【系列连载】蓝初百题斩(1)
2023-4-11 08:1:44 Author: WIN哥学安全(查看原文) 阅读量:53 收藏

作者:夏小芸,“蓝初百题斩”连载,今天带来第一期内容:

系列目录大全

Windows 入侵排查思路?

  1. 收集信息:收集与系统安全相关的信息,包括日志文件、进程列表、网络连接、系统配置等。
  2. 分析信息:对收集到的信息进行分析,确定异常行为和潜在威胁。
  3. 确认威胁:确认系统存在威胁,并确定其类型和程度。
  4. 阻止攻击:采取相应的措施,尽快阻止攻击并减少损失。
  5. 恢复系统:对受到攻击的系统进行恢复,确保其正常运行。

具体来说,可以采取以下几种方法进行入侵排查:

  1. 使用防病毒软件:定期使用防病毒软件扫描系统,及时发现并清除潜在的威胁。
  2. 定期更新系统:定期更新系统和安全补丁,以确保系统的安全性。
  3. 监控网络连接:监控网络连接情况,及时发现异常连接和流量,以及非法访问尝试。
  4. 分析日志文件:分析日志文件,了解系统的使用情况和异常行为,及时发现威胁。
  5. 使用安全工具:使用安全工具,如入侵检测系统、网络监控系统等,帮助发现和阻止威胁。
  6. 加强用户教育:加强用户教育,提高用户安全意识,减少人为因素对系统安全的影响。

总之,入侵排查需要综合运用多种工具和方法,不断加强系统的安全性和监控能力,以保障系统的安全运行。


Linux 入侵排查思路?

  1. 收集基础信息:收集系统的版本、配置文件和日志等信息,了解系统的正常运行状态。
  2. 分析异常行为:通过比较正常状态与异常状态的差异,分析系统上出现的任何异常行为,例如不寻常的进程、网络流量或文件更改。
  3. 确认入侵点:确定攻击者可能入侵的方式,并检查是否存在未修复的漏洞。
  4. 隔离受感染的系统:及时隔离受感染的系统,以限制损害并避免进一步传播。
  5. 恢复系统:清除恶意代码并修复受损部分,通过备份恢复数据和配置文件,确保系统安全。
  6. 收集证据:收集入侵事件的详细信息,包括攻击的时间、入侵的方式、影响范围、损失情况等,以便后续追踪和定位攻击者。

在实际操作中,需要结合专业的工具和技能进行排查,例如使用抓包工具Wireshark分析网络流量、使用进程监控工具ps、top、htop等查看进程运行情况。同时,还需要不断学习更新各种安全相关的技能和知识,以提高排查入侵事件的能力。


Linux 如何查看登录日志?有哪些相关消息文件?

在 Linux 系统中,可以通过以下方式查看登录日志:

  1. /var/log/auth.log文件:该文件记录了所有用户的认证信息,包括 SSH 登录、sudo 访问以及 su 切换等操作。
  2. /var/log/secure文件:该文件用于记录系统身份验证和授权消息,通常在 Red Hat 系统上使用。其中包括 SSH 登录、sudo 访问以及 su 切换等操作。
  3. /var/log/messages文件:该文件记录了系统的运行消息,包括启动和关闭服务、内核消息以及其他重要事件。
  4. w命令:可以查看当前已登录的用户和他们的会话信息。
  5. last命令:可以查看最近所有登录和注销会话的用户列表以及日期和时间。
  6. lastlog命令:可以查看所有用户最后一次登录的时间和位置。

需要注意的是,在某些系统中这些文件名可能会有所不同,例如 Ubuntu 系统中的 /var/log/auth.log 文件可能是 /var/log/auth.log.1、/var/log/auth.log.2.gz等形式。因此,在查看登录日志时,最好先了解当前系统的具体情况。


Windows 和 Linux 的日志文件放在哪里?

Windows:

  1. 系统事件记录器:Event Viewer 应用程序中提供了 Windows 系统的事件日志管理工具。这些日志文件通常存储在 C:\Windows\System32\winevt\Logs 目录中。
  2. 应用程序日志:包括应用程序特定的事件、错误和警告等信息,可以使用 Event Viewer 应用程序进行查看。这些日志文件通常存储在应用程序的安装目录下或者 Windows 系统目录中。
  3. 安全日志:记录有关系统安全性的重要信息,例如登录、注销、权限更改等。这些日志文件通常存储在 C:\Windows\System32\winevt\Security.evtx 文件中。

Linux:

  1. 系统日志:Linux 系统中的所有日志都存储在 /var/log 目录下。主要的日志文件包括:
  • /var/log/messages:记录系统启动期间的消息以及其他系统级别的消息。
  • /var/log/syslog:记录核心系统日志,也包括其他应用程序的日志。
  • /var/log/auth.log:记录用户登录和其他身份验证相关事件的日志文件。
  1. 各种服务/软件的日志文件:各种服务或软件分别根据自己的命名规范来命名相应的日志文件,其中一些可能位于 /var/log 目录下,而另一些则可能位于 /var/log/service 目录下。

需要注意的是,日志文件在系统运行一段时间后可能会变得非常庞大,因此需要定期进行归档和清理,以释放磁盘空间并提高系统性能。


Linux 常用排查命令有哪些?

在 Linux 系统中,有许多工具和命令可以用来排查问题。以下是一些常用的排查命令:

  1. top:显示当前系统中最占用 CPU 和内存的进程。
  2. ps:显示当前系统所有运行的进程列表。
  3. netstat:显示网络连接状态和统计信息,例如打开的端口、TCP/UDP 连接和网络接口等。
  4. ifconfig/iwconfig:显示网络接口的状态和配置信息。
  5. ping/traceroute:用于测试网络是否连通以及检测网络故障的工具。
  6. df/du:显示磁盘使用情况,包括已用空间和可用空间等信息。
  7. ls/lsof:用于查看打开的文件、目录和文件描述符。
  8. strace/ltrace:跟踪应用程序执行期间的系统调用和库函数调用。
  9. tcpdump:捕获网络数据包并将其记录到日志文件中,以便进行后续分析。
  10. tail:实时监视日志文件,并显示最新添加的日志信息。

以上这些命令只是其中的一部分,不同的问题可能需要使用不同的命令和工具。在实际操作中,需要根据具体的情况选择合适的命令和工具,并结合自己的经验和知识进行排查。


Linux 的 Selinux 是什么?如何设置 Selinux?

SELinux(Security-Enhanced Linux)是一个针对 Linux 内核的安全模块,它可以限制进程和用户的访问权限,并提供更加细粒度的访问控制。SELinux 基于强制访问控制(MAC)模型,将每个进程/对象分配到不同的安全上下文中,并通过策略文件来定义这些上下文之间的关系。

在 Linux 中,SELinux 可以通过以下步骤进行设置:

  1. 检查 SELinux 状态:使用命令 getenforce 或者 sestatus 来检查当前 SELinux 的状态,例如 enforcing、permissive 或者 disabled 等。
  2. 修改 SELinux 配置文件 /etc/selinux/config:可以修改 SELINUX 参数的值为 enforcing(强制模式)、permissive(宽容模式)或者disabled(禁用 SELinux)等。
  3. 安装和管理 SELinux 策略包:使用 yum 命令安装和管理 SELinux 相关的策略包,例如 policycoreutils 和 selinux-policy 等。
  4. 设定 SELinux 上下文:使用 chcon、semanage 和 restorecon 等命令来更改文件或目录的安全上下文。
  5. 确认 SELinux 日志:在排除 SELinux 相关问题时可以使用命令 ausearch、ausearch、auditctl 等来确认 SELinux 日志。

需要注意的是,在对 SELinux 进行设置和管理时,需要有一定的 Linux 系统管理经验和 SELinux 相关知识。因为错误的配置可能会导致系统不稳定或者无法启动,所以在操作前应仔细阅读相关文档并进行备份。


Linux、Windows 安全加固

Linux 安全加固:

  1. 更新所安装的软件包:定期更新系统中所有软件包以修复已知漏洞。
  2. 禁用不必要的服务:禁用不必要的网络服务,减少攻击面。
  3. 配置防火墙:使用防火墙限制入站和出站网络流量,只允许合法的流量通过。
  4. 加强密码策略:设置强密码策略并启用多因素身份验证。
  5. 禁用 root 登录:禁止使用 root 用户登录系统,并将 sudo 和 su 访问权限限制到必要的人员或组。
  6. 使用 SELinux 或 AppArmor:使用 SELinux 或 AppArmor 来实现更细粒度的应用程序和文件访问控制。
  7. 配置 SSH 访问:使用 SSH 协议连接服务器时配置限制 IP 地址和端口号等安全措施。
  8. 定期备份数据:定期备份重要数据至外部存储设备,以防止数据丢失和系统损坏。

Windows 安全加固:

  1. 更新操作系统和软件:及时安装 Windows 操作系统和软件的安全更新。
  2. 禁用 SMBv1:由于 SMBv1 协议存在一些严重的漏洞,建议禁用 SMBv1 协议。
  3. 启用 UAC:启用用户账户控制(UAC),以限制非管理员用户的系统访问权限。
  4. 配置防火墙:使用 Windows 防火墙过滤不必要的网络流量,并确保只允许合法的流量通过。
  5. 使用 BitLocker 或类似的加密工具:对重要数据和文件进行加密存储,以避免数据泄漏。
  6. 配置组策略:使用本地组策略或 Active Directory 组策略来限制用户和计算机的访问权限。
  7. 检查安全事件日志:定期检查 Windows 安全事件日志,了解系统中发生的任何异常事件。
  8. 定期备份数据:定期备份重要数据至外部存储设备,以防止数据丢失和系统损坏。

需要注意的是,这些措施只是增强系统安全的一部分,而不能保证系统绝对安全。因此,建议采取多种方法来保护自己的系统和数据。


windows 日志分析工具

  1. Event Viewer:Windows 自带的日志管理工具,可以查看和分析 Windows 系统中的各种事件日志。
  2. Log Parser:一款免费的命令行工具,可以查询和分析日志文件、IIS 日志、Windows 注册表、Active Directory 等数据源。
  3. Microsoft Message Analyzer:一款强大的网络协议分析工具,可以捕获和分析 Windows 操作系统上的网络流量和事件日志。
  4. Syslog-ng:一个高性能的日志管理工具,可以帮助用户收集和分析来自不同平台的日志信息。
  5. Graylog:一款开源的日志管理工具,可以帮助用户收集、存储和分析来自不同来源的日志信息,并提供直观易用的用户界面。
  6. Splunk:一款商业化的日志管理工具,可以帮助用户实时监控、搜索、分析和可视化来自不同来源的日志信息。

需要注意的是,在选择日志分析工具时,需要根据自己的需求和实际情况进行选择,并结合相关操作系统和网络知识进行使用。


Linux 日志分析技巧命令

  1. grep 命令:用于在文本文件中搜索指定的字符串和模式,例如可以使用 grep error /var/log/messages 命令来查找系统日志中的错误信息。

  2. tail 命令:实时监视日志文件,并显示最新添加的日志信息,例如可以使用 tail -f /var/log/messages 命令来实时监视系统消息。

  3. sed 和 awk 命令:可以用来编辑和处理文本文件,例如可以使用 awk '/error/ {print $0}' /var/log/messages 命令来筛选出包含 error 字符串的日志信息。

  4. journalctl 命令:用于查询和查看 systemd 系统日志,例如可以使用 journalctl -u nginx.service 命令来查看 Nginx 服务的日志信息。

  5. dmesg 命令:用于打印内核环境变量缓冲区的内容包

    Linux 基线规范

Linux 基线规范是指为了保证 Linux 系统安全性和可靠性,制定的一系列最佳实践和标准化要求。Linux 基线规范通常包括以下几个方面:

  1. 安全加固:禁用不必要的服务、配置防火墙、强化密码策略等。
  2. 用户和权限管理:创建普通用户账号、限制 root 账号访问、使用 sudo 进行授权等。
  3. 日志管理:启用系统日志、日志文件备份和归档、监控日志信息等。
  4. 文件系统和目录结构规范:对重要数据进行加密、使用 ext4 文件系统、分区管理等。
  5. 网络安全:检查网络连接状态、限制入站和出站流量、使用 SELinux 或 AppArmor 等。
  6. 软件更新与安全漏洞修复:定期更新操作系统和软件补丁、及时处理已知漏洞等。
  7. 数据备份与恢复:定期备份和恢复系统数据和设置等。

需要注意的是,不同的公司或组织可能会有不同的基线规范要求。在实践中,我们可以根据自己的需求和安全风险评估情况,设计并实施相应的基线规范,并定期进行评估和调整。这样可以帮助我们规范化 Linux 系统的管理和维护,并提高系统的可靠性和安全性。


Windows 安全基线检查

Windows 安全基线检查是指通过对 Windows 操作系统进行安全配置和最佳实践检查,来评估系统的安全性和完整性。Windows 安全基线包括以下几个方面:

  1. 用户和权限管理:创建普通用户账号、限制管理员账号访问、使用 UAC 进行授权等。
  2. 密码策略:设置强密码策略,并启用多因素身份验证。
  3. 网络安全:配置防火墙、禁用不必要的服务、加密敏感数据传输等。
  4. 软件更新与安全漏洞修复:定期更新操作系统和软件补丁、及时处理已知漏洞等。
  5. 日志管理:启用系统日志、监控日志信息、建立日志归档等。
  6. 文件和目录权限:配置文件系统和目录结构规范、限制文件和目录访问权限等。
  7. 数据备份与恢复:定期备份和恢复系统数据和设置等。

为了进行 Windows 安全基线检查,可以使用 Microsoft Security Compliance Toolkit 工具,该工具包含安全基线和最佳实践检查工具,并提供安全配置模板和分析报告。此外,还可以使用第三方商业化工具,例如 SolarWinds、McAfee 等,来帮助进行 Windows 安全基线检查。

需要注意的是,安全基线检查只是评估系统安全性的一部分。为了保证 Windows 系统的安全性和可靠性,还需要采取其他措施,例如定期更新操作系统和软件补丁、加强密码策略、备份数据等。


Taps:

下载地址:回复“ 蓝初百题斩”获取下载链接

免责声明:本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。

扫码回复“进群”加入交流群

往期精彩

回复“burp”“awvs”“nessus”“ladon”"Forfity"等可以获取工具。

【安全基础】信息收集看这一篇就够了

快速攻击全自动化工具JuD

Exp-Tools 1.1.3版本发布

GUI-tools渗透测试工具箱框架

阿波罗自动化攻击评估系统

 微软 Word RCE附PoC

Clash最新远程代码执行漏洞(附POC)

禅道系统权限绕过与命令执行漏洞(附POC)

【附EXP】CVE-2022-40684 & CVE-2022-22954

网络安全应急预案合集


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwODM3NjIxOQ==&mid=2247491508&idx=2&sn=cc24e968833d394207fdabb4ceca3d05&chksm=c0cbbe40f7bc3756b7180a4e475edf4c3ca2f3c9aed6900c43e29c4c1ebacdd93bb7dbb717bc#rd
如有侵权请联系:admin#unsafe.sh