linux安全
8174 ワード
http://drops.wooyun.org/最も専門的な安全知識共有プラットフォーム
最適な戦略は階層的な方法を採用して、まもなく「老いてますます壮健になる」というプログラムです.例えばSnort、iptablesなどの大先輩とpspad、Apprmor、SELinuxuなどの新しい力を組み合わせて、強力な分析ツールを利用して、技術の最前線に立ち続けることができます.IDS新宠:PSAD.Psadはポートスキャン攻撃検出プログラムの略称で、新しいツールとして、iptablesやSnortなどと緊密に連携して、ネットワークに入ろうとするすべての悪意を示してくれます.老いてますます盛んになります:Snort.軽量で使いやすいツールです.独立して運行できます.pspadとiptablesと一緒に使いやすいです.chkrootkitとrootkit.Rootkit検出プログラムchkrootkitとrootkit Hunterもベテランのrootkit検出プログラムです.多面手:Tripwire.Tripwireは侵入検査とデータ完全性製品です.
CGIホール
CGIはCommon Gateway Interfaceの略称で、特に言語を指しません.Webサーバのセキュリティ問題は主に以下の通りである.1)Webサーバソフトウェア作成中のBUG.2)サーバの設定のエラー.CGIソースコードのリーク、物理経路情報のリーク、システム敏感情報のリーク、またはリモートで任意のコマンドを実行します.CGI言語の脆弱性は、構成エラー、境界条件エラー、アクセス検証エラー、ソース検証エラー、入力検証エラー、ポリシーエラー、使用エラーなどのいくつかに分類されます.CGIホールは、露出してはいけない情報を暴露し、実行してはいけない命令を実行し、オーバーフローするタイプが多いです.
一回はshow files種類のcgiホールを利用してみごとにuta.eduの経歴に侵入します。
http://www.chinaunix.net/bbsjh/19/23.htmlcgiホール利用
httpdのerror_ロゴ分析
[Tue Appr 07 11:32:01 1010/dev/pts/0 192.168.250~]〹ping www.ftdz.com www.ftdz.com(58.4.136.166)56(84)bytes of data.64 bytes from 584.136.166:icmpseq=1 ttl=48 time=79.6 ms 64 bytes from 58.4.136.166:icmp_seq=2 ttl=48 time=76.2 ms 64 bytes from 58.4.136.166:icmp_seq=3 ttl=48 time=63.2 ms^C---www.ftdz.com ping statistics---3 packets trnsmitted、3 received、0%packet loss、time 2245 msttmin/avg/mdev=63.245/73.044/79.69/7.069 ms第二ステップはスイスナイフを出してください.get/http/1.1で彼のwebserverに関する情報を取得します.[Tue Appr 07 11:32:47 1011/dev/pts/0 192.168.250~]╳nc-vv 58.4.136.166 80 Connection to 58.4.136.166ポルト[tcp/http]succereded!次を入力して、2回のリターンGET/HTTP/1.1 HTTP/1.1 400 Bad Request Server:nginx/1.0.2.0 Date:Tue、07 Ar 2015 03:36 GMTContine-Type:text/htmlTransfer-Encection:chunkedConnection:closewty
400"<センター>400 Bad Request
nginx/1.0.2 >0[Tue Appr 07 11:33:59 1012/dev/pts/0 192.168.250~]Adnts/stantr 16:manter/stantr 11/stante e 11/Addy 11/mady 11/mady 11/stants/stante e e e 11/stante e e 11/Atts/stantr 11/stants/Atts/stantr 11:59 Atts/stants/Atts/stants/stants/stants/stants/stants/stantr 07 11:46:16 1015/dev/pts/0 192.168.250~]〹nmap-s-O-v 192.168.20 Starting Nmap 5.51(http://nmap.org )at 2015-04-07 11:46 CSTInitiating ARP Ping Scan 11:46 Scaning 192.168.2.2[1 port]Copleted ARP Ping Scant 11:46,0.00 s elapt(1 total hosts)Initiating Paralel DNS resolution of 1 host.at 11:46 Compleed Palel DNS resolution of 1 host.at 11:46,0.09 s elappsedInitiating SkyN Stealth Scanta 11:46 scanning 192.168.2.2[1000 ports]Disccovered open port 111/tcp on 192.168.2.2Disccovered open port 22/tcp on 192.168.2.2.2.2Disccovered open port 5500/tcp on 192.168.2.2010101010101010101010101010101010101010101010101010101018.8.8.8.8.8.8.8.Disccovered oped oped oped oped oped oped oped oped opopoped oped opoped opoped opopoped opopopopopopopopoped poport 565656565662626262626262626262626262626262626262626262626262626262626262626262626262626262626262626262p on 192.168.2.2 Disccovered open port 1521/tcp on 192.168.2Disccovered open port 6001/tcp on 192.168.2.22 Disccovered open port 1003/tcp on 192.168.22 Disccovered open port 80/tcp on 192.168.2Copleted Schstrereed Sdedededededededededededededededededededededededededededesssssssssssshshshshshshscscscscscscscscscscscscscscscscscatotototottttttttttttttttttttttttttttttttttttttt(try钾2)against 192.168.22 Retrying OS detection(try骢3)against 192.168.2.20 Retrying OS detection(try龚4)against 192.168.20 Retrying OS detection(try Notection 5)against 192.168.22.Nmascan for 8 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 111/tcp open rpcbind 1521/tcp open oracle 2049/tcp open nfs 5500/tcp open ホットライン5666/tcp open nrpe 5801/tcp open vnc-http-1501/tcp open vnc-16001/tcp open X 11:110000/tcp open snet-sensor-mgt 1003/tcp open documentum Address:E 4:1 F:13:80 ED:2 C(IBM)No exact OS matches for host(If you know OS is running on it,seehttp://nmap.org/submit/)TCP/IP fingerprint:OS:SCAN(V=5.51%D=4/7%OT=22%CT=1%CU=34628%PV=Y% DS=1%DC=D%G=Y%M=E 41 F 13%TM=552 OS:3531 E%P=x 86_64-redhat-ling-gn=SETS%(O 1=M 5 B 4 ST 1 NW 7%O 2=M 5 B 4 ST 1 NW 7%O 3=M 5 B4 NNNNN T11 NW 7%O 4=M 5 B4=M 5 B 4%N 5=M 5 B 7%O 5 OS:=M 5 B 4 ST 1 NW 7%O 6=M 5 B 4 ST 11)WIN(W 1=16 A 0%W 0%W 2=C 0%A 5=16%C%C 16%C=16%C%C 16 16 16%C=C%C=C%C=16 16 16%C%C%C=C 16 16 16 16%C%C%C=C=C%C=C=C=C 16 16 16 16%C%C=C=C=C%C%C%C=C 16 16 16 16 M 5 B 4 NNNNNSNW 7%CC=N%Q=)T 1(R=Y%DF=Y%T=40%S=O%S=O% OS:A=S=S+%F=AS% D=0%C=0%C=T=T%T=T%T=T%T=Y%T=40%S=40%S=O%S=O%S=S%A=S=S%A=S=S%A=S=S=S=S%A=S=S=S=S=S=S=S%%%A=S=S=S=S=S=S=S%%%%A=S=S=S=S=S=S%%%%%%%%%N%%%%%%%%%%%%%%%RD=0%Q=)T 5(R=Y%DF=Y%DF=Y%T=4 OS:0%W=0%S=0%S=Z%A=S+%F=AR% O=%D=0%D=0%D=0%Q=)T 6(R=Y%DF=Y%T=40%T=40%W=0%W=0%S=Z%A=Z%A=Z% F=Z%D%D=R%D%D=0%D=0%D=0%D=0%D%D=0%D=0%D=0%D=0%D=0%D=0%D=0%D=0%D=0%%D=0%D=0%D=0%D=0%D=0%D=0%%%%%%%L=16 OS:4%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=40%CD=S)Uptime gess:39.83 days(since Fri Feb 27 02:34:52)Network Distance:1 hopTCP Sequence Prection:Difficulty=264(Good luck!)IP ID Sequence Generation:All zerroad data files from:/usr/share/nmapOS detection performed.Please report any incorect ultshttp://nmap.org/submit/.Nmap done:1 IP address(1 host up)scanned in 12.87 seconds Raw packets sent:1103(52.326 KB)Rcvd:1076(46.26KB)[Tue Appr 07 11:46:38 1016/dev/pts/0 192.168.250~]
最適な戦略は階層的な方法を採用して、まもなく「老いてますます壮健になる」というプログラムです.例えばSnort、iptablesなどの大先輩とpspad、Apprmor、SELinuxuなどの新しい力を組み合わせて、強力な分析ツールを利用して、技術の最前線に立ち続けることができます.IDS新宠:PSAD.Psadはポートスキャン攻撃検出プログラムの略称で、新しいツールとして、iptablesやSnortなどと緊密に連携して、ネットワークに入ろうとするすべての悪意を示してくれます.老いてますます盛んになります:Snort.軽量で使いやすいツールです.独立して運行できます.pspadとiptablesと一緒に使いやすいです.chkrootkitとrootkit.Rootkit検出プログラムchkrootkitとrootkit Hunterもベテランのrootkit検出プログラムです.多面手:Tripwire.Tripwireは侵入検査とデータ完全性製品です.
CGIホール
CGIはCommon Gateway Interfaceの略称で、特に言語を指しません.Webサーバのセキュリティ問題は主に以下の通りである.1)Webサーバソフトウェア作成中のBUG.2)サーバの設定のエラー.CGIソースコードのリーク、物理経路情報のリーク、システム敏感情報のリーク、またはリモートで任意のコマンドを実行します.CGI言語の脆弱性は、構成エラー、境界条件エラー、アクセス検証エラー、ソース検証エラー、入力検証エラー、ポリシーエラー、使用エラーなどのいくつかに分類されます.CGIホールは、露出してはいけない情報を暴露し、実行してはいけない命令を実行し、オーバーフローするタイプが多いです.
一回はshow files種類のcgiホールを利用してみごとにuta.eduの経歴に侵入します。
http://www.chinaunix.net/bbsjh/19/23.htmlcgiホール利用
httpdのerror_ロゴ分析
[Mon Apr 06 04:45:39 2015] [error] [client 46.28.206.148] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /
[Mon Apr 06 04:56:57 2015] [error] [client 70.46.57.98] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /tmUnblock.cgi
[Mon Apr 06 04:57:01 2015] [error] [client 70.46.57.98] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /
[Tue Apr 07 01:18:45 2015] [error] [client 97.91.223.228] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /tmUnblock.cgi
[Tue Apr 07 01:18:49 2015] [error] [client 97.91.223.228] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /[Tue Appr 07 11:32:01 1010/dev/pts/0 192.168.250~]〹ping www.ftdz.com www.ftdz.com(58.4.136.166)56(84)bytes of data.64 bytes from 584.136.166:icmpseq=1 ttl=48 time=79.6 ms 64 bytes from 58.4.136.166:icmp_seq=2 ttl=48 time=76.2 ms 64 bytes from 58.4.136.166:icmp_seq=3 ttl=48 time=63.2 ms^C---www.ftdz.com ping statistics---3 packets trnsmitted、3 received、0%packet loss、time 2245 msttmin/avg/mdev=63.245/73.044/79.69/7.069 ms第二ステップはスイスナイフを出してください.get/http/1.1で彼のwebserverに関する情報を取得します.[Tue Appr 07 11:32:47 1011/dev/pts/0 192.168.250~]╳nc-vv 58.4.136.166 80 Connection to 58.4.136.166ポルト[tcp/http]succereded!次を入力して、2回のリターンGET/HTTP/1.1 HTTP/1.1 400 Bad Request Server:nginx/1.0.2.0 Date:Tue、07 Ar 2015 03:36 GMTContine-Type:text/htmlTransfer-Encection:chunkedConnection:closewty
400"<センター>