maltrail是一个通过流量监测出恶意软件的程序,通过公开的含有恶意软件的黑名单,通过对用户的网络访问请求进行分析,判断其使用访问了恶意软件的服务器地址,下载链接,可疑域名,可疑文件名来判断是否遭受了恶意软件的感染。https://github.com/stamparm/maltrail
Cuckoo是一款开源的自动化恶意软件分析系统,目前主要用于分析windows平台下的恶意软件,但其框架同时支持Linux和Mac OS。cuckoo能够自动化获取如下信息:1.能够跟踪恶意软件进程及其产生的所有进程的win32 API调用记录;2.能够检测恶意软件的文件创建、删除和下载;3.能够获取恶意软件进程的内存镜像;4.能够获取系统全部内存镜像,方便其他工具进行进一步分析;5.能够以pac
离线分析 缺点:特征匹配 1.误报大 logswan 360星图 elk时时分析 splunk
这篇文章把Dns分为两种,一种是主机或嵌入式设备dns,一种是网站域名dns,来讲述dns沦陷之后带来的危害。一:路由器dns劫持 你本地的网络连接的dns是通过路由器获取的,假如有一天你家里的路由被黑客入侵了,入侵者修改了你家里路由器的dns,那么他可以对你访问记录非常清楚,如系在文件,流量记录。既然解析都通过dns,我们完全可以自建dns,来进
JumpServer http://www.jumpserver.org/CrazyEye https://github.com/triaquae/CrazyEye
Tiger 是一个完全由shell脚本编写的UNIX的免费、开源安全工具,适用于安全审计和入侵检测。Tiger的特性:1)模块化设计,使得它扩展性比较强,2)多用途,可用于主机审计和入侵检测。Tiger的优点:从目前来说,在网络上有很多免费的入侵检测工具,检测方面也囊括了多个层面,目前主要的检测方面如下,1)网络层面的入侵检测2)Linux内核补丁入侵检测,例如像LIDS(作为内核补丁和系统管理员
AIDE(Advanced Intrusion Detection Environment)是一款针对文件和目录进行完整性对比检查的程序,它被开发成Tripwire的一个替代品。AIDE如何工作 这款工具年纪也不小了,相对来同类工具Tripwire说,它的操作也更加简单。它需要对系统做快照,记录下HASH值,修改时间,以及管理员对文件做的预处理。这个快
ssh批量管理 批量执行命令
了解公司组织架构公司网络划分准接入控制入侵检测能力应急响应能力后续的员工安全意识培训 sdl制定 渗透测试 web bash等日志的审计。系统与网络安全确保资产的100%准确,才能找到最短的板找到边界,才能实施好边界安全措施收购公司、合作公司,当资产的数量级上升后,无法确保新增加资产的准确性边界安全:ACL用途、IP白名单用途、端口用途问题:时间、人员变动均会影响,ACL用途、IP白名单用途、端口
办公网络划分 (前台 运维 开发 访客)准接入控制 (802.1x dhcp准入控制)内网安全防护 (Arp DHCP Snooping smb)
mark下等腾出时间来 做下这方面的事情。
IDS、IPS有Snort和Suricata,日志转换有barnyard2,前端web显示有Snorby和Base,虚拟防火墙pfsense可集成IDS、IPS。 等搭建完成 贴出过程。
ServerMask
提供了RDP、VNC、XDMCP、SSH等远程连接协议的支持
单向认证,就是传输的数据加密过了,但是不会校验客户端的来源 双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址 如果只是加密,我感觉单向就行了。 如果想要用系统的人没有证书就访问不了系统的话,就采用双向 http://xiaohuafyle.iteye.com/blog/1538719
寻找内网主机被入侵的方法1.流量审计 流量审计基于白名单ip,异常流量。2.日志审计 日志审计有客户端,客户端回传各种日志,进行本地分析3.行为审计 行为审计有客户端, 客户端回传行为日志。
命令:chpasswd批量修改用户密码工作原理:从系统的标准输入读入用户的名称和口令,并利用这些信息来更新系统上已存在的用户的口令语法:1:# echo 用户名:密码 | chpasswd2:# chpasswd < doiido.txt参数:-e :如果使用了-e选项,口令将只能以加密的方式传递如果未使用-e选项,口令将按明文的形式传递注意事项1:用户名必须是系统上已存在的用户2:普通用户
360网站服务监控http://jk.cloud.360.cn/阿里云监控http://www.aliyun.com/product/jiankong/DNSPod监控https://www.dnspod.cn/百度云观测http://ce.baidu.com/监控宝http://www.jiankongbao.com/小蜜蜂网站检测http://www.webxmf.com/我的E站http:/
常见的网络监控模式可以分为两种:一种是旁路监控模式,另一种是串联监控模式。“旁路监控模式”一般是指通过交换机等网络设备的“端口镜像”功能来实现监控,在此模式下,监控设备只需要连接到交换机的指定镜像端口,所以形象的称之为“旁路监控”。而串联模式一般是通过网关、网桥或者代理服务器的模式来进行监控,由于监控设备做为网关或者网桥串联在网络中,所以称之为“串联监控模式”。旁路模式的优缺点优点:旁路监控模式部
RewriteEngine OnRewriteCond %{HTTP_USER_AGENT} ^w3af.sourceforge.net [NC,OR]RewriteCond %{HTTP_USER_AGENT} dirbuster [NC,OR]RewriteCond %{HTTP_USER_AGENT} nikto [NC,OR]RewriteCond %{HTTP_USER_AGENT} S
1、vi编辑过的文件自动产生备份文件。在使用 vi 编辑文件的时候,总是自动生成了一个备份文件xx~,在以后编辑寻找文件名的时候,由于shell自动补全的时候,发现还有一个类似 xx~的文件,也就无法一次补全匹配了。查看了一下 /etc/virc 文件,大约在25行左右发现这么一段:if has(”vms”)set nobackup &nbs
1. 为避免修改失误,请先备份你的 Apache 配置文件 httpd.conf,该配置文件的路径是: C:\Program Files\Apache Software Foundation\Apache2.2\conf\httpd.conf 2. 打开 http.conf 文件,找到 DocumentRoot 为开头的那一行,将 DocumentRoot "C:/Program Files/Ap
经常看到许多人问如何配置JDK和JSP,现在我把方法总结下,希望对大家有所帮助。第一步:下载jdk和tomcat第二步:安装和配置你的jdk和tomcat:执行jdk和tomcat的安装程序,然后设置按照路径进行安装即可。1.安装jdk以后,需要配置一下环境变量,在我的电脑->属性->高级->环境变量->系统变量中添加以下环境变量(假定你的jdk安装在c:\jdk1.6):
修改用户口令时效机制修改用户口令有效机制可有效的防止用户离开工作岗位一段时间后,其账户自动失效,就算管理员忘记删除该账户,该账户也不会给系统带来危害。1、/etc/login.defs“/etc/login.defs”文件是当创建一个用户时的一些规划,比如创建用户时,是否需要家目录,UID和GID的范围以及用户的期限等等,这个文件是可以通过root来定义的。可通过“vim /etc/login.d
LINUX下非交互加入非root用户 可使用如下命令:test11/test123 useradd -p `openssl passwd test123` test11 下面加入root权限用户:test11/test123useradd -o -u 0 -g 0 –p `openssl passwd test123` test11或者useradd -p `openssl passwd -1 -
Linux内核版本有两种:稳定版和开发版 ,Linux内核版本号由3个数字组成:r.x.y r:目前发布的内核主版本。 x:偶数表示稳定版本;奇数表示开发中版本。 y:错误修补的次数。内核版本号每位都代表什么 ? 以版本号为例: 2.6.9-5.ELsmp , r: 2 , 主版本号
1.打开aspx文件报错: The current identity (NT AUTHORITY/NETWORK SERVICE) does not have write access to 'C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727 解决办法: 在“开始”-“运行”里输入如入命令,回车,搞定 &nbs
打开iis管理器 web服务器扩展: 1.单击右键添加一个web服务扩展 2.输入扩展名 3.添加扩展路径:C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_isapi.dll 4.单击扩展名 点击允许 注:C:\WINDOWS\Microsoft.NET\
Windows NT 4.0 Microsoft Windows 95Windows NT 4.1 Microsoft Windows 98Windows NT 4.9 Microsoft Windows MeWindows NT 5.0 Microsoft Windows 2000Windows NT 5.1 Microsoft Win
某服务器被扫肉鸡的黑客黑了,上去以后发现任务管理器无法使用,taskkill等命令均无法使用。net user 一下看到有hacker$的帐户。“计算机管理”里“本地用户和组”已经打不开了,组策略编辑器也打不开了。sethc啥的改了,也留了一堆马。导致服务器远程下慢的不行。先把恢复这几个的经验讲一下。1.taskkill以及taskmgr等exe,直接查看权限,发现已经不属于任何用
Copyright © 2005-2023 51CTO.COM 版权所有 京ICP证060544号
