蓝队
文章平均质量分 76
Thgilil
少就是多,慢就是快
展开
-
开源入侵检测系统—Snort检测NMap扫描和SQL注入
前两篇我们完成了对Snort的安装、配置,了解了Snort配置为 IDS 的基本使用这一篇讲一讲 Snort 如何对 Nmap扫描和 SQL 注入进行检测检测Nmap扫描1、NMAP Ping扫描规则vim /etc/snort/rules/local.rules##下面的规则都写入这个文件中alert icmp any any -> 192.168.43.97 any (msg: "NMAP ping sweep Scan"; dsize:0;sid:10000001; rev: 1原创 2021-10-18 22:55:19 · 6314 阅读 · 3 评论 -
开源入侵检测系统—Snort的配置与检测规则编写
IDS(入侵检测系统)模式配置1、创建snort用户和组,其中snort为非特权用户groupadd snortuseradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort2、配置目录IDS 模式运行时会创建一些目录,其中配置文件储存在 /etc/snort 中,规则储存在 /etc/snort/rules中,编译规则储存在 /usr/local/lib/snort_dynamicrules 中,日志粗存在 /var/log/snort 中#创原创 2021-10-18 22:48:14 · 7308 阅读 · 0 评论 -
开源入侵检测系统—Snort安装
Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS。安装系统:虚拟机CentOS7首先安装 web 服务组件 LAMPApache#apacheyum install httpd httpd-devel#启动ahachesystemctl start httpd#原创 2021-10-18 22:40:20 · 4537 阅读 · 1 评论 -
开源蜜罐——HFish搭建
开源蜜罐HFishHFish由控制端和节点端组成,控制端用来生成和管理节点端,并接收、分析和展示节点端回传的数据,节点端接受控制端的控制并负责构建蜜罐服务。蜜罐可以部署再外网,将节点部署在互联网区,用来感知互联网来自自动化蠕虫、竞争对手和境外的 真实威胁,甚至发现针对客户的 0day攻击,通过和具有情报生产能力的 情报平台 对接,可以稳定准确的生产私有威胁情报。部署在内网,是企业环境 最常见 的使用方法,用来捕捉内网已经失陷、勒索软件和恶意行为,重点在于 敏捷准确,具体可细分为 内部办公场景 和 内部原创 2021-10-17 20:53:01 · 7888 阅读 · 2 评论 -
应急响应——Web日志分析
Web日志Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。Web日志格式218.19.140.242 - - [10/Dec/2010:09:31:17 +0800] “GET /query/trendxml/district/todayreturn/month/2009-12-14/2010-12-09/haizhu_tianhe.xml HTTP/1.1原创 2021-09-17 11:43:01 · 4258 阅读 · 0 评论 -
应急响应——Linux日志分析
Linux系统中日志存放位置/var/log/不同linux发行版的该目录下的其他日志位置可能不同,具体情况具体分析查看日志配置情况: cat /etc/rsyslog.conf/var/log/目录下,所有日志情况比较重要的几个日志:登录失败记录:/var/log/btmp //lastb最后一次登录:/var/log/lastlog 或者 //lastlog登录成功记录: /var/log/wtmp //last原创 2021-09-16 21:08:46 · 1059 阅读 · 0 评论 -
应急响应——Windows日志分析
Windows系统日志记录系统中硬件、软件和系统问题的信息,同时还可疑监控系统中发生的事件、用户可疑通过它来检查错误发生的原因,或者寻找收到攻击时攻击者留下的痕迹(但日志也有可能被攻击者删除或伪造)Windows日志分类:应用程序日志、系统日志、安全日志系统日志记录着操作系统组件发生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。默认位置: %SystemRoot%\System32\Winevt\L原创 2021-09-16 19:06:21 · 2846 阅读 · 0 评论 -
应急响应——Linux入侵排查
事件响应可以定义为每当发生计算机或网络安全事件时所采取的行动过程。作为事件响应者,您应该始终了解系统中应该出现和不应该出现的内容。排查思路(1)首先监测用户账号安全,比如新增的账号、可疑账号,重点查看可以远程登录的账号以及高权限账号。(2)利用linux的history指令查看历史linux指令,uptime指令查看登录多久、多少用户。(3)检查异常端口和进程,netstat检查异常端口,ps检查异常进程,可以观看资源占用的进程id来判断是否有挖矿木马等嫌疑。(4)检查linux的启动项和系统的原创 2021-09-16 16:41:26 · 8281 阅读 · 0 评论 -
应急响应——Windows入侵排查
Windows安全应急处置从以下方面进行排查windows主机1.是否有异常进程、用户2.异常的服务、计划任务、启动项3.注册表信息4.端口开放情况5.文件及文件共享6.防火墙设置7.异常会话8.日志9.其他10.工具进程获取系统上正在运行的所有进程列表,可以根据以下内容查找可疑进程CUP、内存占用率长时间过高的进程没有签名或描述信息的进程非法路径的进程 进程的属主也可以使用某些软件,如D盾_web查杀工具,微软的Process Explorer工具等进行排查#原创 2021-09-03 21:00:34 · 2103 阅读 · 0 评论