- 博客(11)
- 收藏
- 关注
RSS订阅原创 Linux应急响应之Rootkit
Rootkit是指其主要功能为:隐藏其他程序进程的软件,可能是一个或一个以上的软件组合。在今天,Rootkit一词更多地是指被作为驱动程序,加载到操作系统内核中的恶意软件。Rootkit在内核模块里找不到,那么就存在删除不掉的可能,这时候需要将感染系统以文件挂载到其它Linux系统上,进行清除操作。rhkhunter 配置。rootkit原理图。
2024-07-23 13:43:06
290
原创 一套完整的应急响应实战
DDOS侧重于使目标服务不可用,DNS劫持和ARP欺骗则侧重于控制通信过程。DDOS从流量层面影响服务,DNS劫持和ARP欺骗从协议层面影响通信。检测DDOS需要关注服务器资源使用,而DNS劫持和ARP欺骗需要检查网络协议状态。以上是对各种攻击的判断,当然,在很多应急情况下,可由一些人负责事件的判断,再分出一部分人做一些常规检查。Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
2024-07-22 09:40:26
1365
原创 关于工业控制系统的一些特殊合规要求(物理环境、网络环境、规章制度)
工业控制系统安全扩展要求测评指标:室外控制设置应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风、散热、防盗、防雨和防火能力等。测评对象:室外控制设置。测评方法预期结果或主要证据测评指标:室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。测评对象:室外控制设备。测评方法1)核查放置位置是否远离强电磁干扰和热源等环境。2)无法避免时,核查是否有应急处置及检修维护记录。预期结果或主要证据。
2024-07-22 08:13:49
448
原创 MySQL安全加固
删除已存在的用户,默认删除的是'XXX'@'%'这个用户,如果还有其他的用户(其它主机名),如'XXX'@'localhost'等,不会一起被删除。如果要删除'XXX'@'localhost',使用drop删除时需要加上host即drop user 'XXX'@'localhost'。要注意ALTER USER语句的INTERVAL的单位是“天”。有些人为了方便,可能会把数据库用户的密码设置为弱口令,现在的数据库会以mysql5加密算法加密口令,可以去MD5解密的平台输入密文,看能否得出明文。
2024-07-20 11:36:07
953
原创 Oracle数据库安全加固-内文附相关审批表
1)网络层面:在服务器接入交换机处设置ACL,仅允许某一个或某几个内网固定IP地址(如堡垒机地址)访问数据库服务器的1521端口。2)使用时进行记录,包括申请人、批准人、监督人、使用范围、使用时间、操作内容,参考附件2.2。2)如漏洞扫描报告中涉及高风险漏洞,则需要进行修复,直至漏洞扫描工具无法扫描出高危风险漏洞。1)从制度层面限制特权账户(如root)的使用,专人专管,一次一密,参考附件2.1。1)定期对数据库服务器进行漏洞扫描(至少半年一次),并出示漏洞扫描报告。1)漏洞扫描报告中不涉及高风险漏洞。
2024-07-20 11:31:08
1024
原创 安全加固之自查方案-中间件(Ningx、Tomcat通用)
是否备份:(请描述备份策略和备份位置,例如已对业务数据进行本地备份,备份位置为本地磁盘E:bak目录下,备份方式为每日自动全量备份,备份数据保存7天)进行传输时采用哪种密码技术或校验技术保证数据的完整性?请先附上中间件所在服务器当前IP,以下要求若为。并附上一条操作日志(需包含。并附上一条操作日志(需包含。的各类日志是否有定期备份?如有特殊说明请自行备注。(距今大于6个月也可)(距今大于6个月也可)是否对备份数据进行了。
2024-07-19 09:52:47
283
原创 安全加固之自查方案-应用系统
主要负责系统的日常运行维护工作,包括服务器、网络设备、用户终端、业务系统操作系统、数据库的安装、配置升级、维护运行管理,并对网络和系统的用户进行管理和数据备份。:主要负责单位网络资产的安全管理工作,包括账号权限管理、安全防护体系的建立各系统的日常安全、运维保障安全设备的管理、安全策略的配置、网络安全事件的处置和响应和应急条件下的安全恢复等;是否备份:(请描述备份策略和备份位置,例如已对业务数据进行本地备份,备份位置为本地磁盘E:bak目录下,备份方式为每日自动全量备份,备份数据保存7天)
2024-07-19 09:51:05
313
原创 应急响应之Linux的一些常规操作命令
查看哪些用户是可以登录的,这个主要观察/etc/passwd文件里用户结尾是否有/bin/bash或/bin/sh,因为该结尾表示可登录,并且以指定环境来执行命令。可疑历史命令:使用过入侵扫描的操作行为,这个概率比较低,不会在目标服务器上装这些应用的,一般代理为主。查看空口令,查看shadow,影子文件会保存密码信息,如果第二列为空,则表示无密码。排查除root用户外,root组是否还有其他用户,其实就是检查GID是否为0,显示实时进程状态,加-d 1,可修改刷新时间,默认为3秒。
2024-07-19 09:47:17
771
原创 应急响应的一些常规命令操作
查看哪些用户是可以登录的,这个主要观察/etc/passwd文件里用户结尾是否有/bin/bash或/bin/sh,因为该结尾表示可登录,并且以指定环境来执行命令。可疑历史命令:使用过入侵扫描的操作行为,这个概率比较低,不会在目标服务器上装这些应用的,一般代理为主。查看空口令,查看shadow,影子文件会保存密码信息,如果第二列为空,则表示无密码。排查除root用户外,root组是否还有其他用户,其实就是检查GID是否为0,显示实时进程状态,加-d 1,可修改刷新时间,默认为3秒。
2024-07-19 09:45:04
915
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人