一、简述运维流程:
1、接手平台、管理资产(增删)、设置平台对资产是扫描策略。
2、每天按照规定的巡检周期对资产进行巡检,巡检过程中检测资产的目前状态做记录,查看是否有新增告警事件。将发现的新增告警事件按照规定输出详细的事件工单。工单内要求详细描述整个告警事件的过程。
3、亦可尝试验证告警事件,或扫描到的漏洞,验证事件攻击成功,或者漏洞属实,再输出安全事件工单,并提交验证报告,并给出修复方案和加固方案。
二、发现一起境外的ssh爆破事件,如何判断是否爆破成功?
1、是否发生异常登录
2、被爆破的账号在爆破结束后是否有异常操作
3、被爆破的账号使用的什么登陆形式,私钥登录则无需理会
三、发现有木马脚本攻击事件,并给出了疑似木马文件的文件名,如何判断?
1、木马文件和当前服务器所配置的代码环境是否一致
2、和服务器管理人员核对文件是否为异常文件
3、木马文件是否可以正常访问
4、登录服务器查看对应目录下是否真实存在该文件
四、发现有命令执行攻击存在,怎样验证是否攻击成功?
1、判断执行攻击的命令和服务器环境是否一致
2、仿照攻击形式尝试进行命令执行攻击验证,查看是否能成功
3、查看服务器日志,是否有异常操作存在
五、发现存在SQL注入漏洞
1、使用平台给出的payload验证一遍
2、使用SQLmap工具尝试攻击
3、尝试用手工注入的方式进行攻击
六、发
