HIDS入侵检测能力评估list
个人笔记旨在对主机入侵检测项目评估做备忘,不提供具体方案、命令、样本!
暴力破解
1. 阈值、封停设置
2. 白名单规则
3. 检测项:ssh、ftp...
异常登录
1. 告警开关
2. 登录IP、时间、区域、账号
3. 自定义范围
反弹shell
1. 大类:基础命令,工具,脚本,混淆
2. bash -i (sh、csh、zsh...)
3. nc -e | nc mkfifo
4. socat..
5. awk、telnet
6. perl、php、python、lua、java、ruby.....
7. web命令执行(shiro,php..
8. openssl
9. udp
10. 以上涉及到shell和工具的混淆
本地提权
1. sudo配置检查
2. suid
3. 脏牛
4. glibc编译漏洞 cve20103847
webshell
1. php、jsp、asp、aspx..
2. 特殊工具的一句话 冰蝎 蚁剑、哥斯拉、菜刀