展开

关键词

Linux工具 - RKHunter

RKHunter是Linux系统平台下的一款开源工具 特点 (1)安装便捷,运行快速 (2)扫描范围全,能够各种已知的rootkit特征码、端口扫描、常用程序文件的变动情况查 主要功能 ( 1)MD5校验试,任何文件是否改动 (2)rootkits使用的二进制和系统工具文件 (3)木马程序的特征码 (4)大多常用程序的文件异常属性 (5)扫描任何混杂模式下的接口和后门程序常用的端口 (6)如etcrc.d目录下的所有配置文件、日志文件、任何异常的隐藏文件等等 使用方式 执行 rkhunter 的查命令 # rkhunter -c rkhunter会进行一系列的,有问题的部分会给出红色的 Warning 警告,就需要你对这些问题进行处理了 rkhunter是通过自己的库来查的,所以保持库最新非常重要,更新库的命令: # rkhunter --update 最好加到系统的定时任务中 安装 官网 http:rkhunter.sourceforge.net 下载后解压,我下的是1.4.2版本 tar zxf rkhunter-1.4.2.tar.gz 进解压后的目录执行安装脚本,非常快

1.3K71

使用PSADCVM

简介网络的应用程序可以监控可疑流量并试安全漏洞的网络接口。在本文中,我们将配置一个名为psad工具来监控我们的防火墙日志,并确定是否有问题。 系统用于记录可疑连接,并在发生异常活动时进行报告。有些程序纯粹用于系统通知,而其他程序可以主动尝试阻止似乎意图造成伤害的流量。 此限制是来自单个IP地址可以生成的电子邮件。让我们保存并关闭文件。psad现在我们已经有了基本的psad配置,并且具有警报功能,我们可以实施我们的策略并激活我们的系统。 防御我们可以试它是如何工作的。 此工具与其他资源相结合,可以提供相当好的覆盖范围,以便能够企图。

63550
  • 广告
    关闭

    90+款云产品免费体验

    提供包括云服务器,云数据库在内的90+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    什么是系统?

    对信息战的各种抵抗措施都可归结为三类:保护、、响应。 **保护** (的防范)指保护硬件、软件、抵御各种攻击的技术。 **响应** (的响应)是之后的处理工作,主要包括损失评估,根除者留下的后门,恢复,收者留下的证等。这三种安全措施构成完整的信息战防御系统。 1.滥用对已知的知识,在输事件中。这种方法不关心正常行为,只研究已知,能较准确地已知,但对未知能力有限。目前大多的商业IDS都使用此类方法。 目前研究的热点之一是噪声学习。 8.混合 上述两类方法各有所长,滥用能够准确高效地发现已知攻击;异常能识别未知攻击。目前任何一种系统都不能很好地完成全部任务。 网络系统由于只处理网络,对的语义掌握是不充分的,容易受到攻击和欺骗。适应高速网及提高可扩展性是 NIDS需要解决的问题。

    29020

    Linux高级平台- AIDE

    Linux高级平台- AIDE AIDE(Advanced Intrusion Detection Environment)在linux下一切皆是文件这是一款针对文件和目录进行完整性对比查的程序如何工作这款工具年纪也不小了 当管理员想要对系统进行一个完整性时,管理员会将之前构建的库放置一个当前系统可访问的区域,然后用AIDE将当前系统的状态和库进行对比,最后将到的当前系统的变更情况报告给管理员。 另外,AIDE可以配置为定时运行,利用cron等日程调度技术,每日对系统进行报告。 这个系统主要用于运维安全,AIDE会向管理员报告系统里所有的恶意更迭情况。 初始化基础库usrsbinaide -c etcaide.conf -i#初始化库mv varlibaideaide.db.new.gz varlibaideaide.db.gz -f#把当前初始化的库作为基础库 fifind home -name aide-report-*.txt -mtime +60 -exec rm -rf {} ;#删除60天前日志循环脚本(防止者发现计划任务) homedefend

    68440

    系统建设及常见手法应对

    技术技术:是指“通过对行为、安全日志或审计或其它网络上可以获得的信息进行操作,到对系统的闯或闯的企图”。 每个系统实例基本含有四个模块:事件产生、事件库、事件分析引擎、事件告警引擎触发。每一个实例含有一个或多个模块。 (大多情况下,阻断功能可能会影响业务的正常进行,不建议轻易尝试) ?实例1. 基线监控系统:基于安全策略基线的采、审计、配置的近实时或定时基线监控系统。 针对Web服务的痕迹,可以考虑采WAF日志、Access Log、Auditd记录的系统调用,或者Shell指令,以及网络层面Response相关的,提炼出被攻击成功的特征,建议我们将主要的精力放在这些方面 因此,EDR类的产品+邮件安全网关+办公网出口的行为审计+APT产品的沙箱等,联合起来,可以采到对应的,并作出相似的感知模型。

    43440

    基于机器学习的和攻击识别——以KDD CUP99为例

    竞争任务是建立一个网络器,这是一种能够区分称为或攻击的“不良”连接和“良好”的正常连接的预模型。该包含一组要审核的标准,其中包括在军事网络环境中模拟的多种。 虽然年代有些久远,但KDD99仍然是网络领域的事实Benckmark,为基于计算智能的网络研究奠定基础。?二.特征描述下载的如下图所示,这里以10%的来进行实验。 三.Python处理1.KDD 99评价的方法从根本上讲就是设计一个分类器,能将流中的正常与异常区分出来,从而实现对攻击行为的报警。 本文KDD99的目的就是为系统提供统一的性能评价基准,常用来在学术圈算法的好坏。 评价KDD 99领域的Benchmark(基准),为基于计算智能的网络研究奠定了基础,从那以后很多学者开始研究算法,当然不能不提到众所周知的“功夫网”,实际上它就是一个大规模的系统

    5K80

    关于“”的一些想法

    这里主要介绍的是另外一个想法(这些年做的最有成就感的事情),我把它理解为真正意义上的“”。 很多安全人员对“”这个东西都是持吐槽的态度(记得发“使用Pfsense+Snorby构建系统”出来后,有好些人吐槽“不觉得用nmap扫描一下 然后一大堆告警还值得牛逼 那么多告警没人看的 0x00、前面的废话“”,从字面上的意思来解释就是“对行为的”。 但目前市面上的商业产品和开源产品实际上都是对“攻击行为的”,行为日志往往淹没在攻击行为日志里面去了,实在是有些鸡肋。0x01、我想要成为的样子? 响应(安全,也可以说是对的分析,判断是否异常。)

    56700

    ossec日志行为分析

    ,要收日志,当然要知道收这些能做哪些咯,下边来看日志收的作用,最重要的是如何根日志进行行为分析。 ;3、起到备份作用,需要对日志安全日志进行保存,避免因为黑客导致的日志丢失;如何做? 3、接syslog:通过syslog将日志传输到ossec server上,通过varosseclogsossec.log,查到ossec已经允许接受来自192.168.1.*的syslog配置。 见5.5、试报警:a.通过登录已经接ossec 的服务器192.168.1. 总结:这里就实现了syslog传输日志的需求,其实难点不在这里传输而是在分析,对于中小企业来说,自己写规则过于麻烦,这时候能有ossec rules来帮助我们完成这部分繁杂的工作,何乐而不为?

    1.2K100

    linux系统是否被(下)

    查系统的异常文件查看敏感目录,如tmp目录下的文件,同时注意隐藏文件夹,以.为名的文件夹具有隐藏属性> ls -al查找1天以内被访问过的文件> find opt -iname * -atime 1 -type f-iname不区分大小写,-atime最近一次被访问的时间,-type文件类型查历史命令查看被后,在系统上执行过哪些命令,使用root用户登录系统,查home目录下的用户主目录的. bash_history文件默认情况下,系统可以保存1000条的历史命令,并不记录命令执行的时间,根需要进行安全加固。 查系统日志在Linux上一般跟系统相关的日志默认都会放到varlog下面,若是一旦出现问题,用户就可以通过查看日志来迅速定位,及时解决问题。

    6100

    linux系统是否被(上)

    者在成功后,往往会留下后门以便再次访问被的系统,而创建系统账号是一种比较常见的后门方式。 在做排查的时候,用户配置文件etcpasswd和密码配置文件etcshadow是需要去重点关注的地方。 > netstat -tunlp | less抓包分析> tcpdump -c 10 -q 精简模式显示 10个包使用ps命令查可疑的进程> ps -ef查超系统中占用资源最高的资源> top发现异常进一步查 就是CentOS6以前用来控制系统服务的工具,查看服务自启动状态> chkconfig --list | grep 3:on|5:on查启动项脚本命令查看下开机启动项中是否有异常的启动服务。 cat etcrc.local查计划任务利用计划任务进行权限维持,可作为一种持久性机制被者利用。查异常的计划任务,需要重点关注以下目录中是否存在恶意脚本。

    4300

    式攻击解决方案

    式攻击解决方案----目录1. 什么是植式攻击?2. 为什么骇客会在你的系统里面植木马?3. 什么时候被挂马?4. 在那里挂马的?5. 谁会在你的系统里挂马?6. 怎样监控植式攻击6.1. 程序与分离6.2. 监控文件变化6.3. 安装日志收程序7. 延伸阅读1. 什么是植式攻击? 通常骇客会植库浏览工具,文件目录管理工具,压缩解压工具等等。5. 谁会在你的系统里挂马?98%是骇客,1%是内人干的,1%是开后门仅仅为了工作方便。 程序与分离程序包括脚本,变异文件等等,通常是只读权限是指由程序生成的文件,例如日志将程序与分离,存放在不同目录,设置不同权限, 请关注“延伸阅读”中的文章,里面有详细介绍,这里略过。 我们这里关注一旦运行的程序被撰改怎么办,包括与合法进。总之我们要能快速知道那些程序文件被修改。前提是我们要将程序与分离,才能更好地监控程序目录。6.2.

    48270

    基于Kali的Snort配置和

    Snort简介snort作为一个开源代码的工具,在系统开发的过程中有着重要的借鉴意义,其主要有初始化工作,解析命令行,读规则库,生成用于的三维规则链表,然后循环。流程图:? 使用snort规则对流量进行,并将结果输出到snort日志中?成功开启snort进行?使用局域网内主机对安装snort主机进行包>800的ping攻击?在日志中查看结果:? 结语snort还可以对网站的访问进行。由于snort只能行为并发出报警信息,但是不能直接地阻断行为,可以将snort与iptables联动来解决这个问题。 ①利用Snort的扩展功能,自定义开发成插件(snortsam): Snort 有个插件机制提供了预处理插件和处理插件等方式。而这种插件在Snort里是支持自定义开发并加载的。 因此第一种实现方式就是自定义开发插件,当到规则匹配时则调用远程或对应主机的防火墙,将有行为的ip 和端口,建立对应的一条Iptables规则丢弃这个连接、端口的包或将此ip的所有包都丢弃。

    1.7K20

    汇总|缺陷

    一、弱监督学习下的工业光学(DAGM 2007)下载链接:https:hci.iwr.uni-heidelberg.denode3616?介绍: 主要针对纹理背景上的杂项缺陷。 较弱监督的训练。 包含是个,前六个为训练,后四个为。每个均包含以灰度8位PNG格式保存的1000个“无缺陷”图像和150个“有缺陷”图像。 该库包括1,800个灰度图像:六种不同类型的典型表面缺陷,每一类缺陷包含300个样本。对于缺陷任务,提供了注释,指示每个图像中缺陷的类别和位置。 介绍:主要针对水泥路面的裂缝,可用于分类、分割和Detection。? 十二、桥梁裂缝图像下载链接:https:pan.baidu.coms1bplPrPl介绍:主要针对桥梁裂缝的。上述内容,如有犯版权,请联系作者,会自行删文。

    1.5K10

    【目标】一、PASCAL VOC简介

    一、简介PASCAL VOC是目标领域比较知名的,该分为VOC2007和VOC2012两个子,其官方下载地址如下:VOC2007-trainvalVOC2007-testVOC2012 二、文件结构与XML标签将下载并完成解压后,其文件结构如下所示。 在这里以VOC2012进行举例,JPEGImages存放图像,Annotations存放XML标签文件,其中XML文件和图像文件名称一致,仅仅后缀不同,ImageSetsMain存放训练和全部所涉及的名称 、验证和统计如下表所示。 目前目标常用的是 VOC2007 和 VOC2012 ,因为二者是互斥的,论文中的常用组合有以下几种:07+12: 使用 VOC2007 和 VOC2012 的 train+val(16551

    2710

    Linux安全服务器基础

    一般服务器被的迹象,包括但不局限于:由内向外发送大量包(DDOS肉鸡)、服务器资源被耗尽(挖矿程序)、不正常的端口连接(反向shell等)、服务器日志被恶意删除等。 那么既然是,首先要判断的是服务器是否被,必须排除是管理员操作不当导致的问题,因此的第一项工作就是询问管理员服务器的异常现象,这对之后类型的判断非常重要。 ?  在询问了相关异常信息,排除了管理员操作失误等原因后,那么便可以开始正式的上服务器进行以及取证操作了。 本文总结的都是一些Linux最基础的命令,至于怎么用好这些命令,需要结合实际情况,主要还是看经验。 以上所诉,还只是信息收阶段,至于如何通过现有信息分析出途径,还需要借助其他工具以及知识。文章来源:https:thief.one

    35510

    之sqlmap恶意流量分析

    请勿利用文章内的相关技术从事非法试,如因此产生的一切不良后果与文章作者和本公众号无关。 文章来自@Erikten老哥博客,经作者同意转至该公众号。有兴趣的朋友可以在文末通过阅读原文进他的博客。 0x01 –os-shell攻击流程 试链接是否能够访问判断操作系统版本传递一个组,尝试爆绝对路径指定上传路径使用lines terminated by 写一个php文件,该php文件可以进行文件上传尝试找到上传的文件的访问路径 ); } elseif (f(exec)) { $w = array(); exec($c, $w); $w = join(chr(10), $w) . chr(10); } 二、动态分析 首先可以对库的行为做限制 , 因为–os-shell主要还是在于执行into outfile()函, 而执行这个函有三个必要条件: 当前库用户为root权限库中source_file_priv 的值不能为null可以使用单双引号 这三点缺一不可, 如果不幸的被写了shell, 那么可以先参照静态分析去过滤一下, 其次就是对于行为的过滤, 当sqlmap成功写命令马的时候, 会执行一条试语句GET Less-2tmpbvnbm.php

    17610

    之sqlmap恶意流量分析

    0x01 –os-shell攻击流程试链接是否能够访问判断操作系统版本传递一个组,尝试爆绝对路径指定上传路径使用lines terminated by 写一个php文件,该php文件可以进行文件上传尝试找到上传的文件的访问路径 后删除命令马0x02 抓包分析首先就是试链接是否能够访问然后判断操作系统GET Less-1? elseif (f(exec)){    $w = array();    exec($c, $w);    $w = join(chr(10), $w) . chr(10);}二、动态分析 首先可以对库的行为做限制 , 因为–os-shell主要还是在于执行into outfile()函, 而执行这个函有三个必要条件: 当前库用户为root权限库中source_file_priv 的值不能为null可以使用单双引号这三点缺一不可 , 如果不幸的被写了shell, 那么可以先参照静态分析去过滤一下, 其次就是对于行为的过滤, 当sqlmap成功写命令马的时候, 会执行一条试语句GET Less-2tmpbvnbm.php?

    25540

    火灾火焰和yolov4模型

    开源1个火灾(含标注)和预训练模型。 火灾图像2059张:包含大火-小火,建筑起火、草原起火、森林起火、车辆(汽车、卡车、摩托车、电动车)起火、白天-黑夜起火等场景;代码及运行教程, 获取:关注微信公众号 datayx 然后回复 展示(含标注)?试效果展示??

    88730

    【安全】怎么【主机安全-混合云版】支持非腾讯云主机安全接

    (推荐)安全优惠采购专场:点击查看》》》》image.png 混合云版-主机安全(Cloud Workload Protection,CWP)基于腾讯安全积累的海量威胁,利用机器学习为用户提供资产管理 、木马文件查杀、黑客、漏洞风险预警及安全基线等安全防护服务,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。 现支持用户腾讯云外服务器统一进行安全防护,轻松共享腾讯云端安全情报,让私有中心拥有云上同等级别的安全体验。  而混合云管理功能的上新能够支持客户接非腾讯云机器,帮助更好地用户统一管理和监控主机安全。功能概述支持腾讯云的边缘计算机器、轻量应用服务器自动接主机安全。 支持非腾讯云服务器,如:私有云、阿里云、华为云、青云、亚马逊云、UCloud 等云服务器手动接主机安全。

    17931

    pytbull - 预防系统(IDS IPS)试框架

    pytbull是Snort,Suricata和任何生成警报文件的IDS IPS的预防系统(IDS IPS)试框架。 该框架随附了大约300个试,分为11个试模块: badTraffic:不符合RFC的包被发送到服务器以包的处理方式。 bruteForce:试服务器跟踪暴力攻击(例如FTP)的能力。 testRules:基本规则试。这些攻击应该由IDS IPS附带的规则到。 ?它易于配置,可以在未来成新模块。 command:使用subprocess.call()python函将命令发送到远程目标。 scapy:根Scapy语法发送特制的有效负载。 为避免一长串参,大多选项都在配置文件中提供。在试活动期间,所有试都会实时显示,并且可以使用调试选项显示详细结果?注意:试基于非常全面的语法,使人们可以编写自己的试。

    1.2K31

    相关产品

    • 容器安全服务

      容器安全服务

      容器安全服务( TCSS)提供容器资产管理、镜像安全、运行时入侵检测、安全基线等安全服务,保障容器从镜像生成、存储到运行时的全生命周期,帮助企业构建容器安全防护体系。

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注云+社区

      领取腾讯云代金券