记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

运维安全相关辅助系统及工具

JSRC小课堂上,HRay和橙子师傅分享的,做个小笔记,以后可能会用到。 freeipa:ssh认证统一管理 巡风:一款适用于企业内网的漏洞快速应急、巡航扫描系统 opencanary:低交互蜜罐 suricata:一款开源IDS clamav:linux杀毒软件 rkhunter:rootkit检测工具 ossec:基于主机的入侵检测系统 常用的工具,如下: 网络数据包分析:wireshark、tcpdump 漏洞扫描工具:nmap、nessus、nexpose、awvs、openvas 主机安全安全:ossec、lynis、chkrootkit 日志分析 :splunk、elk 编程语言:python、php、c 系统:backtrack    
发布时间:2017-08-03 18:35 | 阅读:85120 | 评论:0 | 标签:Linux/Unix 系统加固 主机安全 入侵检测 运维安全

Sniffles – 通过正则生成入侵检测数据包的生成器

Sniffles – 通过正则生成检测数据包的生成器 安装 要求:Python 3.3 +和sortedcontainers模块 但包括以下文件: rulereader.py:规则解析器。 ruletrafficgenerator.py:用于生成内容流的工具。 sniffles.py:主程序管理过程。 sniffles_config.py:在命令行输入和配置。 nfa.py:遍历NFA。 regex_generator.py:随机正则表达式生成代码。 rand_rule_gen.py,feature.py,和rule_formats.py:生成随机规则设置模块。 转到根目录。 运行Python3 X setup.py安装。 Github 下载地址
发布时间:2017-01-02 21:00 | 阅读:103376 | 评论:0 | 标签:安全技术 入侵检测

这些年收入过10亿美金的网络安全金主认为自己牢不可破

一份新近的研究表明,过度自信的安全高管可能给机构带来更大的风险。 埃森哲公司发布的一份报告称,2000家企业的的安全从业人员中的四分之三对自己击败任何胆敢入侵系统的恶棍有信心。受调查公司的年收入总额超过10亿美金。 这份报告的名字是《建立信心:面对网络安全难题》。文中称,超过半数的安全高管认为可能需要数月才能检测复杂入侵,而三分之一的安全高管认为根本就没有人发现过这些成功的入侵。 英语区在检测成功入侵方面表现尤其糟糕。30%的美国机构和26%的英国机构需要至少一年才能检测到成功的攻击。这可能是由于针对英语国家的攻击数量非常多。不过,这并没有挫败英国人检测安全入侵的的信心。英国仅次于德国,认为自己能够检测到系统中出现的问题。 来自15个国家最大型企业的高管表示,他们已经“完全将网络安全嵌入到自己的文化中”。然而
发布时间:2016-11-10 18:10 | 阅读:75644 | 评论:0 | 标签:行业动态 入侵检测 埃森哲 安全预算

【公益译文】采取纵深防御策略 提升工控系统网络安全

阅读: 1工控系统作为关键基础设施不可分割的一部分,可简化电力、石油天然气、供水、交通及化工等重要行业部门的运营。日益增长的网络安全问题及其对工控系统的影响愈发凸显了关键基础设施所面临的重大风险。解决工控系统的网络安全问题,须对安全挑战与特定防护措施有清晰认识。全局法使用特定措施逐步增强安全,助力防护工控系统中的网络安全威胁与漏洞。这种方法一般被称为“纵深防御”,适用于工控系统,为优化网络安全防护提供了灵活、可用的框架。人们之所以关注控制系统的网络安全问题,一方面是因为某些系统沿用传统特性,另一方面是因为工控系统联网需求日益增长。在这种关注下,大量已知漏洞被发现,同时一些工控系统领域前所未见的新型威胁也浮出水面。许多老旧系统缺乏恰当的安防能力,无法抵御新型威胁,而现行网络安全方案由于会影响到系统可用性而无法使用

如何用Canarytokens搭建蜜罐并检测可疑入侵

在本文中,我们将通过使用 Canarytokens工具来搭建蜜罐,对特殊资源的异常访问行为进行感知,及时发现入侵痕迹,促使安全人员能在攻击者入侵过程中的各个节点将安全事件应急响应的时间基线推前。蜜罐的建立,主要的目的是用于当检测到蜜罐中的数据或者计算资源有可疑访问时,可对管理员进行告警。在下文中,通过Canarytokens(注:该工具是由Thinkst 创建的开源项目 ,工具的下载地址为:GitHub)工具生成的这类蜜罐与传统的蜜罐不同,其可以有许多种形式,例如它可以是一个无人使用的用户账户,也可以是一个正常用户不会去访问的文件,又或是一个没有人会去点击的链接等等。当针对这个蜜罐(在本文中,这类蜜罐统称为蜜标,honeytokens)进行操作时,通过Cana
发布时间:2016-05-21 01:35 | 阅读:105781 | 评论:0 | 标签:工具 Canarytokens honeytokens 入侵检测 蜜罐

安全事件响应系统设计探讨

阅读: 5层出不穷的安全事件使大家意识到,企业安全体系不是部署入侵检测,防火墙等安全设备就够了。企业安全团队在应对越来越复杂的安全态势力不从心。传统安全产品使安全团队淹没在巨量的告警日志中无法自拔,不知所错。安全研究人员围绕着数据收集,数据分析和响应策略提出了很多模型。其中洛克希德马丁提出的攻击链模型对攻击行为给出了比较清晰的刻画,为如何在海量日志里准确的刻画攻击路径及攻击危害提供了思路。ISCM则提出以主动、自动化和基于风险的方法设计安全响应策略。NASA关于基于持续监控制定安全事件响应机制的报告,对如何构建安全运营系统提出了指导。 今年,绿盟科技推出了基于大数据的安全分析系统,本文即是基于数据分析的安全事件响应系统设计探讨。安全团队在某客户部署了这套系统,接收来自若干台入侵防御系统的日志,利用这套系统为客
发布时间:2015-12-30 14:25 | 阅读:315454 | 评论:0 | 标签:技术分享 数据分析 安全事件响应系统 入侵检测 防火墙 ISCM NASA 安全事件响应

重振入侵检测系统

许多人认为,入侵检测系统(IDS)就像当年的寻呼机一样已经过时。这个观点很大程度上与入侵检测系统已经被入侵防御系统(IPS)所兼并有关,而IPS也已经被第二代防火墙和UTM兼并。这种看法已经从IDS/IPS厂商那里得到验证,这些致力于提高他们的IPS性能的厂商已经把IDS作为IPS组合产品中的其中一项部署。“你想检测入侵吗?那么,只要部署我们的IPS(out-of-band)就可以了!”显而易见,入侵检测系统和入侵防御系统不仅仅是简单的同一种技术的两种部署选项,它们实际上是有着不同需求,目标和不同角色的两种概念。时间和地点现代IDS和IPS最明显的差别在于它们位于攻击的不同阶段。入侵防御是一切关于通过实时检测病毒感染和计算机妥协将危险挡在网络外的技术。IPS检测成千上万个计算机漏洞、已知恶意域名和攻击信号。相反
发布时间:2015-11-16 21:30 | 阅读:84867 | 评论:0 | 标签:牛观点 牛闻牛评 IDS IPS 入侵检测

Radiflow发布ICS/SCADA新型入侵检测系统

专注于工业控制系统(ICS)安全解决方案的厂商Radiflow,推出了一款新型入侵检测系统,该系统专门为 Operational Technology (OT) 网络打造。Radiflow表示,这款新型产品可以加强OT网络的可视程度和控制能力,并使网络安全工作大大简化,无需再去雇佣网络安全专家。尽管工控网络做到了与互联网隔离,但是近年来仍有许多因关键基础设施公司(例如:电力、水利、石油和天然气管道)操作流程的变化而检测出漏洞。Radiflow公司的CTO Yehonatan Kfir说:“ICS网络的威胁来自于有动机的组织如政府和精英黑客,攻击技术高超而强大,而运维人员有效检测并应对ICS网络事件的能力很低。这种攻击方与防守方间的差距,导致ICS网络面临巨大风险。”这款SCADA的入侵检测系统是一套基于服务器的
发布时间:2015-11-16 21:30 | 阅读:99134 | 评论:0 | 标签:技术产品 牛工具 Radiflow 入侵检测 工控网络

Security Onion(安全洋葱):专注入侵检测

Security Onion是用于网络监控和入侵检测的基于Ubuntu的Linux发行版。Security Onion基于Ubuntu,包含了入侵检测、网络安全监控、日志管理所需的Snort、Suricata、Bro、OSSEC、Sguil、Squert、ELSA、Xplico、NetworkMiner等众多工具。Security Onion易于安装,镜像可以作为传感器分布在网络中,以监控多个VLAN和子网。用Squert分析NIDS/HIDS告警使用ELSA切割日志使用CapMe捕获、查看完整的数据包易于升级Security Onion(安全洋葱)可以让你监控到网络中的安全警告,Security Onion经过几年的发展、版本更新,功能不断完善,被众多国内外信息安全从业者所喜爱。http

Linux后门入侵检测工具,附bash漏洞解决方法

一、rootkit简介rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统。rootkit主要有两种类型:文件级别和内核级别,下面分别进行简单介绍。 1、文件级别rootkit文件级别的rootkit一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程
发布时间:2014-09-26 11:12 | 阅读:88101 | 评论:0 | 标签:linux 入侵检测

OSSEC日志泛化及告警规则配置

OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,root-kit检测。1. 测试和验证OSSEC泛化及告警规则OSSEC默认具有一个ossec-logtest工具用于测试OSSEC的泛化及告警规则。该工具一般默认安装于目录 /var/ossec/bin 中。使用示例:/var/ossec/bin/ossec-logtest2014/06/1113:15:36 ossec-testrule: INFO: Reading local decoder file.2014/06/11 13:15:36&nbs
发布时间:2014-06-16 10:15 | 阅读:198699 | 评论:0 | 标签:安全管理 OSSEC 入侵检测 日志分析

许榕生:写在2014网络安全日前夕

写在2014网络安全日前夕–中科院高能所网络安全实验室首席科学家许榕生2014-04-29 | 【大 中 小】| 来源:中科院高能所网络安全实验室 | 编辑:许榕生  科研与军事的需求带来了互联网,但并未解决好互联网的技术全部。今天我们有幸把网络安全与信息化并列并举,成立中央网络安全与信息化领导小组,设立每年4月29日为网络安全日,把网络安全提高到事关国家与国防安全的高度,这在认识上是一个何等的进步!  当互联网刚出现时,人们更多想到的是在全球网络中的信息共享,理想中的快捷、海量的信息交流。然而,人们相信的 “无限美好”的信息时代,是否也会让人们惶惶不安地担心互联网的麻烦,就像人类担心核扩散一样?  网络安全要与信息化建设一起考虑,甚至要把它放在第一位置上,这是多年来很多决策者没有做到,甚至也没有料
发布时间:2014-05-14 14:45 | 阅读:66370 | 评论:0 | 标签:技术探究 时事评论 未分类 杂类Misc 信息安全 入侵检测 网络安全 黑客

ossec入侵检测日志行为分析

上次说写的ossec连载,不幸因为工作太忙夭折了,最近缓过神来决定补上第2篇,言归正传,ossec的功能主要是为了防御及抓坏人,但因为攻防之间本来就信息不对称所以防守方需要能早知道攻击者的行为,这点有很多案例来证明,我们能不能不安装ossec客户端的情况下来对攻击者攻击的入侵行为捕获呢,这也有利于我们对攻击者的行为有进一步的了解,我比较擅长linux,于是这里还以linux安全为主,对于网络边界来说ssh绝对是保护的重点。关于ossec的安装,这里就不在赘述,可以看看官方文档,ossec支持2种模式,第一种是安装ossec客户端,这种在大公司未必适用因为种种原因,还有一种是利用syslog来传输安全日志,我这里主要说的是这个,相信很多人对syslog比较熟,ossec本身对日志的传输也是通过sy
发布时间:2013-12-26 09:30 | 阅读:89729 | 评论:0 | 标签:系统安全 OSSEC 入侵检测 日志分析

linux静态编译工具包

一个朋友的服务器CPU在半夜总是跑的很高,但是却看不到是哪个进程导致的。要我帮他检查下这个linux系统,很久没干这个活了,工具都丢的差不多,重新收集一下。http://www.stearns.org/staticiso/ 编译好的32位静态工具包,但libc有点老,centos6 64下运行直接seg fault了ps: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, strippedhttp://sourceforge.net/projects/costars/ 代码包,有静态编译的脚本 可能里面的app版本有点老,但应该还凑合能用,自己编译下也不错。
发布时间:2013-08-01 11:10 | 阅读:113190 | 评论:0 | 标签:技术点滴 coreutils forensics incident response linux incident re

Wireshark抓取网站弱口令和捕获FTP账号密码

  看到那么的朋友要求写一章关于wireshark数据分析的文章、这次压力忒大、今天终于空下来有时间写这方面的内容。   Wireshark本身是不能破解弱口令的、但是我们可以通过分析抓取到数据进行人工破解呗。   今天我就用我的Smart Testing博客来做下实验了(账号密码都是新建也没啥权限、各位就不要也用这个了)。   一:用wireshark抓取网站登录弱口令   1、 第一步我们设置捕获过滤器(这次我们抓取的是http的数据包、所有在捕获过滤器里面输入http就可以了)   2、 点击开始之后打开我的博客地址(http://www.hiadmin.org)并点击登录、来到http://www.hiadmin.org/wp-login.php页面、输入用户名和密码之后点击登录即可。   3、 登录完
发布时间:2013-04-22 20:15 | 阅读:191501 | 评论:0 | 标签:入侵检测 漏洞预警

网管必读黑客通过什么方式入侵网吧

  首先要说的是国内现在有两种不同类型的网吧,一种是传统的网吧(网吧内的电脑是有主机和分机之分的,所有分机的要求都要经过主机的处理,然后才会到达internet)第二种是DDN网吧,这类网吧没有主机和分机之分,所有在网吧内的电脑是共享一条或多条专线,但每台电脑都有一个静态的IP,而且是直接连接上internet上的。  在第二种类型的网吧中,因为网吧的电脑是直接连上internet的,所以要用木马控制是完全没有问题的,下面就谈一谈传统网吧因为传统网吧中,只有主机是连接上nternet的,网吧内的其它分机想和internet进行数据通讯时就不得不先向主机提送一个请求,在主机上运行的代理服务程序(wingatesygatewinproxy等等)就会对这些请求进行处理,将处理向internet中发送,当收到回应时就将
发布时间:2013-04-22 20:15 | 阅读:66239 | 评论:0 | 标签:入侵检测 菜鸟入门

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云