常見問題

• Linux中Apche日誌檔案在哪？
  /var/log/apche2/access.log
• Linux如何實現許可權維持？
  1. suid後門
  2. 計劃任務後門
  3. cat命令缺陷後門
• XFF欄位原理(顯示真實IP地址)
  X-Forwarded-For(XFF)是一個HTTP頭部欄位，主要用於跟蹤請求從客戶端到伺服器的傳遞路徑，主要在HTTP請求被代理或者負載均衡時使用。
  XFF欄位可以被代理伺服器新增到請求中，以記錄原始請求的IP地址。如果有多個代理，XFF可以包含一個或多個IP地址，列表中每個IP地址代表一箇中間代理。
  X-Forwarded-For: client1, proxy1, proxy2
  client1：真正發起請求的客戶端IP地址，proxy1、proxy2是中間經過的代理伺服器地址。
• XFF注入如何利用？
  攻擊者透過修改XFF標頭欄位來偽造IP地址，使伺服器誤以為請求來自另一個客戶端。攻擊者根據該IP地址執行授權、身份驗證或其他與安全相關的操作：
  1、偽造請求：攻擊者使用其他使用者的IP地址傳送請求，繞過訪問控制或執行操作，導致未授權訪問或資料洩露
  2、資源耗盡：透過偽造大量不同的IP地址，攻擊者可以使伺服器超負荷，導致伺服器不可用。
  3、使用者追蹤：在使用者會話之間偽造不同的IP地址，洩露隱私。
• DNS劫持
  1、本地DNS劫持攻擊：透過使用者植入惡意的軟體然後修改本地的DNS設定，透過這樣的手段讓使用者訪問被重定向，讓正常訪問變成訪問到惡意網站
  2、路由器DNS劫持攻擊：路由器是固定設定，攻擊者透過漏洞來攻擊所有連結的使用者；也可以透過密碼來接管路由器
  3、流氓DNS伺服器：攻擊會透過控制的DNS伺服器，將DNS重定向到惡意站點，使用者使用或被篡改成DNS伺服器時，就會訪問到惡意站點。
• DNS外帶劫持
  攻擊者將資料嵌入到DNS查詢中，將嵌入資料的DNS查詢傳送到一個能夠捕獲查詢的伺服器平臺，伺服器捕獲查詢後，解析查詢獲取嵌入的資料，從而實現資料傳輸或執行遠端命令。
• CS流量特徵
  1、心跳包特徵：間隔一定時間，均有通訊，且流級上的上下行資料長度固定
  2、域名/IP特徵：
  1.不走CDN、域前置的、域名及IP暴露
  2.走CDN、域前置的，真實IP會被隱藏
  3、指令特診：
  1、下發指令時，透過心跳包接受指令，server端返回的資料包更長，甚至包含要載入的DII模組資料。
  2、指令執行完，client端透過POST請求傳送執行的結果資料，body部分透過加密和base64編碼
  3、不同指令，執行的時間間隔不一樣，可以透過POST請求和GET請求的間隔時間進行判斷。
  4、資料特徵：在請求的返回包中，通訊資料均隱藏在jqeury*.js中。