良玉的博客 点点滴滴,积水成河_良玉的博客_页游、手游linux运维工程师之路

Linux系统木马后门查杀

木马和后门的查杀是系统管理员一项长期需要坚持的工作,切不可掉以轻心。以下从几个方面在说明Linux系统环境安排配置防范和木马后门查杀的方法:

一、Web Server(以Nginx为例)

1、为防止跨站感染,将虚拟主机目录隔离(可以直接利用fpm建立多个程序池达到隔离效果)

2、上传目录、include类的库文件目录要禁止代码执行(Nginx正则过滤)

3、path_info漏洞修正:

在nginx配置文件中增加:

阅读全文...

TCP洪水攻击(SYN Flood)的诊断及处理

1. SYN Flood介绍

前段时间网站被攻击多次,其中最猛烈的就是TCP洪水攻击,即SYN Flood。

SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的 TCP连接请求,常用假冒的IP或IP号段发来海量的请求连接的第一个握手包(SYN包),被攻击服务器回应第二个握手包(SYN+ACK包),因为对方是假冒IP,对方永远收不到包且不会回应第三个握手包。导致被攻击服务器保持大量SYN_RECV状态的“半连接”,并且会重试默认5次回应第二个握手包,塞满TCP等待连接队列,资源耗尽(CPU满负荷或内存不足),让正常的业务请求连接不进来。

详细的原理,网上有很多介绍,应对办法也很多,但大部分没什么效果,这里介绍我们是如何诊断和应对的。


阅读全文...

LNMP虚拟主机安全配置

1、背景


众所周知,虚拟主机的安全不好做,特别是防止跨目录成为了重点。apache+php服务器防止跨目录的方式比较简单,网上的所有成熟虚拟主机解决方案都是基于apache的,如directadmin、cpanel。

但如今已然不是apache的时代了,在linux+nginx+mysql+php下怎么防止不同虚拟主机进行跨站?

阅读全文...

iptables默认策略分析

:INPUT ACCEPT [0:0]
# 该规则表示INPUT表默认策略是ACCEPT

#第一个0:匹配默认动作的包的个数

#第二个0:匹配默认动作的包的总字节数

#iptables -nvL 可以查看使用

#Chain INPUT (policy ACCEPT 1731K packets, 299M bytes)

阅读全文...

sqlmap使用实例

******************基本步骤***************
sqlmap -u "http://url/news?id=1" --level=3 --smart --dbms "Mysql" --current-user #获取当前用户名称
sqlmap -u "http://www.xxoo.com/news?id=1" --level=3 --smart --dbms "Mysql" --current-db  #获取当前数据库名称
sqlmap -u "http://www.xxoo.com/news?id=1" --level=3 --smart --dbms "Mysql"--tables  -D "db_name" #列表名
sqlmap -u "http://url/news?id=1" --level=3 --smart  --dbms "Mysql" --columns -T "tablename" users-D "db_name" -v 0 #列字段
sqlmap -u "http://url/news?id=1" --level=3 --smart --dbms "Mysql"  --dump  -C "column_name"  -T "table_name" -D "db_name" -v 0   #获取字段内容

阅读全文...

标签: sqlmapsql注入

作者:良玉 分类:系统安全 浏览:908 评论:0

从内存中窃取未加密的SSH-agent密钥

一、 背景


如果你曾经使用过SSH密钥来管理多台设备,那么你很可能已经用过SSH-agent了。这个工具是用来在内存中保存SSH密钥的,这样用户就不需要每次都输入他们的口令了。然而,这可能招致一些安全威胁。一个以root权限运行的用户可能足以从内存中取出解密后的SSH密钥并重新构造。 由于需要root权限,这个攻击看上去很鸡肋。比如说,一个攻击者可以安装一个键盘记录器并用之获取SSH密钥。然而,这样会导致攻击者必须等待目标输入他们SSH密钥的口令。这可能要花上几个小时,几天,甚至几个星期,取决于目标登出的频率。这也是从内存中获取SSH密钥为什么对于迅速拿下其他机器非常重要


阅读全文...

openSUSE下Fail2ban安装与使用

一、简介

Fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是防火墙),例如当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的IP自动屏蔽工具

Fail2Ban scans log files like /var/log/pwdfail and bans IP that makes too many password failures. It updates firewall rules to reject the IP address. These rules can be defined by the user. Fail2Ban can read multiple log files such as sshd or Apache web server ones.
More documentation, FAQ, HOWTOs are available on the project website:http://www.fail2ban.org


阅读全文...

fail2ban通过nginx日志禁止非法ip访问

 1.fail2ban简介:

fail2ban可以监视你的系统日志,然后匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般情况下是调用防火墙屏蔽),如:当有人在试探你的SSH、SMTP、FTP密码,只要达到你预设的次数,fail2ban就会调用防火墙屏蔽这个IP,而且可以发送e-mail通知系统管理员,是一款很实用、很强大的软件!其实fail2ban就是用来监控,具体是调用iptables来实现动作!


阅读全文...

Linux运维安全小结

文章偏向运维安全多些,不会很具体,主要是关键词总结,以CentOS为例:
0x01  物理防护
1.引导grub.conf 添加密码

1
2
3
4
5
6
title xxx linux server
        root (hd0,0)
        password 123321 //易启动时被看到明文
title xxx linux server
        root (hd0,0)
        password --md5 $1$xxxxxxxxxxxxxxx //推荐配置


阅读全文...

Rsync匿名访问及安全配置

一、 Rsync简介


Rsync,remote synchronize顾名思意就知道它是一款实现远程同步功能的软件,它在同步文件的同时,可以保持原来文件的权限、时间、软硬链接等附加信息。

rsync是用 “rsync 算法”提供了一个客户机和远程文件服务器的文件同步的快速方法,而且可以通过ssh方式来传输文件,这样其保密性也非常好,另外它还是免费的软件。

rsync 包括如下的一些特性:

能更新整个目录和树和文件系统;

阅读全文...

Snort 用户手册

第一章 snort简介

   snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。

嗅探器

阅读全文...