Chinaunix

标题: 联合挑战第九期 “快速定位入侵攻击” 礼品多多! [打印本页]
作者: send_linux    时间: 2010-06-29 18:44
标题: 联合挑战第九期 “快速定位入侵攻击” 礼品多多!
在安全领域大家都清楚道高一尺魔高一丈的道理,入侵攻击与入侵检测成为一对冤家……

保持企业网络环境的正常稳定运营,做好防御的同时我们还要熟悉入侵攻击的手段,如何抓住入侵攻击的尾巴?有多少种痕迹可循?

这些问题与企业入侵检测管理密不可分,如何做好提前预防?如何做好企业的安全问题?做好检测与管理成为面对入侵攻击的必杀器。

也许你正在被未知攻击所困扰、也许你所在企业已经被黑客盯上……那么,为了解决你现在的困惑以及将来可能会出现的问题,你应该花点时间,了解一下本期的联合挑战话题——企业入侵检测管理:快速定位入侵攻击!

本期我们将邀请领航信息安全的厂商——启明星辰和大家一同讨论和分析当下的入侵检测与攻防方面的问题。在本期的联合挑战中,网友们可以畅所欲言,而我们邀请到的专家和工程师们也会在线上和现场沙龙分别进行解答——

如何抓住入侵攻击的尾巴?有多少种痕迹可循?

入侵检测管理到底对一个企业有多重要?我们面对的入侵攻击,是否已经同过去完全不同了?
如果想要引入和使用入侵检测类产品,我们需要一个怎样的准备过程?

今天,我们在CU启动了联合挑战的第一环节——线上大讨论。欢迎各位网友踊跃发言留贴:

讨论活动时间:2010年06月29日-2010年07月10日中午12点

调查链接http://safe.it168.com/a2010/0624/1069/000001069750.shtml

奖项设置与获奖方式:

一、入侵检测调查:
1、参与用户只要留下论坛ID和邮箱地址,即可获得20论坛积分;
2、10名幸运用户通过抽奖有机会获得30元电话卡;
3、10名幸运用户通过抽奖有机会Linux相关图书一本。

二、在线问题讨论:
1、        参与在线问题讨论的用户,即可获得20论坛积分;
2、        20名幸运用户通过抽奖有机会获得30元电话卡;
3、        5名讨论内容优秀的用户可获赠论坛T恤;
4、        3名讨论内容优秀的用户获可赠CU商务电脑包;
5、        讨论内容最优秀的1名用户可以获赠价值800元的系统架构师大会门票一张(不含食宿)。

备注:我们的抽奖过程将拍摄成视频,供网友监督。
作者: flb_2001    时间: 2010-07-02 08:15
本帖最后由 flb_2001 于 2010-07-02 08:24 编辑

参与调查了
作者: flb_2001    时间: 2010-07-02 08:24
本帖最后由 flb_2001 于 2010-07-02 10:58 编辑

一般都说是入侵检测系统,所谓的入侵检测管理和入侵检测系统有什么区别呢?
以前在上入侵检测系统时搭配有入侵防御系统,这是不是必须的,为什么?
对于此类产品我认为可以用UTM设备来替代,大家讨论可不可以?
作者: michael1983    时间: 2010-07-02 09:07
调查完毕
作者: 瀑布泪    时间: 2010-07-04 10:03
提示: 作者被禁止或删除 内容自动屏蔽
作者: killads    时间: 2010-07-04 10:05
请问楼主 管理员一般在哪里登陆服务器?假如在家里用adsl,那把adsl分配的ip段加到allow列表里好了,别的ip都deny
作者: mmhh516    时间: 2010-07-04 10:06
感觉应该是查询对方ip服务器的应用,如果是什么企业网站的托管主机或者是些小网站,那样就可以断定是肉机拉。 搂主,出来说说阿?
作者: 7717060    时间: 2010-07-04 10:09
1.改变ssh端口 2.通过防火墙控制登陆IP, 3.记录攻击IP
作者: 双眼皮的猪    时间: 2010-07-04 10:11
^_^ 如果是Linux Incident Response Script,那么在查看运行级别哪里还是不能用看/etc/inittab的initdefault来看,可能在启动后被切换过运行级别.所以还是用who -r或者runlevel比较合适... 刚想起,哈哈
作者: 剑心通明    时间: 2010-07-04 10:12
改用key的方式就可以了,不要用密码验证
作者: bigbomb    时间: 2010-07-04 10:16
您所指的错误是有人入侵后的错误,还是脚本执行后的错误?我也是刚学写脚本,若问的问题有些幼稚,还请您海涵.
作者: 为什么删我号    时间: 2010-07-04 10:27
好好学习一下!
作者: ylcqen    时间: 2010-07-04 10:33
你的思路开扩,好。 1。升级SSH,IPTABLES,VSFTP等软件到最新版。 2。限制能访问SSH服务的区域,甚至用MAC地址限制访问。 3。密码复杂化。 4。关闭TELNET服务。 5。还有很多。 6.knockd软件吧!
作者: ly_cyz    时间: 2010-07-04 10:33
[quote]原帖由 权老实 于 2005-8-1 18:40 发表 [url=http://bbs.chinaunix.net/redirect.php?goto=findpost
作者: zxr1018    时间: 2010-07-04 10:41
我在这里也看到一篇 http://www.edu.cn/20030924/3091693.shtml
作者: net_robber    时间: 2010-07-04 10:43
原帖由 lovegqin 于 2006-5-26 16:03 发表 抱着学习的态度来看看,不过没找到下载
同问,这个脚本在哪里啊???
作者: 大鬼不动    时间: 2010-07-04 10:44
先做蜜罐套住了在分析,别着急让他下线!
作者: 今生路人甲    时间: 2010-07-04 10:44
支持 顶下
作者: tony_list    时间: 2010-07-04 10:46
问题是对方会不断的换IP的,曾经试过直接DROP
作者: yuhuohu    时间: 2010-07-04 10:48
好详细~
作者: tony_list    时间: 2010-07-04 10:51
经过仔细研究,参考了网上很多资料,最后找到一片较正规的解决方案,供大家参考: 方法一: 規則:只要是透過ssh想要用root直接登入的ip都登錄拒絕名單 方法: 1.利用sshd[18362]: Failed password for root from 66.238.200.230 port 50060 ssh2這則訊息,取得IP 2.將取得的IP檢查拒絕名單是否有同樣的IP 3.如拒絕名單沒有此IP,將此IP登錄並新增iptables 規則 4.可以使用root 登入的ip只要加一行註解填入ip就可了
作者: ayazero    时间: 2010-07-04 10:52
改用密钥认证的方式
作者: lFANS    时间: 2010-07-04 10:52
DenyHosts阻止SSH暴力破解最好的方法 http://cndefu.blog.163.com/blog/static/5939318820081299363382/ [ 本帖最后由 lFANS 于 2008-5-30 09:30 编辑 ]
作者: northwind2008    时间: 2010-07-04 10:52
如果有钱,使用IPS也可以,可以自动阻断相关攻击IP地址的
作者: fangtong2008    时间: 2010-07-04 10:52
很不错 学习了!!
作者: yh6788    时间: 2010-07-04 10:54
好东西,我一定要读懂他,然后写出一个能开玩笑的程序。:)
作者: jack.1    时间: 2010-07-04 10:55
改端口,设置SSH服务区域  还是挺管用的.
作者: ayazero    时间: 2010-07-04 10:55
原来的脚本存在严重问题,会删除系统文件,请立刻停止使用,停止散布并通知下载的其他人 原来的脚本把
rm -rf `eval echo $resultDir/*`
这一行去掉就可以
作者: Jambo    时间: 2010-07-04 10:58
收下了,晚上回去好好看看!
作者: llzqq    时间: 2010-07-05 10:02
改端口 KEY认证,5年来死一般的寂静
作者: yanghz    时间: 2010-07-05 10:08
那位哥们给加个注释啊,实在是很难理清作者的思路啊
作者: comcn2    时间: 2010-07-05 10:16
如果错漏之处,敬请指出 三次握手的过程及相关概念 TCP/IP协议使用三次握手来建立连接,过程如下: 1、第一次握手,客户端发送数据包syn到服务器,并进入SYN_SEND状态,等待回复 [font=Sim
作者: frosty    时间: 2010-07-05 10:17
请问楼主 你是怎么判定 是肉鸡攻击你的?
作者: leo.huang    时间: 2010-07-05 10:18
安装防火墙,设定访问规则!
作者: jun4772191    时间: 2010-07-05 10:24
只要把密码设复杂些就行了.暴力破解还能怎么样?
作者: pxf520    时间: 2010-07-05 10:25
学习了
作者: ayazero    时间: 2010-07-05 10:29
实际上应该列出runlevel3和5下的启动项,这些都是可能被修改的
作者: sypergood    时间: 2010-07-05 10:30
deny ip from any to any
作者: 双眼皮的猪    时间: 2010-07-05 10:30
写C程序的应该会注意到stderr吧,标准错误,一般定向到显示器(终端).我这里是定向到文件. 0 标准输入 1 标准输出 2 标准错误 2就是把错误信息写到$errFile这个文件^_^所以脚本运行完,看看这个文件中途有没发生错误^_^
作者: 俺小时候可美了    时间: 2010-07-05 10:31
提示: 作者被禁止或删除 内容自动屏蔽
作者: shangrilawyx    时间: 2010-07-05 10:31
很好 支持一个
作者: 操你妈北京野狼    时间: 2010-07-05 10:39
提示: 作者被禁止或删除 内容自动屏蔽
作者: suiyangking    时间: 2010-07-05 10:39
脚本在哪里
作者: zhouw68    时间: 2010-07-05 10:41
1。屏蔽PING回应。 2。修改SSH的端口号。 3。限制能访问SSH服务的区域。 用这三招,能让你的服务器安静下来。
作者: haoyufu    时间: 2010-07-05 10:41
楼主还有什么现象啊 贴出来让大家分析分析
作者: Jambo    时间: 2010-07-05 10:42
向网管学习!! 因为他们遇到的问题是最多的!
作者: 大鬼不动    时间: 2010-07-05 10:45
大规模的也倒!
作者: wangrujun    时间: 2010-07-05 10:48
我也遇到过此类问题。麻烦问下楼主,怎么样才能查出是肉鸡对你攻击?谢谢。
作者: flb_2001    时间: 2010-07-05 12:56
回复 1# send_linux


    好像放在这个版块不够活跃,lz在活动版搞个链接应该比较好一点
作者: send_linux    时间: 2010-07-05 14:26
回复 5# flb_2001


    好的,提升一下,大家好看到,呵呵
作者: renxiao2003    时间: 2010-07-05 14:39
我也参加一下。
作者: renxiao2003    时间: 2010-07-05 14:41
调查好像结束了。我看日期是到7、3的。
作者: renxiao2003    时间: 2010-07-05 14:46
1.故障描述客户反映公网WEB服务器无法访问,内网机器访问互联网速度较慢。经过了解,得知网络出口带宽为20Mbps,同时用户和服务器共享20M网络带宽,服务器IP地址为4.79.142.202。具体网络拓扑如下:
  2.软件部署
  1)首先根据网络拓扑选取交换机作为抓包点,对服务器所接端口配置端口镜像,将科来网络通讯分析系统2010接到镜像端口上。
  2)启动科来网络通讯分析系统2010,在“网络适配器”窗口中选择抓包网卡。
  3)在“网络档案”窗口新建“服务器攻击分析”的网络档案,设定网络带宽为20Mbps。
  4)在“分析方案”窗口中新建“服务器攻击分析”分析方案,选取所有“分析模块”,
  点击“下一步”按钮,在诊断里,选择所有诊断事件,点击“完成”。
  5)选择“服务器攻击分析”网络档案,“服务器攻击分析”分析方案,点击开始按钮开始分析。
  3.数据分析
  1)抓取一段时间的数据包后,停止抓包,开始分析。
  2)首先从图表功能可以看到,服务器带宽占用接近2.4MB/s,流量最大的主机为4.xxx.142.202,流量最大的协议为HTTP协议,而数据包大小主要为<=64字节,此处可以看出数据包大小分布不正常。
  3)在概要视图中我们发现“TCP同步发送”和“TCP结束连接发送”数量相差较大,正常情况两者比例接近1:1,因此我们怀疑服务器存在问题。
  4)进入“IP端点视图”,可以看到服务器4.xxx.142.202其TCP会话数达到了1002个,接收数据包为96869,发送数据包为0。在TCP会话视图中可以看到存在大量的公网地址与服务器的80端口通信连接,并且每个连接的流量为64B,如下图:
  打开一个连接的数据包我们可以看到,数据包为TCP的同步包,如下图:
  定位服务器IP后,在数据包视图中可以看到,所有的数据包均为TCP同步包,且频率较高,因此我们怀疑服务器遭受了DDOS攻击。
  4.分析结果
  通过对服务器的分析,我们看到服务器TCP连接数量较多,通过对连接的数据包解码发现,数据包均为TCP握手的第一步的数据包,同时数据包的多来源于公网,因此我们有理由怀疑服务器4.xxx.142.202遭受了DDOS攻击。
  解决方法:
  1)
  建议更换服务器公网IP
  2)
  在Internet出口部署高性能安全设备,以降低攻击的威胁。
作者: renxiao2003    时间: 2010-07-05 14:46
网络管理人员应认真分析各种可能的入侵和攻击形式,制定符合实际需要的网络安全策略,防止可能从网络和系统内部或外部发起的攻击行为,重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。

  防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。

  一、访问控制技术

  访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,以及属性安全控制等多种手段。

  1.网络登录控制

  网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问,或禁止用户登录,或限制用户只能在指定的工作站上进行登录,或限制用户登录到指定的服务器上,或限制用户只能在指定的时间登录网络等。

  网络登录控制一般需要经过三个环节,一是验证用户身份,识别用户名;二是验证用户口令,确认用户身份;三是核查该用户账号的默认权限。在这三个环节中,只要其中一个环节出现异常,该用户就不能登录网络。其中,前两个环节是用户的身份认证过程,是较为重要的环节,用户应加强这个过程的安全保密性,特别是增强用户口令的保密性。用户可以使用一次性口令,或使用IC卡等安全方式来证明自己的身份。

  网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号,可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式,并对登录过程进行必要的审计。对于试图非法登录网络的用户,一经发现立即报警。

  2.网络使用权限控制

  当用户成功登录网络后,就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制,则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问,允许用户访问的资源就开放给用户,不允许用户访问的资源一律加以控制和保护。

  网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中,规定了用户可以访问的网络资源,以及能够对这些资源进行的操作。根据网络使用权限,可以将网络用户分为三大类:一是系统管理员用户,负责网络系统的配置和管理;二是审计用户,负责网络系统的安全控制和资源使用情况的审计;三是普通用户,这是由系统管理员创建的用户,其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限,或将其删除。

  3.目录级安全控制

  用户获得网络使用权限后,即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限,则会对这些目录、文件或设备等网络资源构成严重威胁。这时目录级安全控制和属性安全控制就可以防止用户滥用权限。

  一般情况下,对目录和文件的访问权限包括系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级安全控制可以限制用户对目录和文件的访问权限,进而保护目录和文件的安全,防止权限滥用。

  4.属性安全控制

  属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后,用户对这些资源的访问将会受到一定的限制。

  通常,属性安全控制可以限制用户对指定文件进行读、写、删除和执行等操作,可以限制用户查看目录或文件,可以将目录或文件隐藏、共享和设置成系统特性等。

  5.服务器安全控制

  网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
作者: renxiao2003    时间: 2010-07-05 14:47
四、切实关注安全漏洞信息,及时使用各种补丁修复工具,提升系统安全性

  系统漏洞在正式公布前,通常会被黑客利用很长时间,这就是通常说的0day攻击,这样的攻击也越来越常见。漏洞涉及windows 操作系统文件和其它应用软件,但风险最大的仍是windows 系统漏洞。应用软件漏洞的利用会受到较多的环境制约,通常风险相对较低。

  最近广泛引起人们关注的是flash player漏洞,攻击者可利用这个漏洞运行任意指定的代码。

  解决方案:

  能用windows update的,一定要用,让windows进行自动更新。看到右下角windows update正在工作的图标,别给阻止了。

  部分盗版用户不能正常使用windows update或microsoft update的,建议使用第三方漏洞修复工具,比如金山清理专家的漏洞扫描修复模块。

  五、安装使用杀毒软件,并经常检查是否工作正常,是否可以进行病毒特征的更新

  不要把安全问题只交给杀毒软件来负责,安全是系统工程,杀毒软件只是其中的一环。总是先有病毒,才会有杀毒软件更新。在很多情况下,安装杀毒软件之后,还是会中各种各样的病毒。但这不能说明杀毒软件不必要,相反,杀毒软件是非常重要的,如果没有杀毒软件,你的系统可能会更糟。

  越来越多的病毒为了入侵你的系统,首先会尝试将杀毒软件废掉。破坏杀毒软件的功能,可能比杀毒软件对付病毒还要容易。因为破坏者的目标很明确,就是市面最 流行的软件,针对这几种安全软件做手脚是很容易的。并且,病毒制造者不象杀毒软件那样,必须考虑每个更新带来的兼容性问题,攻击者只关注木马需要完成的任 务,其它后果,病毒制造者是不用花很多功夫去考虑的。

  木马病毒制造者是这样痛恨杀毒软件,以至于目前有相当多的木马入侵后,首先会去破坏杀毒软件,只要破坏者愿意,有针对性的破坏杀毒软件总是可以做到的,用户不要指望杀毒软件自身可以做成铜墙铁壁。连操作系统都可以被破坏,何况杀毒软件。

  我们还可以把杀毒软件的工作状态,当作另一种检验工具:只要观察到杀毒软件突然不工作了,你首先应该考虑是不是被木马给破坏了。

  解决办法:

  安装一款适合自己的杀毒软件,并且在有效期内注意经常检查其功能,比如能不能正常启动,能不能正常升级等等。
作者: renxiao2003    时间: 2010-07-05 14:48
以降低攻击的威胁。 Internet 入口布置高性能平安设备。

内网机器访问互联网速度较慢。经过了解,1 .故障描述客户反映公网 WEB 服务器无法访问。得知网络入口带宽为 20Mbp 同时用户和服务器共享 20M 网络带宽,服务器 IP 地址为 4.79.142.202 具体网络拓扑如下:

2 .软件部署

对服务器所接端口配置端口镜像, 1 首先根据网络拓扑选取交换机作为抓包点。将科来网络通讯分析系统 2010 接到镜像端口上。

2 启动科来网络通讯分析系统 2010 网络适配器 ” 窗口中选择抓包网卡。

设定网络带宽为 20Mbp 3 网络档案 ” 窗口新建 “ 服务器攻击分析 ” 网络档案。

选取所有 “ 分析模块 ” 4 分析方案 ” 窗口中新建 “ 服务器攻击分析 ” 分析方案。

诊断里,点击 “ 下一步 ” 按钮。选择所有诊断事件,点击 “ 完成 ”

服务器攻击分析 ” 分析方案, 5 选择 “ 服务器攻击分析 ” 网络档案。点击开始按钮开始分析。

3 .数据分析

停止抓包, 1 抓取一段时间的数据包后。开始分析。

而数据包大小主要为 <=64 字节, 2 首先从图表功能可以看到服务器带宽占用接近 2.4MB/ 流量最大的主机为 4.xxx.142.202 流量最大的协议为 HTTP 协议。此处可以看出数据包大小分布不正常。

正常情况两者比例接近 1:1 因此我怀疑服务器存在问题。 3 概要视图中我发现 “ TCP 同步发送 ” 和 “ TCP 结束连接发送 ” 数量相差较大。

接收数据包为 96869 发送数据包为 0 TCP 会话视图中可以看到存在大量的公网地址与服务器的 80 端口通信连接, 4 进入 “ IP 端点视图 ” 可以看到服务器 4.xxx.142.202 其 TCP 会话数达到 1002 个。并且每个连接的流量为 64B 如下图:

如下图: 打开一个连接的数据包我可以看到数据包为 TCP 同步包。

数据包视图中可以看到所有的数据包均为 TCP 同步包,定位服务器 IP 后。且频率较高,因此我怀疑服务器遭受了 DDOS 攻击。

4 .分析结果

看到服务器 TCP 连接数量较多,通过对服务器的分析。通过对连接的数据包解码发现,数据包均为 TCP 握手的第一步的数据包,同时数据包的多来源于公网,因此我有理由怀疑服务器 4.xxx.142.202 遭受了 DDOS 攻击。

解决方法:

1

建议更换服务器公网 IP
作者: 枫影谁用了    时间: 2010-07-05 14:56
参加了。
作者: shawnlee    时间: 2010-07-05 15:36
提示: 作者被禁止或删除 内容自动屏蔽
作者: dexter_yccs    时间: 2010-07-05 15:39
入侵检测时效性怎么样呢
作者: tigerajs    时间: 2010-07-05 15:43
回复 1# send_linux


    参与一下
作者: chenyx    时间: 2010-07-05 16:00
参加了
作者: 0vk0    时间: 2010-07-05 17:36
本帖最后由 0vk0 于 2010-07-09 07:21 编辑

入侵检测


入侵检测的定位:我觉得最主要从还是从系统的不同环节收集信息,找出可疑入侵者的痕迹

在linux下,用lastb查找最近未成功登陆,而又大量尝试登陆的信息。

其次,入侵很大部分是要找到防火墙的漏洞,绕过防火墙进行攻击,这样就更需要我们去主动

检查防火墙的漏洞,仔细查看防火墙设置是否正确,完善。

当然,完全依赖防火墙是远远不够的,常规性的异常检测也是非常有必要的,大多数的正常

行为的模型使用一种矩阵的数学模型,矩阵的数量来自于系统的各种指标。比如CPU使用率、

内存使用率、登录的时间和次数、网络活动、文件的改动等。异常检测的缺点是:若入侵者

了解到检测规律,就可以小心的避免系统指标的突变,而使用逐渐改变系统指标的方法逃避

检测。另外检测效率也不高,检测时间较长。最重要的是,这是一种“事后”的检测,当检

测到入侵行为时,破坏早已经发生了。
作者: kns1024wh    时间: 2010-07-05 17:40
本帖最后由 kns1024wh 于 2010-07-05 17:41 编辑

回复 1# send_linux


    已经参与
ChinaUnix  
95.3%
ITPUB  
2.3%
IXPUB   
2.3%

实际上这个应该是一个反向问题 ,就是如何消除服务器的访问记录
作者: baopbird2005    时间: 2010-07-05 17:42
参与了
作者: sdynzx    时间: 2010-07-05 17:59
面对层出不穷的入侵,我们如何更好的提前防范?

黑客的入侵技术也日益变化,我们如何才能铺设“固若金汤”城墙?
作者: saintdragon    时间: 2010-07-05 18:10
不搞安全
作者: flb_2001    时间: 2010-07-06 07:49
回复 6# send_linux


    效果果然不错啊
作者: renxiao2003    时间: 2010-07-06 08:43
在实战中我们常常面临这样的困境:我们感觉到目标网站采用的是一套开放的源码,但是由站长对页面的修改抹杀了能够直接获取这套源码名称的显性标志。这对我们的破解显然是不利的,我们可能会为了找到源码来研究而疲于到各大下载网站下载类似的源码,一一确定,更有甚于,我们拿到了网站的后台密码,但却找不到后台路径,并且有时候这个后台还是源码默认的——用字典跑不出来之后,还有什么选择?
现在我向大家推荐另外一种选择:源码目录查询——这是“了结网”(www.seeknot.com)推出的一项服务。其实这个思路大家在平常一定也有过,就是通过网站的特殊文件名确定源码的名称。废话少说,先看一个例子:
目标网站是一个购物网站,其中的一个栏目“我的出售”指向的路径是:mycsproc.asp——这个页面命名很有特征性,呵呵,到www.seeknot.com的搜索栏里输入mycsproc.asp,选择默认的按目录查找方式,提交。



返回两个搜索结果:一个是 “诚信宝物商店第二版”,一个是“虚拟游戏装备交易站程序”,通过“目录列表”链接查看所有文件名和目录结构,进一步核实是我们要找的源码,并且发现默认的数据库路径是 “/db.mdb”,试着down一下,如果成功,就能直接获得数据库,虽然用户密码是md5加密的(ps:seeknot还提供一个md5的hash查找,简单的md5加密串都可以破解,别的网站也有此功能,不再赘述),如果你足够幸运,遇到简单的hash值和默认的后台路径,你就可以通过“Manager/Admin_Login.asp”,直捣黄龙了。
换言之,用seeknot的源码目录查询功能,最好的情况可以获得数据库,后台路径等全部敏感信息,最坏的情况也能够马上确定源码的本来面目,下载一套,读源码,找漏洞。
其实,源码目录查找,md5查找都是一种信息检索方式,私意以为,搜索的本质就是用空间来换取时间的一种行为,我们会陆续推出类似的定向服务。整篇文章好像在给自己的网站做广告,不过如果是有益的,及时的,那又何妨自荐。顺便把本站推荐给广大站长,希望你们能从这里找到需要的源码。
作者: renxiao2003    时间: 2010-07-06 08:44
我原来在小公司,还是给日本人做项目的,他们都没有做入侵检查。(公司内)。但是日本人的公司对这个要求是比较严格的。连中国的公司上个网也要通过日本的IP出去。
作者: zhuanliju    时间: 2010-07-06 08:50
本帖最后由 zhuanliju 于 2010-07-06 08:51 编辑

据了解,常用的攻击检测方法有两种.一种方法是基于特征的检测机制。即通过定义攻击行为的数据特征来实现对已知攻击的检测,优势是技术上实现简单、易于扩充、可迅速实现对特定新攻击的检测和拦截;不足之处是仅能识别已知攻击、抗变种能力弱。
   另一种方法是基于原理的检测机制,即通过分析攻击产生原理,定义攻击类型的统一特征。优点是能准确识别基于相同原理的各种攻击、不受攻击变种的影响,缺点是技术门槛高、扩充复杂、应对新攻击速度有限。
   当前许多公司的入侵检测产品只是建立在这两种方法中的一种之上.请问启明星辰的专家,贵公司有无这么一种设备,其将两种检测机制融合在一起,从而有机组合了两种检测方法的优势,这样一来,就可以增强设备的变形攻击识别能力和对新攻击应变能力,提高了精确检测的覆盖面。若有,请结合实际应用案例,加以介绍。
作者: shawnlee    时间: 2010-07-06 09:42
提示: 作者被禁止或删除 内容自动屏蔽
作者: myhappyface    时间: 2010-07-06 09:56
企业网络的安全非常重要,在实际工作中,ACL控制、路由、NAT等,这些往往通过单位的防火墙来完成的。
但部分员工在工作时间运行P2P下载软件、流媒体播放软件和网络聊天工具,造成网络中涌现出大量与工作无关的重复数据,导致网络出现了拥堵。P2P作为一种下载手段,得到了极为广泛的运用,但由无限制的P2P应用会影响网络的带宽消耗,并且还随此带来知识产权、病毒等多种相关问题。而实现对P2P的控制和限制,需要较为深入的应用层分析,请问启明星辰的专家,贵公司的入侵防御系统(IPS)产品是通过什么机制及措施对类似P2P的软件来进行限制和防范的?
作者: 守夜人    时间: 2010-07-06 10:05
1 编个shell将这些暴力破解的IP屏蔽 2 用iptables限制ssh登陆的IP范围
作者: dngood    时间: 2010-07-06 10:06
改了这个端口 ,扫描一下就知道新的端口了
作者: SuperCube    时间: 2010-07-06 10:08
谢谢斑竹! 楼上的兄弟也太有创意了吧。 : )
作者: mz198424    时间: 2010-07-06 10:09
作者: KingRock_cn    时间: 2010-07-06 10:11
应该可以的
作者: zhoutao0712    时间: 2010-07-06 10:11
个人认为对付DOS攻击,hashlimit和fuzzy模块, 比connlimit对付攻击更好。
作者: beyondfly    时间: 2010-07-06 10:15
现在做linux安全的公司多吗?
作者: kai0200    时间: 2010-07-06 10:15
不好意思问一下这个教本从哪能下!
作者: fieldstream    时间: 2010-07-06 10:17
思路不错,学习下
作者: frosty    时间: 2010-07-06 10:17
不错 不错 不过给你点小建议:能不能有攻有防啊 仅仅防御 看起来似乎单调(个人观点)
作者: earthgps    时间: 2010-07-06 10:20
入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。但有实际应用中,发现IDS界面上充斥着大量的误报警信息,这需要花费大量的时间及人力去做人工分析,并采取相应的处理。同时,经过一段时间的使用发现,旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。

   在此,想问一下启明星辰的专家,贵公司的快速定位入侵攻击的网络安全产品是如何解决上述问题的?
作者: tony_list    时间: 2010-07-06 10:21
服务器进行了重新升级,结果这两天每天晚上都有许多人用暴力攻击SSH端口,下面是截选的部分,据我所知,这应该是利用软件暴力猜解密码吧?有没有办法设置每小时只能登陆几次,密码输入多少次后锁定,或者自动将恶意地址加入阻挡列表?
作者: authen    时间: 2010-07-06 10:21
用证书认证。
作者: zhxm0624    时间: 2010-07-06 10:21
好东西阿。。。
作者: haoyufu    时间: 2010-07-06 10:21
今天写了个以前学习linux安全心得,希望和CU里的兄弟多多交流和讨论,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦Linux系统中发现有安全漏洞,Internet上来自世界各地的志愿者会踊跃修补它。然而,系统管理员往往不能及时地得到信息并进行更正,这就给黑客以可乘之机。然而,相对于这些系统本身的安全漏洞,更多的安全问题是由不当的配置造成的,可以通过适当的配置来防止。服务器上运行的服务越多,不当的配
作者: 俺小时候可美了    时间: 2010-07-06 10:24
提示: 作者被禁止或删除 内容自动屏蔽
作者: miFor    时间: 2010-07-06 10:27
少判断了ssh的认证文件
作者: lovegqin    时间: 2010-07-06 10:27
提示: 作者被禁止或删除 内容自动屏蔽
作者: zhouw68    时间: 2010-07-06 10:27
写得好。 添加以下几点: 1。 升级vsftp,ssh,iptables 等服务到最新版。 2。修改vsftp,ssh的默认端口,停用telnet服务。 3。root等用户的密码尽量复杂。 4。进行区域限制。如:只有本市电信ADSL的ip可以访问ssh,vsftp服务等,保证在家能用ssh访问服务器。其余地区全部屏蔽掉,外地公司员工要用VSFTP,进行IP申请开放制。 5。80端口的访问,只保留国内的,其他国家的全部屏蔽掉。国内的骚扰IP,来一个,毙一个。 想到这么多,先加。
作者: 零二年的夏天    时间: 2010-07-06 10:27
Linux的安全还是很复杂,选择严谨的发行版,经常到其官方站点查看安全信息,更新、升级必要的服务。 似乎这样可以做到一定的安全。
作者: mayue0418    时间: 2010-07-06 10:28
好东西,可是那里下载?
作者: happygrid    时间: 2010-07-06 10:29
这种暴力密码破解,可以采取多重方式进行防御: 1 设置强壮的密码,改变默认用户名 2 设置login规则,比如重试次数 3 进行访问控制,只允许指定网络访问sshd端口 4 改变默认sshd监听端口 5 其他安全措施
作者: hyagami    时间: 2010-07-06 10:30
不错,学习了
作者: linuxpf    时间: 2010-07-06 10:30
不错,总结蛮好!
作者: ipaddr    时间: 2010-07-06 10:31
改端口,我觉得没多大作用. 一般攻击,都会先扫描一下的. 扫出你所有开放的端口,改成其它的,别人也知道.
作者: yanghz    时间: 2010-07-06 10:31
哈哈,好,谢谢ayazero
作者: flb_2001    时间: 2010-07-06 10:36
做linux安全的多吗?
作者: 若古    时间: 2010-07-06 10:37
你把他的IP直接拉黑不就得了!



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2