专栏首页Netkiller植入式攻击入侵检测解决方案

植入式攻击入侵检测解决方案

植入式攻击入侵检测解决方案


目录

  • 1. 什么是植入式攻击?
  • 2. 为什么骇客会在你的系统里面植入木马?
  • 3. 什么时候被挂马?
  • 4. 在那里挂马的?
  • 5. 谁会在你的系统里挂马?
  • 6. 怎样监控植入式攻击
    • 6.1. 程序与数据分离
    • 6.2. 监控文件变化
    • 6.3. 安装日志收集程序
  • 7. 延伸阅读

1. 什么是植入式攻击?

什么是植入式攻击,通俗的说就是挂马,通过各种手段将木马上传到你的系统,修改原有程序,或者伪装程序是你很难发现,常住系统等等。

2. 为什么骇客会在你的系统里面植入木马?

通常挂马攻击骇客都是有目的的很少会破坏你的系统,而是利用你的系统。

例如,使用你的网络作DDOS攻击,下载你的数据资料卖钱等等

3. 什么时候被挂马?

有时你到一家新公司,接手一堆烂摊子,俗称“擦屁股”。这是中国是离职,中国式裁员,中国式工作交接.....的结果,各种奇葩等着你。

你接手第一项工作就是工作交接,最重要的工作可能就是检查系统后门。通常工作交接少有积极配合的,全要靠你自己。

4. 在那里挂马的?

在我多年的工作中遇到过很多种形式挂马,有基于Linux的rootkit,有PHP脚本挂马,Java挂马,ASP挂马。通常骇客会植入数据库浏览工具,文件目录管理工具,压缩解压工具等等。

5. 谁会在你的系统里挂马?

98%是骇客入侵,1%是内人干的,1%是开后门仅仅为了工作方便。

本文对现有的系统无能为力,只能监控新的入侵植入

6. 怎样监控植入式攻击

6.1. 程序与数据分离

程序包括脚本,变异文件等等,通常是只读权限

数据是指由程序生成的文件,例如日志

将程序与数据分离,存放在不同目录,设置不同权限, 请关注“延伸阅读”中的文章,里面有详细介绍,这里略过。

我们这里关注一旦运行的程序被撰改怎么办,包括入侵进入与合法进入。总之我们要能快速知道那些程序文件被修改。前提是我们要将程序与数据分离,才能更好地监控程序目录。

6.2. 监控文件变化

我使用 Incron 监控文件变化

# yum install -y incron
# systemctl enable incrond
# systemctl start incrond			

安装日志推送程序

$ git clone https://github.com/netkiller/logging.git
$ cd logging
$ python3 setup.py sdist
$ python3 setup.py install			

配置触发事件

# incrontab -e
/etc IN_MODIFY /srv/bin/monitor.sh $@/$#
/www IN_MODIFY /srv/bin/monitor.sh $@/$#

# incrontab -l
/etc IN_MODIFY /srv/bin/monitor.sh $@/$#
/www IN_MODIFY /srv/bin/monitor.sh $@/$#			

/srv/bin/monitor.sh 脚本

# cat /srv/bin/monitor.sh
#!/bin/bash
echo $@ | /usr/local/bin/rlog -d -H 172.16.0.10 -p 1220 --stdin						

/etc 与 /www 目录中的任何文件被修改都回运行/srv/bin/monitor.sh脚本,/srv/bin/monitor.sh脚本通过/usr/local/bin/rlog程序将文件路径数据发给远程主机172.16.0.10。

6.3. 安装日志收集程序

$ git clone https://github.com/netkiller/logging.git
$ cd logging
$ python3 setup.py sdist
$ python3 setup.py install				

配置收集端端口,编辑文件logging/init.d/ucollection

			done << EOF
1220 /backup/172.16.0.10/incron.log
1221 /backup/172.16.0.11/incron.log
1222 /backup/172.16.0.12/incron.log
EOF			

然后根据incron.log给相关管理人员发送邮件或短信警报等等,关于怎么发邮件与短信不再本文谈论范围,有兴趣留意我的官网。

本文分享自微信公众号 - Netkiller(netkiller-ebook),作者:景峯

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-06-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 经验限制了你的想象力

    昨天我写了一篇文章关于厨余垃圾处理器的使用经验和心得分享,这是我使用厨余垃圾处理器两年中积累的一些经验,我将这边文章发送到朋友圈中,在群里推荐朋友们安装这个厨房...

    netkiller old
  • Spring boot with Thymeleaf

    本文节选自电子书《Netkiller Java 手札》 5.19. Spring boot with Thymeleaf 5.19.1. Maven <dep...

    netkiller old
  • Email 服务器之 SPF 记录

    节选自《Netkiller Mail 手札》 6.1. Sender Policy Framework 6.1.1. 分析 SPF 记录 从主域开始查看 txt...

    netkiller old
  • Web前端:看完这些终于知道为什么HTML5开启了一个时代

    各大公司的支持 ? ? HTML5的优势 1、HTML5移动优先 随着高端手机(Andriod、Iphone、Ipod、winphone)的盛行,移动互联应用开...

    企鹅号小编
  • HTML5发展历程

    HTML5发展历程 HTML5学堂:HTML5应该说是一个新名词了,由最初的网页设计与制作,发展到WEB前端开发工程师,又演变出HTML5的“新名词”。那么H...

    HTML5学堂
  • 基于HTML5技术的电力3D监控应用(二)

    上篇介绍了我们电力项目的基本情况,我们选用HTML5技术还是顶着很大压力,毕竟HTML5技术性能行不行,浏览器兼容性会不会有问题,这些在项目选型阶段还是充满疑惑...

    HT for Web
  • 原 荐 基于HTML5技术的电力3D监控应用

    HT_hightopo
  • 【专业技术】使用html5的十大原因

    你难道还没有考虑使用HTML5? 当然我猜想你可能有自己的原因;它现在还没有被广泛的支持,在IE中不好使,或者你就是喜欢写比较严格的XHTML代码。HT...

    程序员互动联盟
  • 行业丨小程序助力家居行业场景消费

    “场景”二字相当于用一种假设的方式,告诉用户在某种情况下,你将需要这个产品。简单来说,“场景”也是一种营销的手法,让用户觉得他们需要提前预防或准备某种情境的到...

    极客小程序分享
  • 历时八年 HTML5标准终于制定完成

    HTML5是如今最先进的WEB开发技术,虽然已经沿用了多年,但是HTML5的技术标准,其实上并未明确制定完成。日前,互联网权威技术组织万维网联盟(W3C)正式...

    腾讯研究院

扫码关注云+社区

领取腾讯云代金券