一、简述运维流程:

1、接手平台、管理资产(增删)、设置平台对资产是扫描策略。 
 2、每天按照规定的巡检周期对资产进行巡检,巡检过程中检测资产的目前状态做记录,查看是否有新增告警事件。将发现的新增告警事件按照规定输出详细的事件工单。工单内要求详细描述整个告警事件的过程。
 3、亦可尝试验证告警事件,或扫描到的漏洞,验证事件攻击成功,或者漏洞属实,再输出安全事件工单,并提交验证报告,并给出修复方案和加固方案。

二、发现一起境外的ssh爆破事件,如何判断是否爆破成功?

1、是否发生异常登录
2、被爆破的账号在爆破结束后是否有异常操作
3、被爆破的账号使用的什么登陆形式,私钥登录则无需理会

三、发现有木马脚本攻击事件,并给出了疑似木马文件的文件名,如何判断?

1、木马文件和当前服务器所配置的代码环境是否一致
2、和服务器管理人员核对文件是否为异常文件
3、木马文件是否可以正常访问
4、登录服务器查看对应目录下是否真实存在该文件

四、发现有命令执行攻击存在,怎样验证是否攻击成功?

1、判断执行攻击的命令和服务器环境是否一致
2、仿照攻击形式尝试进行命令执行攻击验证,查看是否能成功
3、查看服务器日志,是否有异常操作存在

五、发现存在SQL注入漏洞

1、使用平台给出的payload验证一遍
2、使用SQLmap工具尝试攻击
3、尝试用手工注入的方式进行攻击

六、发现存在XSS漏洞

1、使用平台给出的payload验证一遍
2、分别构造闭合形式、鼠标事件形式、和构造新的标签进行验证

七、发现存在后台登录页面泄露

1、访问泄露的URL进行验证
2、在登录页面尝试进行猜测登录和爆破,进一步挖掘安全隐患

八、发现存在服务器路径泄露

1、访问安全事件所在的页面,查看页面上是否有泄露情况
2、查看页面内的元素路径,查看是否存在绝对路径,列如图片的绝对路径
2、查看网页源代码,查看页面的注释中是否存在路径泄露情况

九、发现存在暗链

1、查看事件发生页面,是否存在异常连接的情况
2、查看事件发生页面网页源代码,是否存在不显示的窗口连接
3、查找到隐藏的链接后,可找网站管理人员核实,有一些隐藏链接的模块是改版需要

十、发现存在钓鱼页面

1、查看问题页面url,验证是否是异常页面
2、查看事件所在页面,查找是否有异常的浮动窗口

十一、发现存在挖矿行为

1、服务器存在挖矿行为,会存在占用CPU较高的进程,可以再服务器上直接查看
2、若是无法直接接触到服务器,可以将报出存在挖矿行为的服务器资产重新添加进程扫描,查看是否仍然会报出挖矿事件,若连续三次,均报出挖矿事件,亦可提交事件,具体排查

十二、发现存在DDOS攻击事件

检测服务器收到攻击的流量详情,进行上报,同时跟踪攻击事件,实时反馈流量的变化情况

十三、你们认为工单中要包含那些元素?

事件名称、事件类型、告警平台、事件级别、告警功能、客户名称、系统名称、日期、时间、事件状态、事件记录人、处理意见、事件描述。描述中有攻击源、目的IP、攻击类型、执行攻击的信息、攻击是否成功。

十四、IPS 入侵防御系统

1、有效地第一时间拦截Web威胁。是对防病毒软件和防火墙的补充
2、实时、主动拦截黑客攻击、病毒、等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。

十五、IDS入侵检测系统

1、IDS安全防护技术。一旦发现异常情况就发出警告。采取主动反应措施。
2、4个组件:事件产生器、事件分析器、响应单元、事件数据库
3、两种模式:异常检测和误用检测

十六、TCP/IP

1、TCP/IP 是通信协议。以及数据传输的标准。
2、TCP 使用固定的连接 用于应用程序之间的通信。
3、“握手”之后,TCP 将在两个应用程序之间建立一个全双工 (full-duplex) 的通信。

十七、应急响应的活动应该主要包括两个方面:

1、事件发生前的防范:
比如风险评估、制定安全计划、安全意识的培训、以及各种防范措施;

2、事件发生后采取的措施:控制损失,降到最小
比如:系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。