件日志了解系统中发生的任何异常事件。定期备份数据定期备份重要数据至外部存储设备以防止数据丢失和系统损坏。
Linux 安全加固
更新所安装的软件包定期更新系统中所有软件包以修复已知漏洞。禁用不必要的服务禁用不必要的网络服务减少攻击面。配置防火墙使用防火墙限制入站和出站网络流量只允许合法的流量通过。加强密码策略设置强密码策略并启用多因素身份验证。禁用 root 登录禁止使用 root 用户登录系统并将 sudo 和 su 访问权限限制到必要的人员或 组。使用 SELinux 或 AppArmor使用 SELinux 或 AppArmor 来实现更细粒度的应用程序和文件访问 控制。配置 SSH 访问使用 SSH 协议连接服务器时配置限制 IP 地址和端口号等安全措施。定期备份数据定期备份重要数据至外部存储设备以防止数据丢失和系统损坏 windows 日志分析工具
Event ViewerWindows 自带的日志管理工具可以查看和分析 Windows 系统中的各种事件日 志。Log Parser一款免费的命令行工具可以查询和分析日志文件、IIS 日志、Windows 注册表、 Active Directory 等数据源。Microsoft Message Analyzer一款强大的网络协议分析工具可以捕获和分析 Windows 操作系 统上的网络流量和事件日志。Syslog-ng一个高性能的日志管理工具可以帮助用户收集和分析来自不同平台的日志信息。Graylog一款开源的日志管理工具可以帮助用户收集、存储和分析来自不同来源的日志信息 并提供直观易用的用户界面。Splunk一款商业化的日志管理工具可以帮助用户实时监控、搜索、分析和可视化来自不同来源 的日志信息。
Linux 日志分析技巧命令
grep 命令用于在文本文件中搜索指定的字符串和模式例如可以使用 grep error /var/log/messages 命令来查找系统日志中的错误信息。tail 命令实时监视日志文件并显示最新添加的日志信息例如可以使用 tail -f /var/log/messages 命令来实时监视系统消息。sed 和 awk 命令可以用来编辑和处理文本文件例如可以使用 awk ‘/error/ {print $0}’ /var/log/messages 命令来筛选出包含 error 字符串的日志信息。journalctl 命令用于查询和查看 systemd 系统日志例如可以使用 journalctl -u nginx.service 命令来查看 Nginx 服务的日志信息。dmesg 命令用于打印内核环境变量缓冲区的内容包
Linux 基线规范
Linux 基线规范是指为了保证 Linux 系统安全性和可靠性制定的一系列最佳实践和标准化要求。Linux 基线规范通常包括以下几个方面
安全加固禁用不必要的服务、配置防火墙、强化密码策略等。用户和权限管理创建普通用户账号、限制 root 账号访问、使用 sudo 进行授权等。日志管理启用系统日志、日志文件备份和归档、监控日志信息等。文件系统和目录结构规范对重要数据进行加密、使用 ext4 文件系统、分区管理等。网络安全检查网络连接状态、限制入站和出站流量、使用 SELinux 或 AppArmor 等。软件更新与安全漏洞修复定期更新操作系统和软件补丁、及时处理已知漏洞等。数据备份与恢复定期备份和恢复系统数据和设置等
需要注意的是不同的公司或组织可能会有不同的基线规范要求。在实践中我们可以根据自己的需求 和安全风险评估情况设计并实施相应的基线规范并定期进行评估和调整。这样可以帮助我们规范化 Linux 系统的管理和维护并提高系统的可靠性和安全性。
Windows 安全基线检查
Windows 安全基线检查是指通过对 Windows 操作系统进行安全配置和最佳实践检查来评估系统的安 全性和完整性。Windows 安全基线包括以下几个方面
用户和权限管理创建普通用户账号、限制管理员账号访问、使用 UAC 进行授权等。密码策略设置强密码策略并启用多因素身份验证。网络安全配置防火墙、禁用不必要的服务、加密敏感数据传输等。软件更新与安全漏洞修复定期更新操作系统和软件补丁、及时处理已知漏洞等。日志管理启用系统日志、监控日志信息、建立日志归档等。文件和目录权限配置文件系统和目录结构规范、限制文件和目录访问权限等。数据备份与恢复定期备份和恢复系统数据和设置等
为了进行 Windows 安全基线检查可以使用 Microsoft Security Compliance Toolkit 工具该工具包 含安全基线和最佳实践检查工具并提供安全配置模板和分析报告。此外还可以使用第三方商业化工 具例如 SolarWinds、McAfee 等来帮助进行 Windows 安全基线检查。 中间件基线规范APACHE
Apache 是一款常用的 Web 服务器软件为了保障其安全可靠地运行可以制定中间件基线规范。以下 是 Apache 中间件基线规范的一些重要措施
版本号管理定期检查并更新 Apache 版本及时安装最新版本的补丁与安全更新。配置文件规范对 Apache 的配置文件进行规范化和审计限制网站访问权限、禁止目录浏览等。日志管理启用 Apache 访问日志和错误日志定期清理日志文件并做好备份、归档等工作。安全加固如禁用不必要的模块、关闭 TRACE 请求响应、限制 HTTP 方法等。SSL/TLS 加强设置 TLS 选项、开启 HSTS、使用证书身份验证等。防火墙和反向代理策略通过防火墙等技术来过滤恶意流量使用反向代理策略限制直接连接到 Web 服务器的 IP 地址。应用安全对 Web 应用程序进行安全审计确保程序的漏洞被修复、未受到攻击等。 需要注意的是以上这些措施只是 Apache 中间件基线规范的一部分实际操作中还需要根据具体情况 进行评估和调整。同时要保障 Apache 服务器的安全性和可靠性还需要定期备份数据、优化性能等 工作 中间件常见漏洞
中间件是指应用程序和操作系统之间的软件组件常见的中间件漏洞有以下几种
Web服务器漏洞针对Web服务器如Apache、Nginx的攻击通常包括利用目录遍历、文件包 含、SQL注入等技术。数据库漏洞数据库如MySQL、Oracle、SQL Server的漏洞通常涉及未授权的访问、SQL注入 等方面。 公众号WIN哥学安全应用服务器漏洞应用服务器如Tomcat、JBoss、WebLogic的漏洞通常会导致远程执行代 码、拒绝服务等问题。消息队列漏洞消息队列如RabbitMQ、Kafka的漏洞通常涉及未授权访问、拒绝服务等问题。缓存服务器漏洞缓存服务器如Redis、Memcached的漏洞通常包括未授权访问、命令注入等 问题。中间件配置问题中间件的错误配置也可能导致安全问题比如弱密码、不安全的协议配置等。 需要注意的是中间件漏洞是日益增多的因此建议及时更新和修补中间件的安全漏洞。
常见中间件的配置文件路径
不同的中间件软件有不同的配置文件路径。以下是几种常见中间件软件的配置文件路径
Apache Web 服务器httpd.conf 文件通常位于 /etc/httpd/ 或者 /usr/local/apache2/conf/ 目录 下。Nginx Web 服务器nginx.conf 文件通常位于 /etc/nginx/ 或者 /usr/local/nginx/conf/ 目录下。MySQL 数据库my.cnf 文件通常位于 /etc/mysql/ 或者 /usr/local/mysql/etc/ 目录下。PostgreSQL 数据库postgresql.conf 和 pg_hba.conf 文件通常位于 /var/lib/pgsql/data/ 或者 /etc/postgresql//main/ 目录下。Oracle 数据库initSID.ora 和 listener.ora 文件通常位于 $ORACLE_HOME/dbs/ 目录下。Tomcat 应用服务器server.xml、context.xml 和 web.xml 文件通常位于 /conf/ 目录下。JBoss 应用服务器standalone.xml 和 standalone-full.xml 文件通常位于 /standalone/configuration/ 目录下。
需要注意的是这些路径可能会根据不同的操作系统而有所不同并且也会随着中间件版本的更新而变 化。因此在进行中间件配置时建议查询官方文档或参考相关文献以获取最新的配置文件路径信息。
常用的安全工具以及常见的设备
常用的安全工具和设备有很多以下是其中一些常见的
防火墙Firewall防火墙可以过滤网络流量保护网络不受外部攻击。常见的防火墙包括硬件 防火墙和软件防火墙。入侵检测系统Intrusion Detection System, IDSIDS 可以监控网络流量、检测恶意行为和入 侵事件并向管理员发出警报。入侵防御系统Intrusion Prevention System, IPSIPS 可以在 IDS 的基础上主动预防入侵事 件并进行自动化响应。统一威胁管理平台Unified Threat Management, UTMUTM 是一种集成了防火墙、 IDS/IPS、VPN、反病毒等多种功能的综合性安全解决方案。脆弱性扫描器Vulnerability Scanner脆弱性扫描器可以发现系统中可能存在的漏洞并提供 修补建议。安全信息和事件管理系统Security Information and Event Management, SIEMSIEM 可以对 安全事件和日志数据进行收集、分析和报告帮助管理员更好地了解和响应安全事件。代理服务器Proxy Server代理服务器可以过滤流量、检查内容和访问控制提供额外的安全 保护。负载均衡器Load Balancer负载均衡器可以平衡网络流量分担服务器负载提高网络性能 和可用性。加密设备加密设备可以对数据进行加密处理防止数据被窃取或篡改。
需要注意的是以上只是其中一些常见的安全工具和设备实际应用中还有很多其他的安全工具和设 备。在选择和使用安全工具和设备时需要根据具体情况进行评估和选择并确保其符合实际需求和安 全标准。
威胁情报库
微步在线ThreatBook微步在线是国内领先的网络安全威胁情报服务提供商其威胁情报库 包括恶意软件、攻击源IP、域名等方面的信息。国家互联网应急中心CNCERTCNCERT 是中国政府统一组织和协调全国互联网安全工作的部 门其威胁情报库包括漏洞、恶意代码、攻击事件等方面的信息。安恒威胁情报中心ATIS ATIS 是安恒信息安全研究院旗下的威胁情报中心其威胁情报库涵 盖了APT攻击、Web攻击、恶意邮件、移动恶意软件等方面的信息。漏洞盒子KnownSec漏洞盒子是一家致力于网络安全防御和攻防技术研究的公司其威胁情 报库包括漏洞、恶意代码等方面的信息。360威胁情报中心360 TI Center360 威胁情报中心聚焦于威胁情报、安全事件响应和恶意代 码研究等领域其威胁情报库包括APT攻击、恶意URL等方面的信息。 需要注意的是以上威胁情报库只是其中一部分实际应用中还有很多其他的威胁情报库。在使用威胁 情报库时需要根据具体需求进行评估和选择并确保数据来源可靠、及时和准确。
怎么发现有没有被攻击
发现自己是否被攻击是网络安全管理中非常重要的一环。以下是几种常见的发现被攻击的方法
安全日志监控对系统和应用程序的安全日志进行监控可以及时发现异常活动和安全事件。例 如登录失败、异常访问、恶意软件入侵等。网络流量分析通过对网络流量进行监控和分析可以发现可能存在的攻击行为。例如大量来自 某个 IP 地址或特定端口的流量、恶意脚本和代码注入等。主机基线监测通过对应用程序、操作系统和数据文件等资源进行基线监测可以及时发现可能存 在的异常变化和不正常的活动。脆弱性扫描通过使用脆弱性扫描工具可以发现系统中可能存在的漏洞并提供修补建议。威胁情报监测通过使用威胁情报库和服务可以了解到当前存在的威胁活动及时采取防御措 施。安全演练通过进行安全演练可以模拟真实的攻击场景评估自身的安全状态及时发现和修复 存在的问题。
需要注意的是以上方法只是其中一部分实际应用中还有很多其他的发现被攻击的方法。在进行网络 安全管理时需要综合使用多种方法并不断更新和完善自身的防御措施以提高安全水平和减少被攻 击的风险
