• 查看服務器當前登錄用戶

  最基礎的方法之一，查看當前登錄服務器的用戶，如有異常用戶或IP地址正在登錄，說明服務器很可能被入侵（侵犯），命令的話，使用w，who，users等都可以：

• 查看服務器歷史登錄痕跡

  服務器會記錄曾經登錄過的用戶和IP，以及登錄時間和使用時長，如果存在異常用戶或IP地址曾經登錄過，就要注意了，服務器很可能被入侵，當然，對方為了掩蓋登錄，會清空/var/log/wtmp日志文件，要是你運行了last命令，只有你一個人登錄，而你又從來沒清空過記錄，說明被入侵了：

• 查看異常消耗CPU進程

  非異常情況下，服務器被入侵后，對方通常會執行一些非常消耗CPU任務或程序，這時你就可以運行top命令，查看進程使用CPU的情況，如果有異常進程非常消耗CPU，而你又從來沒有執行過這個任務，說明服務器很可能被入侵了：

• 檢查服務器系統進程

  消耗CPU不嚴重或者未經授權的進程，通常不會在top命令中顯示出來，這時你就需要運行“ps auxf”命令檢查所有系統進程，如果有異常進程在后臺悄悄運行，而你又從來沒有執行過，這時就要注意了，服務器很可能被入侵了：

• 查看端口、進程網絡連接

  通常攻擊者會安裝一個后門程序（進程）專門用于監聽網絡端口收取指令，這些進程在等待期間不會消耗CPU和帶寬，top命令難以發現，這時你就可以運行“netstat -plunt”命令，查看當前系統端口、進程的網絡連接情況，如果有異常端口開放，就需要注意了，服務器很可能被入侵：

  檢查網絡連接和對各個監聽端口的分析，也是必須要走的程序。比如：

  • 輸入netstat -an，列出本機所有的連接和監聽的端口，查看有沒有非法連接。

  • 輸入netstat –rn，查看本機的路由、網關設置是否正確。

  • 輸入 ifconfig –a，查看網卡設置。

    通過查詢訪問的端口和異常IP地址進行異常分析也是常用的一種手段。

• 檢查系統的密碼相關文件

  查看一下passwd文件，尤其是查看passwd當中是否有一些特權用戶，一般系統中Uid為0的用戶特權權限較高，可能會存在拿到控制權的可能性，但是能到這一步，我覺得這個入侵的黑客也太傻了，居然還給你留個你能看到的賬戶。另外還有查看空口令賬號，一把這些賬號都是用來提升權限用的。

  首先從明顯的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。

  檢查一下passwd文件中有哪些特權用戶，系統中uid為0的用戶都會被顯示出來。

• 檢查系統日志

  查看在正常情況下登錄到本機的所有用戶的歷史記錄，通過登錄賬戶的時間和登錄用戶名可以判斷是由于系統自身因鑒權或者其他操作登錄，還是人為性質的登錄，雖然登錄日志比較多，但是也會為入侵分析帶來一些輔助性的判斷依據。一般情況下linux系統下輸入在linux下輸入ls –al /var/log，既可以看到登錄操作日志，對了還要看下系統的syslog進程是否被停用了，因為如果但凡有點技術的黑客都會停止這個進程，來防止log記錄。

  命令last | more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴于syslog進程，這已經成為入侵者攻擊的重要目標。入侵者通常會停止系統的syslog，查看系統syslog進程的情況，判斷syslog上次啟動的時間是否正常，因為syslog是以root身份執行的，如果發現syslog被非法動過，那說明有重大的入侵事件。

  在linux下輸入 ls –al /var/log

  在solaris下輸入 ls –al /var/adm

  檢查wtmp utmp，包括messgae等文件的完整性和修改時間是否正常，這也是手工擦除入侵痕跡的一種方法。

• .rhosts和.forward

  這是兩種比較著名的后門文件，如果想檢查你的系統是否被入侵者安裝了后門，不妨全局查找這兩個文件，分別進行這兩個文件和正常內容的對比。一般要是于異常，說明你的系統已經被攻破。

  這是兩種比較著名的后門文件，如果想檢查你的系統是否被入侵者安裝了后門，不妨全局查找這兩個文件：

    find / -name “.rhosts”
  
    find / -name “.forward”

• 檢查系統文件完整性

  服務器檢查相關文件的完整性有多種方法，通常我們通過輸入ls -l 文件名來查詢和比較文件，這種方法雖然簡單，但還是有一定的實用性。但是如果ls文件都已經被替換了就比較難搞。在LINUX下可以用rpm -V rpm –qf 文件名 來查詢，國家查詢的結果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多，這里不做相關贅述，可以man rpm來獲得更多的格式。

交換器即是交換式的集線器。交換器與集線器(HUB)在網路內的功用大致相同，其間最大的差異在于交換器的每個埠(port)都享有一個專屬的頻寬并具備資料交換功能，使得網路傳輸效能得於同一時間內所能傳輸的資料量較大;而集線器為則是所有的埠(port)共享一個頻寬。

防火墻也被稱為防護墻，它是一種位于內部網絡與外部網絡之間的網絡安全系統，可以將內部網絡和外部網絡隔離。通常，防火墻可以保護內部/私有局域網免受外部攻擊，并防止重要數據泄露。在沒有防火墻的情況下，路由器會在內部網絡和外部網絡之間盲目傳遞流量且沒有過濾機制，而防火墻不僅能夠監控流量，還能夠阻止未經授權的流量。

交換機的我們可以把它看作是橋接網絡的設備，在局域網(LAN)中，交換機類似于城市中的立交橋，它的主要功能是橋接其他網絡設備同(路由器、防火墻和無線接入點)，并連接客戶端設備(計算機、服務器、網絡攝像機和IP打印機)。簡而言之，交換機可以為網絡上所有的不同設備提供一個中心連接點。

防火墻的作是反病毒，入侵防御，URL過濾，文件過濾，內容過濾，應用行為控制，郵件過濾，防范常見DDoS攻擊，傳統的單包攻擊。這些三層交換機都沒有，是防火墻的特性。

信息系統安全等級保護流程如下：

1. 等保定級：信息系統安全等級，由系統運用、使用單位根據《信息系統安全等級保護定級指南》自主確定信息系統的安全保護等級，有主管部門的，應當經主管部門審批。對于擬確定為四級及以上信息系統，還應經專家評審會評審。新建信息系統在設計、規劃階段確定安全保護等級，雖然說的是自主定級，但是也得根據系統實際情況去定級，有行業指導文件的根據指導文件來，沒有文件的根據定級指南來。

2. 等級測評備案：運營、使用單位在確定等級后到所在地的市級及以上公安機關備案。新建二級及以上信息系統在投入運營后30日內、已運行的二級及以上信息系統在等級確定30日內備案。公安機關對信息系統備案情況進行審核，對符合要求的在10個工作日內頒發等級保護備案證明。對于定級不準的，應當重新定級、重新備案。對于重新定級的，公安機關一般會建議備案單位組織專家進行重新定級評審，并報上級主管部門審批。

3. 開展等級測評：運營、使用單位或者主管部門應當選擇合規測評機構，定期對信息系統安全等級狀況開展等級測評。三級及以上信息系統至少每年進行一次等級測評，四級及以上信息系統至少每半年進行一次等級測評，五級應當依據特殊安全需求進行等級測評。測評機構應當出具測評報告，并出具測評結果通知書，明示信息系統安全等級及測評結果。

4. 系統安全建設：運營使用單位按照管理規范和技術標準，選擇管理辦法要求的信息安全產品，建設符合等級要求的信息安全設施，建立安全組織，制定并落實安全管理制度。系統建設整改。對于未達到安全等級保護要求的，運營、使用單位應當進行整改。整改完成應當將整改報告報公安機關備案。

5. 監督檢查：公安機關依據信息安全等級保護管理規范，監督檢查運營使用單位開展等級保護工作，定期對信息系統進行安全檢查。運營使用單位應當接受公安機關的安全監督、檢查、指導，如實向公安機關提供有關材料。受理備案的公安機會對三級、四級信息系統進行檢查，檢查頻次同測評頻次。五級信息系統接受國家制定的專門部門檢查。新系統開發建設后，及時開展等級保護測評或相關安全測試，避免系統帶病上線，將安全隱患消除在萌芽狀態。

相對于其他審計數據源比操作系統審計記錄有以下特點：

• 數據源可靠性高：審計系統是安全操作系統的重要組成部分，安全操作系統為審計系統和審計記錄提供了安全保護措施。只有系統管理員才有權對審計系統進行配置與管理，包括特權用戶在內的其他用戶無權訪問與審計系統相關的數據，從而提高了審計記錄數據源的可靠性。

• 審計事件劃分粒度小：審計系統從操作系統低層獲取事件信息，沒有經過高層抽象，具有較小的事件粒度，因而為個體事件的追蹤奠定了基礎。例如，系統管理員可以設定對特定資源訪問的具體用戶行為進行審計，能夠對用戶的具體行為進行監督。此外，較小的事件粒度也使篡改和偽造審計記錄更加困難。

• 審計記錄具有連續性與完備性：只有系統管理員才有權決定審計系統的啟動與停止，審計系統的連續工作保證了審計記錄的連續性。此外，審計系統對審計記錄的存儲有嚴栺的管理，不會丟失任何設定的審計記錄，保證了審計記錄的完備性。

• 不同操作系統審計記錄數據栺式不兼容：針對某個操作系統審計記錄，建立的入侵檢測模型不能直接應用于其他操作系統審計記錄，降低了檢測模型的可移植性和可擴展性。由于針對不同操作系統設計的入侵檢測系統之間不能相互理解，為多個入侵檢測系統相互協作帶來了難題。

• 數據栺式不適應機器學習：審計記錄的數據栺式主要用于系統管理員閱讀和分析，操作系統開發商并沒有從滿足入侵檢測建模的需求設計審計記錄數據栺式。但入侵檢測系統需要使用機器學習算法訓練檢測模型，因此，在訓練檢測模型之前，不得不進行大量審計記錄預處理工作。

• 審計記錄數量龐大：由于審計記錄具有較小的事件粒度，而且審計事件數量眾多，導致審計記錄數量十分龐大。必須對原始審計記錄進行精簡，過濾掉審計記錄中與入侵檢測無關的冗余信息。否則，將占用過多的存儲和計算資源。

以SaaS型堡壘機添加主機為例，具體操作步驟如下：

1. 以管理員身份登錄SaaS型堡壘機的控制臺；

2. 在 SaaS 型堡壘機控制臺，在左側導航選擇資產管理 > 主機資產，進入主機資產頁面；

   

3. 在主機資產頁面，單擊添加主機，彈出添加主機窗口；

4. 在添加主機窗口中，需配置主機IP、操作系統類型、管理端口、主機名稱等主機信息；

   

5. 主機信息配置完成之后，單擊確定，即可創建主機。

工業防火墻的缺點：

• 無法防止繞過它的攻擊行為，一旦惡意代碼通過移動存儲介質等進入系統內部，工業防火墻的防護就會相當乏力。

• 不能防范全新的威脅，更不能防止可物理接觸的人或自然的破壞。

• 沒有對整個系統進行監控，不能很好地記錄攻擊時間、特點以及造成的影響，使得網絡管理員不便對工業控制系統進行安全加固。

• 不能抵抗最新的未設置策略的攻擊漏洞。

• 工業防火墻的并發連接數限制容易導致擁塞或者溢出。

• 對服務器合法開放的端口的攻擊大多無法阻止。

• 對待內部主動發起連接的攻擊一般無法阻止。

• 工業防火墻本身也會出現問題和受到攻擊，依然有著漏洞和Bug。

• 不能阻止已染病毒程序和文件的傳輸。

USB Key存在的主要安全風險包括以下三個方面：

• 個人識別密碼(PIN碼) 存在被獲取的風險，可導致攻擊者獲取USB Key的使用權限。

• 私鑰存在被獲取，算改的風險，可導致USB Key被隨意復制。

• USB密鑰存在被黑客遠程劫持的風險，使用戶在不知情的情況下使用USB密鑰內部私鑰進行加解密計算，達到偽造簽名的攻擊目的。

自檢檢測方法如下：

1. 查看系統的進程看是否有可疑進程；

2. 查看是否有可疑的外網ip地址連接到系統；

3. 查看時間查看器看服務文件名是否有可疑的；

4. 查看系統是否有特殊的彈窗等；

5. 在平時使用過程中看系統是不是運行速度變慢等。

惡意代碼的動態分析技術手段有以下這些：

• 快照比對：對原始的“干凈”系統資源列表做一個快照，然后激活惡意代碼并給予充分的運行時間，如5分鐘，之后我們再對惡意代碼運行后“臟”的系統資料列表進行快照，并對比兩個快照之間的差異，從而獲取惡意代碼行為對系統所造成的影響。常使用的工具有FileSnap、RegSnap，完美卸載等。

• 系統動態行為監控：是目前惡意代碼動態行為分析中最為核心和常用的技術步驟，針對惡意代碼對文件系統、運行進程列表、注冊表、本地網絡棧等方面的行為動作，進行實時監視、記錄和顯示。

• 網絡協議棧監控方法：可從本地網絡上的其他主機來檢測承受惡意代碼攻擊的機器的行為，如惡意代碼所開放的TCP或UDP端口，對外發起的網絡連接和通信會話等。

• 沙箱技術：沙箱是不項安全技術，它提供了受限制的執行環境，使得在沙箱中運行的代碼不能修改用戶系統，從而提供了一個用于運行不可信程序的安全環境。

• 虛擬網絡檢測：必要的時候，需要從本機模擬出一個虛擬的網絡應答來響應惡意代碼的網絡訪問，監控其網絡動態，從而了解網絡相關特性。

避免惡意軟件侵害的方法有以下這些：

• 安裝和維護防病毒軟件：防病毒軟件可識別惡意軟件并保護我們的計算機免受惡意軟件侵害。安裝來自信譽良好的供應商的防病毒軟件是預防和檢測感染的重要步驟。始終直接訪問供應商網站，而不是點擊廣告或電子郵件鏈接。由于攻擊者不斷地制造新病毒和其他形式的惡意代碼，因此保持我們使用的防病毒軟件保持最新非常重要。

• 謹慎使用鏈接和附件：在使用電子郵件和網絡瀏覽器時采取適當的預防措施以降低感染風險。警惕未經請求的電子郵件附件，并在單擊電子郵件鏈接時小心謹慎，即使它們貌似來自我們認識的人。

• 阻止彈出廣告：彈出窗口阻止程序禁用可能包含惡意代碼的窗口。大多數瀏覽器都有一個免費功能，可以啟用它來阻止彈出廣告。

• 使用權限有限的帳戶：瀏覽網頁時，使用權限有限的賬戶是一種很好的安全做法。如果我們確實受到感染，受限權限可防止惡意代碼傳播并升級到管理賬戶。

• 禁用外部媒體自動運行和自動播放功能：禁用自動運行和自動播放功能可防止感染惡意代碼的外部媒體在我們的計算機上自動運行。

• 更改密碼：如果我們認為我們的計算機受到感染，應該及時更改我們的密碼（口令）。這包括可能已緩存在我們的網絡瀏覽器中的任何網站密碼。創建和使用強密碼，使攻擊者難以猜測。

• 保持軟件更新：在我們的計算機上安裝軟件補丁，這樣攻擊者就不會利用已知漏洞。如果可用，請考慮啟用自動更新。

• 資料備份：定期將我們的文檔、照片和重要電子郵件備份到云或外部硬盤驅動器。如果發生感染，我們的信息不會丟失。

• 安裝或啟用防火墻：防火墻可以通過在惡意流量進入我們的計算機之前阻止它來防止某些類型的感染。一些操作系統包括防火墻；如果我們使用的操作系統包含一個防火墻，請啟用它。

• 使用反間諜軟件工具：間諜軟件是一種常見的病毒源，但可以通過使用識別和刪除間諜軟件的程序來最大程度地減少感染。大多數防病毒軟件都包含反間諜軟件選項，確保啟用。

• 監控賬戶：尋找任何未經授權的使用或異常活動，尤其是銀行賬戶。如果我們發現未經授權或異常的活動，請立即聯系我們的賬戶提供商。

• 避免使用公共Wi-Fi：不安全的公共 Wi-Fi 可能允許攻擊者攔截我們設備的網絡流量并訪問我們的個人信息。

虛擬化安全手段有以下這些：

• 虛擬防火墻：通過虛擬防火墻對虛擬機中各應用系統之間進行安全防護和訪問控制，監控和限制各應用系統之間的流量，同時對用戶防火墻進行統一集中管理。

• 虛擬機安全管理：由于適應云計算的靈活性和彈性的需求，虛擬機往往易創建且可遷移，這容易導致虛擬機蔓延現象，且遷移過程中容易受到攻擊，需要對虛擬機本身安全進行管理。

• 虛擬機隔離：云計算中，同一物理機上運行著多臺虛擬機。防止虛擬機之間的信息泄漏，必須進行隔離，除虛擬機之間的隔離外，還包含內存、共享存儲空間、共享數據之間的隔離。

• 虛擬機漏洞管理：云計算中大量的虛擬機本身可能存在漏洞，難以絕對安全，需要對虛擬機的漏洞進行自動管理，彌補其安全問題。

• 虛擬機監視：云計算中往往多臺虛擬機能夠運行在同一物理機上，并且可以在不同物理機的虛擬環境中遷移，入侵后的虛擬機對整個云計算環境具有極大的威脅，需要對虛擬機進行監視。

等級保護由公安局的網安支隊執行，網安支隊監督是檢查、指導、協調全市公共信息網絡和國際互聯網的安全保護及管理工作，指導全市公安機關互聯網監控點建設和網上信息監控工作，查處危害公共信息網絡的違法犯罪案件，負責全市網吧安全管理工作及網吧違法案件的查處工作，負責重點領域計算機的安全管理工作。

公共信息網絡安全監察是國家賦予公安機關的一項重要職能，是公安機關在互聯網信息網絡領域承擔的 一項重要安全保衛任務。公共信息網絡安全監察部門是以網絡技術為主要手段，集情報信息、偵察控制 、打擊犯罪、防范管理于一體的實戰部門。

防火墻服務被禁用無法打開原因：

• 出現這種問題最常見的原因就是有關防火墻的注冊表的start的值設置有問題，如果是該值設置為2則就會禁用服務，可以將該值設置為4即可解決該問題；

• 出現這種問題可以使用的windows系統版本不是正版，缺少版本更新，這種情況建議使用正版操作系統，如果不能使用正版操作系統可以及時更新。

解決方法：

1. 右鍵點擊Win10 開始菜單，然后選擇“運行”；

2. 然后在運行中輸入 “Services.msc”回車，打開本地服務；

3. 然后在服務中找到“Windows Firewall”服務，該項就是防火墻的主服務了；

4. 雙擊打開該服務后，將驅動類型設置為“自動”，然后點擊應用；

5. 最后點擊“啟動”按鈕，來啟動防火墻服務；

6. OK，服務驅動后，win10防火墻啟動成功。

提權的方式有以下幾種：

• 系統漏洞提權：查看系統是什么版本、打了什么補丁，然后去網上找存在什么樣的漏洞，然后找對應的提權工具。

• 服務組件漏洞提權：服務組件本身就可能存在漏洞（比如redis軟件漏洞），而不同服務組件用了不同權限。例如網站權限低，數據庫權限高，那么我們就可以想辦法從數據庫入手，進行SQL注入提升權限。再例如：目標機器上運行了一些其他的服務，然后這些服務只能從內部訪問，然后我們也可以調用過來用。(例如：FTP、Redis等等) 。

• 利用高權限網站寫webshell提權：目標上開了兩個網站，然后A、B網站權限不同，利用高權限的網站來寫webwhell，就能拿到高的權限。

• 通過CVE-2015-1701進行提權：一旦發現有漏洞未修復，那么攻擊者就可以對這些漏洞進行利用，就在這個例子中可以發現MS15-051沒有修復，我們就可以使用metasploit中的模塊進行利用。

• 利用錯誤配置進行提權：在一個完全將補丁打好的機器中，攻擊者就需要利用他們手里的0day漏洞進行攻擊。那么如果沒有0day就不能提權成功嗎？不存在的，仍可以通過系統的不正確的配置嘗試提權。一個常見的系統錯誤配置就是一些服務并沒有做安全限制，允許攻擊者注入到他們的進程當中，進而實現權限提升。在這種情況下，我們可以使用powersploit中的Powerup腳本進行快速探測。

常見的網絡配置方面的脆弱性體現在以下幾方面：

• 弱網絡安全架構:工業控制系統中的基礎設施網絡環境經常隨著運行需求的改變而不斷修改和完善，但在此過程中極少考慮這些變化對系統潛在的安全影響。隨著時間的延續，信息安全問題將在網絡環境的特定部分不斷累積，如果不及時打補丁，這些安全問題將成為工業控制系統中的后門。

• 沒有嚴格進行數據流控制:數據流控制機制，如訪問控制列表（ACL），可以用來明確限定哪些系統可以訪問網絡設備。一般情況下只有網絡管理者可以直接訪問網絡設備，數據流控制機制將確保其他系統不能直接訪問設備。

• IT設備中不全面的信息安全配置:使用出廠設備的默認配置通常會導致開放不安全、不必要的端口，并暴露出主機上可被利用的服務。不正確地配置防火墻策略和路由器訪問控制列表將在網絡中產生很多不必要的流量。

• 網絡設備的配置沒有被存儲或備份:發生事故或出現由敵對分子造成的配置改變的情形時，必須有恢復網絡設備配置的技術機制，以確保系統的可用性并保證數據不會遺失。需要設計規范的流程來確保網絡設備的配置可以被存儲和備份。

• 登錄口令在傳輸過程中沒有進行加密:登錄口令以明文形式在通信介質中傳輸時非常容易被惡意攻擊者監聽，惡意攻擊者可以利用監聽到的口令獲取對網絡設備的非法訪問。此類非法訪問過程將允許惡意攻擊者中斷工業控制系統運行，或者非法監視工業控制系統的網絡行為。

• 登錄口令被簡單地保存在網絡設備中:登錄口令需要進行周期性的更換，如果一個口令被非法用戶掌握，該非法用戶只能在短時間內對網絡設備進行未授權訪問。這種非法訪問有可能使惡意攻擊者有條件中斷工業控制系統的正常運行或非法監聽工業控制系統的敏感數據。

• 不合理的訪問控制機制:惡意用戶對網絡設備和管理員功能的非授權訪問將導致用戶可以隨意中斷工業控制系統的正常運行，或非法監聽工業控制系統的敏感操作，一些工業控制系統在運行過程中很容易受到畸形數據包或含有非法或異常現場數據報文的干擾。

• 工業控制系統中大量使用不安全的控制協議:分布式網絡協議Modbus、PROFIBUS以及IEC有關協議等在工業控制系統中應用普遍，并且其有關信息很容易從各種渠道獲取，這些協議只有很少的信息安全措施或根本沒有安全防護機制。

• 使用非加密報文:大多數工業控制系統協議在通信信道中使用明文傳輸協議報文，惡意攻擊者很容易監聽并分析報文內容。

• 系統中運行一些不必要的服務:工業控制系統設備平臺因默認配置而具有很多不同類型的處理器和網絡服務，其中那些不需要的服務一般很少被禁用，容易被惡意攻擊者利用。

• 經常使用已經在各種技術研討會或期刊雜志上討論過的專用軟件:工業控制系統專用軟件問題已經在工控網領域的國際會談上討論過，并可以在很多技術文獻和期刊中找到相關材料。并且，控制系統的用戶使用手冊等技術材料可以從設備提供商處獲取。這些信息可以幫助惡意攻擊者成功實施針對工業控制系統的攻擊行動。

• 設備配置和軟件開發過程中并不充分鑒別和訪問控制機制:設備配置和軟件開發過程中未經授權的訪問可能導致設備破壞。

檢測網站是否被入侵方法如下：

1. 通過SITE頂級域名查詢看是否被注入垃圾頁面等；

2. 查看日志文件看是否有其他不同于自己網頁的開發語言的網頁；

3. 通過ftp工具或者登陸vps服務器，看網站根目錄文件里面的文件名，有沒有異常，觀察是否有大小寫混合的目錄，如果有查看是否被注入；

4. 檢查首頁、導航欄、列表頁、文章頁甚至死鏈看是否被掛上黑鏈；

5. 訪問網頁的js文件看是否有除了我們網址以外其它的絕對地址；

6. 使用木馬掃描工具對網站進行掃描木馬檢查；

7. 使用waf來清除惡意文件和查找敏感文件；

8. 查看網站根目錄看是否有不符合命名規律的文件；

9. 刪除網站中的無用界面和404頁面，對刪除測試api接口；