记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

灯塔实验室·技术沙龙(第五期)

本次沙龙主题为“网络空间靶场能力建设”,讨论话题将围绕虚拟化技术、网络仿真技术、试验数据采集与评估技术以及靶场在攻防对抗、安全评估以及培训方面的应用前景等相关话题。 灯塔安全沙龙秉承开放讨论,自由分享的理念,鼓励出席参与者都能分享技术见解和心得,不限分享风格与形式。 本次沙龙活动于2017年10月14日在北京市海淀区逐鹿茶楼举行完毕,以下是来宾在沙龙上的议题汇总。 《网络安全靶场行业现状》:贾若伦 来自国家工业信息安全发展研究中心的贾若伦分享了团队针对全球网络靶场靶场技术发展方向以及商业运营模式。尤其针对美国国家赛博靶场NCR、英国联邦网络试验靶场FCR、日本Starbed、加拿大CASELab等国家级网络靶场研制特点、阶段性成果等进行了深入分析,除此之外也分享了思科CyberRange、Ixia Break

【干货分享】应急响应案例分析与经验分享

阅读: 27网站首页图片被篡改;服务器被上传大量博彩文件,且rm -rf不能删除;服务器中了勒索病毒,文件被加密……出现以上情况如何应急?别着急,绿盟科技一线交付工程师手把手教你应急响应,快快来学习吧!应急响应准则:有迹可循,倒推分析攻击者:漏洞->攻击行为->攻击迹象应急人员:攻击迹象->攻击者->行为分析->定位漏洞文章目录案例一:网站首页图片被篡改案例二:服务器被上传大量博彩文件,且rm -rf不能删除案例三:服务器中了勒索病毒,文件被加密经验分享案例一:网站首页图片被篡改攻击者入侵成功后可能会对网站进行篡改,比如上传黑页、博彩页面、webshell等。从攻击者的心理分析,往往攻击者会是这些黑页、博彩页面或者webshell的首次访问者。1.首页头顶图片被篡改为z.JPG,发

Jboss后台getshell及日志分析相关

Jboss是一款开源的JAVA应用服务器,有多个版本,Jboss AS4、AS5、AS6、AS7等,JBoss AS目前作为Redhat公司的商业产品JBoss Enterprise Application Platform的上游基础,为了使这两个产品有差异化,避免用户混淆,因此该公司在去年10月份就寻求为JBoss AS找一个新名字WildFly。 1、漏洞情况 Jboss AS4存在的漏洞主要有: jmx-console弱密码或密码泄露导致getshell admin-console弱密码或者密码泄露导致getshell Jboss AS5存在的漏洞主要有: 以下都是用jboss 5.1.0进行的测试 jmx-console弱密码或密码泄露导致getshell(亲测不存在,按照AS6的方法并未部署成功) a
发布时间:2017-09-05 06:05 | 阅读:93237 | 评论:0 | 标签:Other 系统加固 jboss后台getshell JBoss漏洞 日志分析

【视频】TechWorld2017热点回顾 | 机器学习在安全攻防的实践

阅读: 20TechWorld 2017的圆桌论坛中我们讨论了机器学习在网络安全的应用,那机器学习在安全攻防的具体实践有哪些呢?如何利用机器学习对安全事件进行回溯及预警?机器学习、全流量威胁分析、攻击链、时序关联这些热点词你都懂吗?读完这篇文章你就离老司机不远了!文字不过瘾?直接点击文末视频链接近距离感受机器学习的神秘魔力吧!文章目录网络安全现状及发展方向机器学习在流量分析方面的实践高级威胁的检测之道全流量威胁分析方案流量威胁分析过程基于DNS数据实现僵尸网络发现机器学习发现蠕虫传播行为机器学习发现隐蔽信道机器学习在日志分析方面的实践传统日志分析之殇基于攻击链的安全分析事件理解模型时序关联分析攻击时序分析——数据特征化机器学习实践——攻击过程归纳攻击过程分析实际安全场景分析机器学习实践——攻防场景预警及回溯未来
发布时间:2017-08-23 05:40 | 阅读:163552 | 评论:0 | 标签:技术前沿 TechWorld直播 绿盟 techworld视频 techworld视频 绿盟 僵尸网络 全流量威胁分析

vsftpd相关安全配置及日志分析

vsftpd是运维常用一个服务,vsftpd 2-2.3.4版本存在后门漏洞,可以进行远程命令执行,获取服务器权限等。 并且如果vsftpd配置不当,可能会导致匿名用户直接访问上传下载等,相关风险配置: 1,匿名用户相关配置 anonymous_enable=YES/NO(YES) 控制是否允许匿名用户登入,YES 为允许匿名登入,NO 为不允许。默认值为YES。 write_enable=YES/NO(YES) 是否允许登陆用户有写权限。属于全局设置,默认值为YES。 no_anon_password=YES/NO(NO) 若是启动这项功能,则使用匿名登入时,不会询问密码。默认值为NO。 ftp_username=ftp 定义匿名登入的使用者名称。默认值为ftp。 anon_root=/var/ftp 使用匿
发布时间:2017-08-03 01:40 | 阅读:63437 | 评论:0 | 标签:Linux/Unix 系统加固 vsftpd安全配置 vsftpd日志分析 vsftpd漏洞 应急响应 日志分析

大话蜜罐日志分析

*本文原创作者:Leon不会玩QEMU,属Freebuf原创奖励计划,未经许可禁止转载 0×00 前言 在部署蜜罐之后,会产生大量的日志,对于威胁情报而言,我们需要通过这些日志来提取其中的有用的数据,本文将会描述提取那些数据用来完成分析。 部署蜜罐之后会生成描述发生的事件的日志记录。能够收集到的安全事件将取决于我们部署的蜜罐的类型,比如部署SSH蜜罐你将会收集到一些服务器安全相关的日志。因此,我们应当在采集日志之前先要确定我们采集日志的类型以及采集日志的种类,再根据这个来确定蜜罐的设计和部署。如果要捕获的目标是基于与远控C&C服务器来完成交互的,我们就应该考虑使用客户端蜜罐,如果不是的话,就需要使用服务器蜜罐。 如果我们调查特定服务的协议以及事务数据的元信息,这时候我们应该去选择低交互蜜罐。如
发布时间:2017-02-10 19:20 | 阅读:96341 | 评论:0 | 标签:WEB安全 网络安全 日志分析 蜜罐

锐捷也开始做大数据安全了

“锐捷是一家网络设备厂商”,这是大部分IT人之前对锐捷的普遍认识。近几年,随着其在无线领域的发力,锐捷已经将自己的定位从“网络设备厂商”扩大到“数据通信解决方案供应商”,并逐渐在网络安全领域开始发力。上周三,锐捷网络体验中心,锐捷的第一款大数据安全产品也正式发布。 锐捷网络安全与应用交付产品事业部总经理项小升 从6小时到5分钟 这是一个某省会大三甲医院在安全问题定位上的案例。 “某日10:30,X业务系统服务中断,3名安全运维工程师开始依次对业务软件、服务器、交换机、WAF、漏扫、IDS、防火墙等近百万条设备日志进行依次排查,在业务中断三小时后发现日志中的异常,业务中断5个半小时后确定攻击路径,最终在业务中断后6小时后将WAF及防火墙的策略重配,并在服务器打好相应安全补丁,业务系统才得以恢复。5个半小时的安全
发布时间:2016-10-31 15:40 | 阅读:98253 | 评论:0 | 标签:技术产品 大数据安全 日志分析 锐捷

HanSight瀚思化身金融反欺诈斗士 保驾护航黄金周

“刚才接一骗子电话:我们是某某银行,刚才查询发现您的银行卡昨天在境外消费8万8千美元,请问是您本人消费么?我说:是我本人消费的。骗子沉默了5秒后说:您真能吹牛逼。” 这是一个笑话,骗子行骗,反被调戏,醒悟,言语攻击……然而,这又是一个现状,如此骗局,生活中比比皆是,试问如果“我”不是如此机智,后果会是什么? 不止平时,每逢节假日随之暴涨不仅仅是旅游业,还有各种金融诈骗事件。尽管国家已经有法律法规对黑产进行相关处罚,然而快速收益和高回报也让越来越多的黑客铤而走险(刑法里非法入侵计算机系统罪会被判处三年到七年有期徒刑)。有数据统计,目前保守估计中国黑产从业人员已经超过160万,黑产市场规模已经达到千亿级别,而首当其冲受其所害的则以金融为主。 十一黄金周如期而至,各种金融欺诈招数揭秘文章也扎堆来袭,例如: 重要网
发布时间:2016-10-09 04:15 | 阅读:93735 | 评论:0 | 标签:厂商供稿 大数据安全 日志分析 瀚思

OSSEC日志泛化及告警规则配置

OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,root-kit检测。1. 测试和验证OSSEC泛化及告警规则OSSEC默认具有一个ossec-logtest工具用于测试OSSEC的泛化及告警规则。该工具一般默认安装于目录 /var/ossec/bin 中。使用示例:/var/ossec/bin/ossec-logtest2014/06/1113:15:36 ossec-testrule: INFO: Reading local decoder file.2014/06/11 13:15:36&nbs
发布时间:2014-06-16 10:15 | 阅读:166359 | 评论:0 | 标签:安全管理 OSSEC 入侵检测 日志分析

ossec入侵检测日志行为分析

上次说写的ossec连载,不幸因为工作太忙夭折了,最近缓过神来决定补上第2篇,言归正传,ossec的功能主要是为了防御及抓坏人,但因为攻防之间本来就信息不对称所以防守方需要能早知道攻击者的行为,这点有很多案例来证明,我们能不能不安装ossec客户端的情况下来对攻击者攻击的入侵行为捕获呢,这也有利于我们对攻击者的行为有进一步的了解,我比较擅长linux,于是这里还以linux安全为主,对于网络边界来说ssh绝对是保护的重点。关于ossec的安装,这里就不在赘述,可以看看官方文档,ossec支持2种模式,第一种是安装ossec客户端,这种在大公司未必适用因为种种原因,还有一种是利用syslog来传输安全日志,我这里主要说的是这个,相信很多人对syslog比较熟,ossec本身对日志的传输也是通过sy
发布时间:2013-12-26 09:30 | 阅读:66124 | 评论:0 | 标签:系统安全 OSSEC 入侵检测 日志分析

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云