植入式攻击入侵检测解决方案

植入式攻击入侵检测解决方案

http://netkiller.github.io/journal/security.implants.html

Mr. Neo Chen (陈景峰), netkiller, BG7NYT

中国广东省深圳市龙华新区民治街道溪山美地
518131
+86 13113668890
+86 755 29812080
<[email protected]>

版权 ? 2014 http://netkiller.github.io

版权声明

转载请与作者联系,转载时请务必标明文章原始出处和作者信息及本声明。

文档出处:
http://netkiller.github.io
http://netkiller.sourceforge.net

2014-12-25

摘要

我的系列文档

Netkiller Architect 手札 Netkiller Developer 手札 Netkiller PHP 手札 Netkiller Python 手札 Netkiller Testing 手札
Netkiller Cryptography 手札 Netkiller Linux 手札 Netkiller Debian 手札 Netkiller CentOS 手札 Netkiller FreeBSD 手札
Netkiller Shell 手札 Netkiller Security 手札 Netkiller Web 手札 Netkiller Monitoring 手札 Netkiller Storage 手札
Netkiller Mail 手札 Netkiller Docbook 手札 Netkiller Version 手札 Netkiller Database 手札 Netkiller PostgreSQL 手札
Netkiller MySQL 手札 Netkiller NoSQL 手札 Netkiller LDAP 手札 Netkiller Network 手札 Netkiller Cisco IOS 手札
Netkiller H3C 手札 Netkiller Multimedia 手札 Netkiller Perl 手札 Netkiller Amateur Radio 手札 Netkiller DevOps 手札

目录

1. 什么是植入式攻击?

什么是植入式攻击,通俗的说就是挂马,通过各种手段将木马上传到你的系统,修改原有程序,或者伪装程序是你很难发现,常住系统等等。

2. 为什么骇客会在你的系统里面植入木马?

通常挂马攻击骇客都是有目的的很少会破坏你的系统,而是利用你的系统。

例如,使用你的网络作DDOS攻击,下载你的数据资料卖钱等等

3. 什么时候被挂马?

有时你到一家新公司,接手一堆烂摊子,俗称“擦屁股”。这是中国是离职,中国式裁员,中国式工作交接.....的结果,各种奇葩等着你。

你接手第一项工作就是工作交接,最重要的工作可能就是检查系统后门。通常工作交接少有积极配合的,全要靠你自己。

4. 在那里挂马的?

在我多年的工作中遇到过很多种形式挂马,有基于Linux的rootkit,有PHP脚本挂马,Java挂马,ASP挂马。通常骇客会植入数据库浏览工具,文件目录管理工具,压缩解压工具等等。

5. 谁会在你的系统里挂马?

98%是骇客入侵,1%是内人干的,1%是开后门仅仅为了工作方便。

本文对现有的系统无能为力,只能监控新的入侵植入

6. 怎样监控植入式攻击

6.1. 程序与数据分离

程序包括脚本,变异文件等等,通常是只读权限

数据是指由程序生成的文件,例如日志

将程序与数据分离,存放在不同目录,设置不同权限, 请关注“延伸阅读”中的文章,里面有详细介绍,这里略过。

我们这里关注一旦运行的程序被撰改怎么办,包括入侵进入与合法进入。总之我们要能快速知道那些程序文件被修改。前提是我们要将程序与数据分离,才能更好地监控程序目录。

6.2. 监控文件变化

我使用 Incron 监控文件变化

# yum install -y incron
# systemctl enable incrond
# systemctl start incrond

安装日志推送程序

$ git clone https://github.com/netkiller/logging.git
$ cd logging
$ python3 setup.py sdist
$ python3 setup.py install

配置触发事件

# incrontab -e
/etc IN_MODIFY /srv/bin/monitor.sh [email protected]/$#
/www IN_MODIFY /srv/bin/monitor.sh [email protected]/$#

# incrontab -l
/etc IN_MODIFY /srv/bin/monitor.sh [email protected]/$#
/www IN_MODIFY /srv/bin/monitor.sh [email protected]/$#

/srv/bin/monitor.sh 脚本

# cat /srv/bin/monitor.sh
#!/bin/bash
echo [email protected] | /usr/local/bin/rlog -d -H 172.16.0.10 -p 1220 --stdin

/etc 与 /www 目录中的任何文件被修改都回运行/srv/bin/monitor.sh脚本,/srv/bin/monitor.sh脚本通过/usr/local/bin/rlog程序将文件路径数据发给远程主机172.16.0.10。

6.3. 安装日志收集程序

$ git clone https://github.com/netkiller/logging.git
$ cd logging
$ python3 setup.py sdist
$ python3 setup.py install

配置收集端端口,编辑文件logging/init.d/ucollection

done << EOF
1220 /backup/172.16.0.10/incron.log
1221 /backup/172.16.0.11/incron.log
1222 /backup/172.16.0.12/incron.log
EOF

然后根据incron.log给相关管理人员发送邮件或短信警报等等,关于怎么发邮件与短信不再本文谈论范围,有兴趣留意我的官网。

7. 延伸阅读

数据库记录安全解决方案

Tomcat 安全配置与性能优化

Linux 系统安全与优化配置

网站防刷方案

PHP 安全与性能

http://netkiller.github.io/storage/incron.html

时间: 2024-08-24 01:16:36

植入式攻击入侵检测解决方案的相关文章

入侵检测技术考点

第一章.入侵检测概述 入侵检测定义:入侵是指在非授权得情况下,试图存取信息.处理信息或破坏以使系统不可靠.不可用的故意行为. 入侵检测的基本原理:主要分为四个阶段: 1.      数据收集:数据收集是入侵检测的基础,采用不同的方法进行分析. 2.      数据处理:从原始数据中除去冗余.杂声,并且进行格式化以及标准化处理. 3.      数据分析:检查数据是否正常,或者显示是否存在入侵. 4.      响应处理:发现入侵,采取措施进行保护,保留入侵证据并且通知管理员. 1.4 入侵检测的

六:入侵检测技术实战

入侵检测技术可实时监控网络传输,自动检测可疑行为,分析来自网络外部入侵信号和内部的非法活动,在系统受到危害前发出警告,对攻击做出实时的响应,并提供补救措施,最大程度地保障系统安全. 6.1 入侵检测概述 所谓入侵检测是指试图监视和尽可能阻止有害信息的入侵,或其他能够对用户的系统和网络资源产生危害的行为.简单地 说,它是这样工作的:用户有一个计算机系统,它与网络连接着,也许也同互联网连接.由于一些原因,允许网络上的授权用户访问该计算机.比如说,有一个连接 着互联网的Web服务器,允许自己的客户.员

基于网络(NIDS)的入侵检测系统

入侵(Instruction)是个 广义的概念,不仅包括被发起攻击的人取得超出合法权限的系统的控制权,也包括搜集漏洞信息,造成拒绝访问(Denial of service)等对计算机系统造成危害的行为. 通过被动地监测网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件.此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台:配置简单,不需要任何特殊的审计和登录机制:可检测协议攻击.特定环境的攻击等多种

入侵检测

入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的发觉.他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.入侵检测是防火墙的合理补充. 入侵检测系统所采用的技术可分为特征检测与异常检测两种: 特征检测: 特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式.它

黑客经验谈:跳板攻击入侵技术实例解析

网络入侵,安全第一.一个狡猾.高明的入侵者,不会冒然实行动.他们在入侵时前会做足功课,入侵时会通过各种技术手段保护自己,以防被对方发现,引火烧身.其中,跳板技术是攻击者通常采用的技术.下面笔者结合实例,解析攻击入侵中的跳板技术. 1.确定目标 攻击者在通过扫描工具进行定点(IP)扫描或者对某IP段扫描的过程中发现了该系统(服务器)的某个漏洞,然后准备实施攻击. 比如,笔者通过对某IP段的扫描,发现该IP段IP地址为211.52.*.84的主机存在MYSQL漏洞,可以通过提权获取系统权限进而控制该

防火墙、入侵检测

  [防火墙与入侵检测] 防火墙: 防火墙是由软件.硬件构成的系统,是一种特殊编程的路由器,用来在两个网络之间实施接入控制策略.接入控制策略是由使用防火墙的单位自行制订的,为的是可以最适合本单位的需要. 防火墙内的网络称为"可信的网络"(trusted network),而将外部的因特网称为"不可信的网络"(untrusted network). 防火墙可用来解决内联网和外联网的安全问题. 防火墙在互连网络中的位置 : 防火墙的功能: 防火墙的功能有两个:阻止和允许

SNORT入侵检测系统

0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:"Web Access"; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向. msg:在告警和包日志中打印消息 sid:Snort规则id - 这条规则看字面意思就很容易理解.Snort就是利用规则来匹配数据包进行实时流量分析,网络

构建基于Suricata+Splunk的IDS入侵检测系统

一.什么是IDS和IPS? IDS(Intrusion Detection Systems):入侵检测系统,是一种网络安全设备或应用软件,可以依照一定的安全策略,对网络.系统的运行状况进行监视,尽可能发现各种攻击企图.攻击行为或者攻击结果,并发出安全警报. IPS(Intrusion Prevention System):入侵防御系统,除了具有IDS的监控检测功能之外,可以深度感知检测数据流量,对恶意报文进行丢弃,以阻止这些异常的或是具有伤害性的网络行为. NSM:网络安全监控系统,用于收集.检

入侵检测技术综述-蜜罐(1)

一.burpsuite pro 版本下载地址https://pan.baidu.com/s/1pMoBYVh   密码bq42 二.入侵检测技术 1.计算机系统面临的威胁 拒绝服务 概念---->目标服务器不能提供正常的服务, 引发缘由 服务请求超载,在短时间内向服务器发送大量请求,是目标服务器来不及处理,最终导致服务器奔溃, SYN洪水,利用TCP协议在短时间内向服务器发送大量半开链接服务,即只发送SYN/ACK报文,而不发送最后的ACK报文,使得目标服务器保留链接资源,希望收到可能传送的报文