## 一、应急响应与入侵排查

### 1\. 请简述应急响应的基本流程和思路？

**答：**

应急响应的标准流程通常遵循以下步骤：

1.  **收集信息**：收集客户环境信息、中毒主机信息及样本。
    
2.  **判断类型**：判断是否为安全事件，具体是勒索、挖矿、断网还是 DoS 等。
    
3.  **抑制范围**：隔离受感染主机，切断网络连接，防止受害面扩大。
    
4.  **深入分析**：进行日志分析、进程分析、启动项分析及样本分析，方便溯源。
    
5.  **清理处置**：杀掉恶意进程、删除后门文件、打补丁、清除异常账号。
    
6.  **产出报告**：整理并输出完整的安全事件报告。

### 2\. Windows 入侵排查的思路是什么？

**答：**

主要从以下几个方面入手：

1.  **账号安全**：检查弱口令、Guest 账户是否禁用、`lusrmgr.msc`查看可疑账号、注册表查看克隆账号、分析登录日志 (`eventvwr.msc`)。
    
2.  **端口与进程**：使用 `netstat -ano`检查异常端口，`tasklist`或任务管理器检查异常进程。
    
3.  **启动项与服务**：检查 `msconfig`、计划任务 (`taskschd.msc`) 及异常服务。
    
4.  **文件与日志**：查找可疑目录及文件，分析安全日志中的登录记录。

### 3\. Linux 入侵排查的思路是什么？

**答：**

1.  **账号安全**：检查 `/etc/passwd`和 `/etc/shadow`，查看 UID=0 的账户、空口令账户及异常新增账户。
    
2.  **历史命令**：查看 `~/.bash_history`及 `/home/*/.bash_history`。
    
3.  **端口进程**：`netstat -antlp`查端口，`ps aux`查进程，结合 `/proc/$PID/exe`定位程序路径。
    
4.  **启动项与计划任务**：检查 `/etc/rc.local`、`/etc/crontab`、`/var/spool/cron/`。
    
5.  **日志分析**：重点分析 `/var/log/secure`、`/var/log/messages`及 `/var/log/wtmp`(登录成功)、`/var/log/btmp`(登录失败)。

### 4\. 如何查看 Linux 的登录日志？

**答：**

*   **登录成功**：`lastlog`(所有用户最后登录)、`last`(最近登录信息，来源 `/var/log/wtmp`)。
    
*   **登录失败**：`lastb`(来源 `/var/log/btmp`)。
    
*   **当前登录**：`who`或 `w`。
    
*   **日志位置**：`/var/log/secure`(RedHat系) 或 `/var/log/auth.log`(Debian系)。

### 5\. 服务器存在 WebShell，如何处理？

**答：**

1.  **隔离主机**：切断网络，防止进一步扩散。
    
2.  **定位取证**：根据 WebShell 文件的创建时间，结合 Web 日志（Access/Error Log）分析攻击路径和上传方式。
    
3.  **清除木马**：删除 WebShell 文件，检查是否存在其他后门。
    
4.  **修复漏洞**：这是关键。根据日志定位漏洞源头（如文件上传、SQL 注入、RCE），修补漏洞。
    
5.  **后处理**：修改相关账号密码，全面杀毒，恢复业务。

* * *

## 二、安全加固与基线

### 1\. Linux 安全基线主要包含哪些方面？

**答：**

通常包括五个维度：

1.  **账号管理与授权**：删除无用账号、设置密码复杂度（`/etc/login.defs`）、禁止 root 远程登录、限制 `su`权限。
    
2.  **服务**：关闭不必要的服务，最小化安装。
    
3.  **SSH 安全**：修改默认端口、禁止 Root 登录、限制最大认证尝试次数。
    
4.  **文件系统**：设置 `umask=027`、设置登录超时 (`TMOUT`)。
    
5.  **日志与审计**：启用 syslog，记录所有用户操作日志。

### 2\. 如何加固文件上传漏洞？

**答：**

1.  **后端校验**：严格使用白名单机制校验文件后缀，不要依赖前端 JS 校验。
    
2.  **重命名文件**：上传后对文件进行随机重命名，不回显保存路径。
    
3.  **内容检查**：对图片文件进行二次渲染或使用 `getimagesize()`判断。
    
4.  **权限控制**：将上传目录设置为不可执行（RemoveHandler `.php`）。
    
5.  **存储隔离**：使用 OSS 等对象存储，与业务服务器分离。

### 3\. SQL 注入如何加固？

**答：**

1.  **使用预编译语句 (Prepared Statements)**：如 PDO 或 MySQLi 的 prepare 语句，这是最有效的手段。
    
2.  **输入过滤**：对特殊字符（单引号、分号等）进行转义或过滤。
    
3.  **最小权限原则**：数据库连接账户使用低权限账户，禁止使用 root。
    
4.  **错误信息隐藏**：关闭数据库的报错回显，防止泄露敏感信息。

* * *

## 三、安全设备与工具

### 1\. 请介绍下 HW 场景中常见的蓝队设备及其作用？

**答：**

*   **安全感知平台 (SIP)**：安全大脑，负责收集汇总所有探针数据，进行大数据分析、威胁检测与可视化。
    
*   **下一代防火墙 (AF/NGAF)**：部署在边界，集成 IPS、AV、WAF 功能，负责阻断攻击流量。
    
*   **终端检测响应 (EDR)**：部署在服务器上，负责主机层面的病毒查杀、进程监控和响应。
    
*   **Web 应用防火墙 (WAF)**：专门针对 Web 攻击（SQL 注入、XSS、CC）进行防护。
    
*   **堡垒机**：运维审计，实现运维人员的身份认证、权限控制和操作审计。
    
*   **蜜罐**：伪装欺骗，诱导攻击者攻击，从而捕获攻击源和样本。

### 2\. 你在研判告警时，如何区分误报和真实攻击？

**答：**

1.  **过滤无效告警**：首先过滤掉挖矿、蠕虫、病毒传播等通常由内网发起的告警，以及扫描类流量。
    
2.  **情报碰撞**：使用微步在线等威胁情报平台查询源 IP，若为恶意 IP 则高度可疑。
    
3.  **流量分析**：
    
    *   查看 Payload 是否成功执行（响应包是否有异常）。
        
    *   关注 `X-Forwarded-For`等头部。
        
    *   分析 WebShell 工具（冰蝎、哥斯拉）的流量特征。
        
    
4.  **确认资产**：核对源目 IP 是否属于客户内网资产，排除内部测试。
    
5.  **上报规范**：上报时需附带完整截图（源目 IP、请求体、响应体）。

### 3\. Nmap 常用的扫描参数有哪些？

**答：**

*   `-sS`：TCP SYN 半开扫描（隐蔽，不建立完整连接）。
    
*   `-sT`：TCP Connect 全连接扫描（准确，但日志留痕多）。
    
*   `-sV`：探测服务版本。
    
*   `-O`：探测操作系统类型。
    
*   `-A`：激进扫描（包含 OS 检测、版本检测、脚本扫描等）。
    
*   `-p`：指定端口（如 `-p 80,443`或 `-p 1-65535`）。

* * *

## 四、溯源与反制

### 1\. 请简述攻击溯源的基本步骤？

**答：**

1.  **攻击源捕获**：
    
    *   安全设备告警（IP、Payload）。
        
    *   日志分析（异常访问、Webshell 连接）。
        
    *   邮件钓鱼（恶意样本、URL）。
        
    *   蜜罐系统（捕获攻击者 ID、Browser Fingerprint）。
        
    
2.  **溯源手段**：
    
    *   **IP 定位**：通过 IP 反查物理地址，分析代理链。
        
    *   **ID 追踪**：在搜索引擎、社工库中匹配攻击者的 ID、邮箱、QQ。
        
    *   **域名反查**：Whois 查询注册人信息。
        
    *   **样本分析**：提取样本的 PDB 路径、C2 服务器、硬编码信息。
        
    
3.  **攻击者画像**：整合信息，描绘出攻击者的虚拟身份、真实身份、组织情况及攻击意图。

### 2\. 如何通过 Wireshark 进行流量溯源？

**答：**

1.  **过滤语法**：使用 `ip.addr == x.x.x.x && http`或 `http.request.uri contains "webshell"`快速定位异常流量。
    
2.  **关键字搜索**：搜索 `eval`、`base64_decode`、`whoami`、`cmd.exe`等恶意关键字。
    
3.  **分析特征**：
    
    *   **冰蝎/哥斯拉**：长连接、加密流量、固定的 User-Agent 或 Cookie。
        
    *   **SQL 注入**：URL 中出现 `union select`、`sleep()`等。
        
    
4.  **追踪流**：右键 Follow -> TCP Stream，查看完整的会话交互过程。

* * *

## 五、情景模拟题

### 1\. 如果护网期间发现一台主机在内网进行横向攻击，你该怎么做？

**答：**

1.  **确认性质**：首先确认是否为运维人员的自动化脚本或误报，询问相关负责人。
    
2.  **隔离遏制**：若确认为攻击，立即通过网络设备（防火墙/交换机）封禁该主机的 IP 和 MAC，切断其网络。
    
3.  **取证分析**：登录该主机或通过流量镜像，分析进程、网络连接、日志，确定攻击源头（如是否中了挖矿病毒或勒索病毒）。
    
4.  **横向排查**：检查该主机是如何被入侵的，并排查内网中其他主机是否存在相同问题。
    
5.  **上报处置**：按照应急流程上报，配合溯源组进行后续工作。

### 2\. 遇到一个大的日志文件，如何进行高效分析？

**答：**

1.  **工具辅助**：使用专业的日志分析工具（如 ELK Stack、Splunk）或脚本（Python/Pandas）。
    
2.  **规则匹配**：使用正则表达式提取攻击特征（SQL 注入、XSS Payload）。
    
3.  **统计分析**：
    
    *   统计 IP 访问频率，找出高频 IP（可能是扫描或 CC 攻击）。
        
    *   统计 URL 访问频率，找出被攻击的点。
        
    
4.  **白名单机制**：建立正常业务访问模型，偏离模型的异常请求列为重点怀疑对象。
    
5.  **时间轴分析**：锁定攻击发生的时间窗口，缩小排查范围。

### 3\. 发现钓鱼邮件如何处理？

**答：**

1.  **阻断传播**：在邮件网关或防火墙上封禁发件人域名、IP 及邮件中的恶意 URL。
    
2.  **内部排查**：
    
    *   检查有多少人收到了邮件（通过邮件日志回溯）。
        
    *   检查是否有员工点击链接或下载附件（通过上网行为日志、EDR）。
        
    
3.  **员工处置**：通知相关人员不要点击，已点击者需修改密码、全盘杀毒。
    
4.  **溯源加固**：分析邮件 Header 追踪来源，加强邮箱安全策略（如 SPF/DKIM/DMARC），开展员工安全意识培训。

HW蓝队面试问答简易版