Linux初级工程师知识竞赛题库及答案（158题）

D.(源IP=192.168.46.65或者源IP=192.168.46.55)并且(目的IP=136.243.49.177或者目的IP=216.245.213.78)

16、某项目现场在第二季度巡检后，发现主机192.168.50.163存在木马程序，释放挖矿病毒，访问w.fbniunws[.]com和v.ldbnpioerno[.]com（31.0.70.44、31.0.247.76、31.0.74.250），现需要进行内网资产全面评估与溯源分析，以下筛选规则最准确的是（）

A.(攻击时间区间2050-02-1100:00:00-2050-05-1123:59:59)并且(源IP=192.168.50.163)

B.源IP=192.168.50.163或者目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250

C.目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250(正确答案)

E.(攻击时间区间2050-02-1100:00:00-2050-05-1123:59:59)并且(源IP=192.168.50.163)并且(目的IP=31.0.70.44或者目的IP=31.0.247.76或者目的IP=31.0.74.250)

17、第一次分析某客户的全流量告警，应该（）

A、直接看设备中的告警

B、提前向现场运维要设备部署区域、客户资产清单等基础信息(正确答案)

C、只看设备中命中威胁等级为高的告警

D、在分析告警的时候再和现场运维沟通

18、在全流量中发现告警，发现攻击者请求内容为http://127.0.0.1/sqllib/Less-1/？id=-1%27union%20select%201,group（）concat(schema（）name),3%20from%20information（）schema.schemata–+，攻击者的攻击方式为:

A、SQL注入(正确答案)

B、跨站脚本攻击

C、上传木马

D、爆破账户密码

19、你在设备上发现了一条告警，被攻击的端口为3389，该端口最有可能是（）:

A、mysql数据库开放端口

B、redis数据库开放端口

C、Windows远程桌面的服务端口(正确答案)

D、ssh端口

20、在全流量设备上发现用户存在弱口令登录行为，你不应该（）:

A、记录后继续分析，检查是否还有其他用户使用相同弱口令

B、通知现场的运维，进行告警验证

C、直接登录发现弱口令的账号，查看里面的敏感信息(正确答案)

D、编写报告时，记录该问题

21、在分析时，你发现全流量设备存储的数据时间跨度很长，数据量巨大，告警非常多，你不应该（）:

A、直接进行分析(正确答案)

B、通知现场运维注意设备内存情况

C、加载合适时间段的告警后开始分析

D、针对客户的资产创建子快照，针对分析

22、在分析CS架构的全流量设备时，你想具体分析192.168.49.60对192.168.20.30的80端口使用的http协议的攻击，你应该如何写搜索表达式（）:

A、(ip.dst==192.168.20.30and(protocol==HTTPand((port.dst==80)andip.src==192.168.49.60)))(正确答案)

B、(ip.dst==192.168.49.60and(protocol==HTTPand((port.dst==80)andip.src==192.168.20.30)))

C、(ip.dst==192.168.20.30and(protocol==TCPand((port.dst==80)andip.src==192.168.49.60)))

D、(ip.dst==192.168.49.60and(protocol==TCPand((port.src==80)andip.src==192.168.20.30)))

23、在第一次分析某客户流量告警时，发现有一内网IP对内网其他应用有持续的攻击行为，你的判断/做法是（）:

★《布宫号》提醒您：民俗信仰仅供参考，请勿过度迷信！