记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

利用Azure安全中心可以提前检测到Linux受到的攻击

一般来说,黑客会在攻击之前选择攻击目标,比如盗取存储在受害者计算机上的信息,或者获取设备的某些访问权限,更有甚者,直接使用受害设备本身的处理能力,甚至将计算机作为其他攻击的起点(比如挖矿或作为肉鸡)。在Microsoft Azure的Linux虚拟机(VM)上,研究人员经常看到攻击者安装并运行加密货币挖掘软件。Azure安全中心(ASC)使用在多个Linux发行版上运行的代理,在启用auditd时,它会收集包括流程创建事件的日志。它们通过检测pipeline运行,以查找恶意和可疑的活动,安全警报会显示在ASC的门户网站上。Microsoft威胁情报中心使用了一系列方法来识别新出现的威胁,包括复杂的混合Linux蜜罐服务
发布时间:2018-12-03 12:20 | 阅读:14365 | 评论:0 | 标签:Web安全 linux

如何在任意进程中修改内存保护属性

最近,我们在进行一项安全研究时,需要在任意进程中修改内存空间的保护标志。起初,我们发现这项任务看起来很简单,但在实际操作中,却发现困难重重,还好这些都不是什么大问题。在解决这些问题的过程中,我们还学到了一些新的东西,主要是关于Linux机制和内核开发的。在以下的详解中,我们会介绍我们所采取的三种方法以及每次寻求更好解决方案的原因。背景介绍在现代操作系统中,每个进程都有自己的虚拟地址空间(从虚拟地址到物理地址的映射)。此虚拟地址空间由内存页面(某些固定大小的连续内存块)组成,且每个页面都有保护标志,这些保护标志决定了允许对该页面的访问类型(读取、写入和执行)。不过,这种机制依赖于架构页表(architecture pag
发布时间:2018-11-30 12:20 | 阅读:21058 | 评论:0 | 标签:Web安全 linux

厉害了!Linux加密货币挖矿机可删除杀毒软件

Doctor Web安全研究人员发现了一种专门用于提取加密货币的木马,它可以感染其他网络设备并删除系统中运行的防病毒软件。该木马被命名为Linux.BtcMine.174,是一个用shell语言编写的脚本,包含1000多行代码。恶意软件由多个组件组成。在启动时,木马首先会检查C2服务器的可用性,然后从C2服务器下载其他需要的模块,并在磁盘上搜索具有写入权限的文件夹,然后加载这些模块。之后,脚本将移动到先前选择的名为diskmanagerd的文件夹,并作为守护程序重新启动。该木马会使用nohup程序。如果nohup不在系统中,木马就会自动下载并安装包含nohup的coreutils实用程序包。在设备上的安装成功后,恶意脚
发布时间:2018-11-26 12:20 | 阅读:21010 | 评论:0 | 标签:系统安全 linux 加密

Alpine Linux APK包管理器远程代码执行漏洞分析

概述Alpine是一款面向安全应用的轻量级Linux发行版本,常作为Docker镜像使用。在研究过程中,我们发现了Alpine Linux默认包管理器APK的一些漏洞。该漏洞允许网络中间人(或恶意包镜像)在用户的机器上实现任意代码执行。这一漏洞的后果尤为严重,因为在使用默认仓库(Repositories)的过程中,并不会通过TLS的方式提供包。目前,这一漏洞已经得到修复,并且Alpine的基础镜像已经更新。受漏洞影响的用户需要及时对镜像进行更新。在获得代码执行漏洞利用后,我想出了一个很酷的方法,通过写入/proc/<pid>/mem,使原始apk进程退出,并返回状态码(Exit Code)0,且该方法不需要
发布时间:2018-09-17 12:20 | 阅读:31754 | 评论:0 | 标签:漏洞 linux

Linux内核exp提权实战

获取root权限是Linux漏洞利用的终极目标。跟Windows中的System用户一样,root用户拥有对操作系统的所有管理权限。在渗透中,有时候成功利用某些漏洞只会获取一个低权限用户,所以需要使用提权技巧,提升到权限更高的root用户,完全控制整个系统。第一步 信息收集&搜索exp在上一篇文章中,我们使用metasploit利用shellshock漏洞获取到了靶机上的一个低权限的shell。而我们的终极目标是root权限,所以我们需要提权,打破低权限shell的限制。上一篇文章链接: http://www.4hou.com/vulnerable/12984.html我们将使用一个内核exp提权到root用户
发布时间:2018-08-17 12:20 | 阅读:63648 | 评论:0 | 标签:技术 linux Linux提权 exp 提权

攻击者如何向正在运行的Linux进程注入恶意代码

概述目前,已经有很多详细的技术文章,讲解攻击者是如何将被感染的文件注入到二进制代码中,以便下次启动受感染的程序时执行恶意代码。但是,针对正在运行的进程,攻击者可以采取什么方式实现感染呢?本文将主要介绍攻击者如何在内存中向正在运行的进程实现注入,换而言之,本文主要介绍如何编写自己的调试器。相关研究成果在展开细节之前,我们首先介绍一些相关的基础知识和研究成果。我们的第一个示例与恶意软件无关,而是一个多年来始终在研究的问题:运行时修补(Run-time Patching)。在实际中,有一些系统不能轻易关闭,否则将会造成很大的经济损失。在这种情况下,如何将补丁更新到正在运行的进程(最好是不需要重新启动应用程序)成为了一个热点问
发布时间:2018-07-25 12:20 | 阅读:59534 | 评论:0 | 标签:技术 linux 注入

通过Joe Sandbox Linux沙箱对VPNFilter的分析报告

随着越来越多的恶意软件将Linux操作系统作为攻击目标,Linux恶意软件正成为安全新闻头条的热门话题。在2018年,有超过110亿的嵌入式设备具有网络功能(Gartner),因此,以物联网(IoT)为目标的bot前景一片大好。而Mirai和VPNFilter只是最近的一些例子。几个月来,我们一直在研究一种新产品,以分析针对Linux的恶意软件。近期,我们发布了Joe Sandbox Linux,这是一款恶意软件深层分析引擎,用于对抗Ubuntu和CentOS上存在的威胁。通过在Linux上添加分析,Joe Sandbox是现在市面上唯一可利用的恶意软件分析系统,它可以分析Windows、MacOS、Linux、And
发布时间:2018-06-12 12:20 | 阅读:59383 | 评论:0 | 标签:技术 linux 恶意软件 物联网

linux内核中使用mmap带来的安全问题

我们会在不同产品中识别漏洞,这也是我们工作的一部分,因此,我们会不定时地检查Linux内核,目的主要是在不同的驱动程序中寻找漏洞。在本例中,我们检查了试图擅自利用mmap()函数的驱动程序。由于在组织中,很少有QA人员会检查其代码,并将安全问题作为其编写的程序一部分。因此,重新实现内核功能的想法很可能会导致错误。在这种情况下,我们发现并揭示了几个问题,我们发现的具体的bug实际上是一个存在了8年的驱动程序漏洞,可以利用其在最新的内核版本(4.16-rc3)中升级特权。下面是关于这些漏洞的一个例子。MMAP处理程序对于驱动程序来说,实现其自身版本的文件操作功能并不少见;这可以在一个驱动的file_operations结构
发布时间:2018-05-04 12:20 | 阅读:54910 | 评论:0 | 标签:漏洞 linux

Linux内核网络设备——bridge设备

阅读: 5和前面的文章一样,这次我们来一起讨论下bridge设备的数据走向。以下的实验简单,可以帮助linux技术初学者入门、理解。往期回顾:Linux 内核网络设备——vEth 设备和 network namespace 初步Linux内核网络设备——tun、tap设备文章目录Linux内核中的bridge设备1. bridge设备介绍:2. bridge实验:3. Bridge设备的常用场景Linux内核中的bridge设备1. bridge设备介绍:1.1 bridge设备也是一种虚拟的网络设备,所以具有网络设备的特性,bridge设备是一种纯软件实现的虚拟交换机,所以和物理的交换机有着类似的功能(mac地址学习、stp、fdb等)1.2 bridge设备既可以配置ip地址也可以配置mac地址,可以实现交
发布时间:2018-04-02 20:05 | 阅读:69133 | 评论:0 | 标签:安全分享 Linux linux bridge Linux内核

简单四步加强Linux系统安全

阅读: 8随着Linux系统在服务器中的广泛应用,系统的安全问题也受到人们关注,特别是系统管理员;如果不做好系统的安全防护,就会存在被非法用户入侵的可能,下面分享在实际运维过程中的几点加强系统安全的方法。文章目录一、账号和口令二、远程登陆三、开启防火墙四、使用sudo提升执行权限一、账号和口令为系统管理员建立普通权限的账号,为监控机建立监控账号,分别用于日常系统维护和系统监控;禁止不必要登陆的账号使用shell权限;例如专为应用程序创建的用户不需要登陆,可使用如下命令创建useradd mysql –M –s /sbin/nologin1useradd mysql –M –s /sbin/nologin强制使用高强度密码,包含字母(大写字母和小写字母),数字和特殊符号;这个是老生常谈的问题,很多时候都是由于管理
发布时间:2018-03-13 15:05 | 阅读:103335 | 评论:0 | 标签:安全分享 Iptables Linux sudo 系统安全 防火墙

如何恢复Linux下误删etc目录数据

对于运维工作者来说,可能最让人担心的,是服务器宕机; 最让人无助的,是被DDOS; 而最让人心惊肉跳的,是rm -rf *这个命令…… 当你执行rm -rf命令时,万一哪个变量没赋值 听说过被删空服务器么? mysql数据库不是在运行吗? linux能删除正在执行的文件?反正是彻底删除了…… 那一夜,你没有拒绝我…… 那一夜,我心儿破碎…… 我们平时工作中,rm -rf *这个命令给每个使用linux系统的工程师带来了深深的恐惧。 你以为今天我们是来哭诉服务器被清空之后有多惨的嘛? 不! 山重水复疑无路,误删文件能恢复! 今天就给大家分享一个在误删/etc目录后,救命止损的数据恢复教程。 一、紧急措施 1.如果你是远程登录服务器的,首先要保持连接不被断开。不操作时用vim保持连接状态。 此时虚拟控制终端和ss
发布时间:2017-10-27 16:15 | 阅读:76243 | 评论:0 | 标签:数据安全 linux 恢复 误删

DNS查询竟然可以黑掉Systemd

Systemd是Linux社区最钟爱的基石,但可能会被恶意DNS服务器劫持或弄崩溃。补丁已出,受影响用户应尽快安装。无论是PC、服务器、平板,还是什么其他小玩意儿,在装了脆弱Systemd的计算设备上查询主机名称,都足够邪恶DNS服务触发攻击的了:该软件的解析组件易遭欺骗,为查询响应分配过小内存,导致收到大回复时引发数据溢出,让攻击者可覆盖内存,弄崩进程或远程执行代码——这意味着远程的恶意DNS服务可在你的计算机上运行恶意软件。克里斯·科尔森,Ubuntu厂商Canonical雇员,发现了该“systemd-resolved”(网络名称解析服务)越界写漏洞。他解释道:“恶意DNS服务器可响应特别构造的TCP攻击载荷,诱骗systemd-resolved分配过小缓存,再写入任意数据溢出该缓存。”该编程缺陷是201
发布时间:2017-07-05 06:05 | 阅读:65119 | 评论:0 | 标签:威胁情报 linux Systemd 恶意DNS查询

伪装在系统PAM配置文件中的同形异义字后门

* 原创作者:fnpimr43017,本文属FreeBuf原创奖励计划,未经许可禁止转载 0×00. 前言 受到 这篇文章 启发,故有此文。 目前主流的Linux发行版本都支持Unicode,这也给了利用同形异义字迷惑系统管理员的后门有了可乘之机。 本文通过案例描绘此类漏洞是如何实现的。 0×01. 同形异义字后门案例 我们看一下 ssh 的 pam 认证模块 注意第一行 @ include common-auth 我们再看一下 common-auth 注意红框圈的那一行 auth    [success=1 default=ignore]    pam_unix.so nullok_secure pam_unix.so 是用于
发布时间:2017-06-28 13:05 | 阅读:72474 | 评论:0 | 标签:系统安全 linux Unicode 同形异义 后门

韩国公司遭遇勒索软件 无奈付出100万美元赎金

韩国Web托管公司交出100万美元赎金——在遭受了8天宕机的噩梦之后。Nayana在6月10日披露了遭攻击的消息,称客户视频文件及其数据库均经加密,并承诺会努力恢复数据。超150台服务器受到攻击,其上托管着3400多家中小企业客户的站点。经过与黑客漫长的谈判,价值从最初的440万美元的比特币赎金要求,降至约100万美元(397.6比特币)。赎金被要求分3期支付,目前为止,该公司已支付了头2期。趋势科技认为,该攻击使用了Linux加密勒索软件Erebus。Erebus的勒索通告攻击当时,Nayana运行的是脆弱的系统版本——老旧Linux内核 2.6.24.2,2008年编译, Apache 1.3.36 和 PHP 5.1.4(均可追溯至2006年)。除了受到为什么系统必须保持更新的教训,Nayana还与韩国互
发布时间:2017-06-23 06:30 | 阅读:78641 | 评论:0 | 标签:牛闻牛评 Erebus linux Nayana 勒索威胁 百万美金

CVE-2017-7494 Samba 远程代码执行漏洞分析

阅读: 575月24 日,Samba官方发布消息,Samba服务器软件存在远程执行代码漏洞。攻击者可以利用客户端将指定库文件上传到具有可写权限的共享目录,会导致服务器加载并执行指定的库文件。文章目录漏洞描述Samba介绍漏洞分析参考漏洞描述Samba服务器软件存在远程执行代码漏洞。攻击者可以利用客户端将指定库文件上传到具有可写权限的共享目录,会导致服务器加载并执行指定的库文件。以下Samba版本受到影响:– 3.5.0- 4.6.4– 3.5.0- 4.5.10– 3.5.0- 4.4.14Samba介绍Samba是在Linux和Unix系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网
发布时间:2017-05-26 16:45 | 阅读:170354 | 评论:0 | 标签:安全报告 CVE-2017-7494 Linux Samba 漏洞 Samba 远程代码执行漏洞 Samba 远程代码执

Linux设备TCP连接的有趣漏洞:传说中的Off-Path劫持

一般我们会认为,要确认互联网上的任意两台主机设备是否建立TCP连接通讯,其实并不容易——攻击者如果不在双方的通讯路径中,就更是如此了。另外如果攻击者并不在通讯路径中,要中途中断双方的这种连接,甚至是篡改连接,理论上也是不大可能的。 来自加州大学河滨分校,以及美国陆军研究实验室的研究人员,去年8月份联合发表了一篇论文,题为《Off-Path TCP Exploits: Global Rate Limite Considered Dangerous》。这篇文章提到Linux服务器的TCP连接实施方案存在高危安全漏洞,攻击者可利用该漏洞来劫持未加密Web流量,或者破坏如Tor连接一类的加密通讯;此漏洞编号CVE-2016-5696。 我感觉这是个极有意思的安全问题,我的这篇文章当时就已经作为编译资讯在FreeBuf发
发布时间:2017-05-06 01:55 | 阅读:95480 | 评论:0 | 标签:专栏 linux TCP握手 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云