植入式攻击入侵检测解决方案

http://netkiller.github.io/journal/security.implants.html

Mr. Neo Chen (陈景峰), netkiller, BG7NYT

中国广东省深圳市龙华新区民治街道溪山美地
518131
+86 13113668890
+86 755 29812080
<netkiller@msn.com>

版权 2014 http://netkiller.github.io

转载请与作者联系，转载时请务必标明文章原始出处和作者信息及本声明。

文档出处:

http://netkiller.github.io

http://netkiller.sourceforge.net

2014-12-25

摘要

我的系列文档

Netkiller Architect 手札	Netkiller Developer 手札	Netkiller PHP 手札	Netkiller Python 手札	Netkiller Testing 手札
Netkiller Cryptography 手札	Netkiller Linux 手札	Netkiller Debian 手札	Netkiller CentOS 手札	Netkiller FreeBSD 手札
Netkiller Shell 手札	Netkiller Security 手札	Netkiller Web 手札	Netkiller Monitoring 手札	Netkiller Storage 手札
Netkiller Mail 手札	Netkiller Docbook 手札	Netkiller Version 手札	Netkiller Database 手札	Netkiller PostgreSQL 手札
Netkiller MySQL 手札	Netkiller NoSQL 手札	Netkiller LDAP 手札	Netkiller Network 手札	Netkiller Cisco IOS 手札
Netkiller H3C 手札	Netkiller Multimedia 手札	Netkiller Perl 手札	Netkiller Amateur Radio 手札	Netkiller DevOps 手札

1. 什么是植入式攻击？

什么是植入式攻击，通俗的说就是挂马，通过各种手段将木马上传到你的系统，修改原有程序，或者伪装程序是你很难发现，常住系统等等。

2. 为什么骇客会在你的系统里面植入木马？

通常挂马攻击骇客都是有目的的很少会破坏你的系统，而是利用你的系统。

例如，使用你的网络作DDOS攻击，下载你的数据资料卖钱等等

3. 什么时候被挂马？

有时你到一家新公司，接手一堆烂摊子，俗称“擦屁股”。这是中国是离职，中国式裁员，中国式工作交接.....的结果，各种奇葩等着你。

你接手第一项工作就是工作交接，最重要的工作可能就是检查系统后门。通常工作交接少有积极配合的，全要靠你自己。

4. 在那里挂马的？

在我多年的工作中遇到过很多种形式挂马，有基于Linux的rootkit，有PHP脚本挂马，Java挂马，ASP挂马。通常骇客会植入数据库浏览工具，文件目录管理工具，压缩解压工具等等。

5. 谁会在你的系统里挂马？

98%是骇客入侵，1%是内人干的，1%是开后门仅仅为了工作方便。

本文对现有的系统无能为力，只能监控新的入侵植入

6. 怎样监控植入式攻击

6.1. 程序与数据分离

程序包括脚本，变异文件等等，通常是只读权限

数据是指由程序生成的文件，例如日志

将程序与数据分离，存放在不同目录，设置不同权限, 请关注“延伸阅读”中的文章，里面有详细介绍，这里略过。

我们这里关注一旦运行的程序被撰改怎么办，包括入侵进入与合法进入。总之我们要能快速知道那些程序文件被修改。前提是我们要将程序与数据分离，才能更好地监控程序目录。

6.2. 监控文件变化

我使用 Incron 监控文件变化

# yum install -y incron
# systemctl enable incrond
# systemctl start incrond

安装日志推送程序

$ git clone https://github.com/netkiller/logging.git
$ cd logging
$ python3 setup.py sdist
$ python3 setup.py install

配置触发事件

# incrontab -e
/etc IN_MODIFY /srv/bin/monitor.sh $@/$#
/www IN_MODIFY /srv/bin/monitor.sh $@/$#

# incrontab -l
/etc IN_MODIFY /srv/bin/monitor.sh $@/$#
/www IN_MODIFY /srv/bin/monitor.sh $@/$#

/srv/bin/monitor.sh 脚本

# cat /srv/bin/monitor.sh
#!/bin/bash
echo $@ | /usr/local/bin/rlog -d -H 172.16.0.10 -p 1220 --stdin

/etc 与 /www 目录中的任何文件被修改都回运行/srv/bin/monitor.sh脚本，/srv/bin/monitor.sh脚本通过/usr/local/bin/rlog程序将文件路径数据发给远程主机172.16.0.10。

6.3. 安装日志收集程序

$ git clone https://github.com/netkiller/logging.git
$ cd logging
$ python3 setup.py sdist
$ python3 setup.py install

配置收集端端口，编辑文件logging/init.d/ucollection

done << EOF
1220 /backup/172.16.0.10/incron.log
1221 /backup/172.16.0.11/incron.log
1222 /backup/172.16.0.12/incron.log
EOF

然后根据incron.log给相关管理人员发送邮件或短信警报等等，关于怎么发邮件与短信不再本文谈论范围，有兴趣留意我的官网。

7. 延伸阅读

http://netkiller.github.io/storage/incron.html

时间： 2024-11-17 15:28:07

植入式攻击入侵检测解决方案的相关文章

防范SQL指令植入式攻击

攻击什么是SQL 指令植入式攻击? 在设计或者维护 Web 网站时,你也许担心它们会受到某些卑鄙用户的恶意攻击.的确,如今的 Web 网站开发者们针对其站点所在操作系统平台或Web 服务器的安全性而展开的讨论实在太多了.不错,IIS 服务器的安全漏洞可能招致恶意攻击:但你的安全检查清单不应该仅仅有 IIS 安全性这一条.有些代码,它们通常是专门为数据驱动(data-driven) 的 Web 网站而设计的,实际上往往同其它 IIS 漏洞一样存在严重的安全隐患.这些潜伏于代码中的安全隐患就有可能

Epsilon遭黑客入侵加剧用户对钓鱼式攻击担忧

北京时间4月7日早间消息,据美国科技博客AllthingsD报道,全球最大的授权电子邮件营销商Epsilon数据库系统遭黑客入侵的负面影响继续蔓延,用户对遭钓鱼式攻击的担忧加剧. 知情人士透露,芯片制造商Micron旗下网络零售平台Crucial.com称,其客户数据受到威胁.另外,Fred Meyer.Brookstone以及招聘顾问公司Robert Half International等企业的客户表示,他们也收到了类似电子邮件.专家认为,Epsilon遭黑客入侵事件现已进入第二个阶段. 无论

无线入侵检测系统

现在随着黑客技术的提高,无线局域网 (WLANs)受到越来越多的威胁.配置无线基站(WAPs)的失误导致会话劫持以及拒绝服务攻击(Dos)都象瘟疫一般影响着无线局域网的安全.无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还有可能受到基于电气和电子工程师协会(IEEE)发行802.11标准本身的安全问题而受到威胁.为了更好的检测和防御这些潜在的威胁,无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题.以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案.这篇文章

详解无线局域网需要无线入侵检测系统

现在随着黑客技术的提高,无线局域网(WLANs)受到越来越多的威胁.配置无线基站(WAPs)的失误导致会话劫持以及拒绝服务攻击(DoS)都象瘟疫一般影响着无线局域网的安全.无线网络不但因为基于传统有线网络TCP/IP架构而受到攻击,还有可能受到基于电气和电子工程师协会 (IEEE) 发行802.11标准本身的安全问题而受到威胁.为了更好的检测和防御这些潜在的威胁,无线局域网也使用了一种入侵检测系统(IDS)来解决这个问题.以至于没有配置入侵检测系统的组织机构也开始考虑配置IDS的解决方案.这篇文

入侵检测及网络安全发展技术探讨_网络冲浪

随着网络安全风险系数不断提高,曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求.作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计.监视.进攻识别和响应),提高了信息安全基础结构的完整性. 一.入侵检测系统(IDS)诠释 IDS是一种网络安全系统,当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能够检测出来,并进行报警,通知网络该采取措施进行响应. 在本质上,入侵检

Symantec防病毒防火墙以及入侵检测方案

集成客户端安全产品需求对IT基础设施威胁的复杂性正在不断增加.诸如Nimda和红色代码等混合型威胁,将病毒.蠕虫.特洛伊木马以及(或)恶意代码的特征同利用服务器和互联网漏洞的方法相结合,启动.发送和传播攻击.为了防御这些威胁,网络管理员正在企业网范围的客户端上部署防病毒和防火墙等单点产品,同时还包括越来越多的连接到企业LAN或WAN的远程客户端. 采用来自不同厂商的多种单点产品使得全面防护变为一项极为复杂甚至根本不可能的任务,因为跨厂商的互操作性问题往往会存在漏洞,从而使威胁乘虚而入危及安全性

snort+base搭建IDS入侵检测系统

Snort是美国Sourcefire公司开发的发布在GPL v2下的IDS(Intrusion Detection System)软件 Snort有三种工作模式:嗅探器.数据包记录器.网络入侵检测系统模式.嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上.数据包记录器模式把数据包记录到硬盘上.网路入侵检测模式分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作.网络入侵检测系统模式是最复杂的,而且是可配置的. Snort可以用来监测各种数据包如端口扫描等之外

Radiflow发布ICS/SCADA新型入侵检测系统

本文讲的是Radiflow发布ICS/SCADA新型入侵检测系统,专注于工业控制系统(ICS)安全解决方案的厂商Radiflow,推出了一款新型入侵检测系统,该系统专门为 Operational Technology (OT) 网络打造. Radiflow表示,这款新型产品可以加强OT网络的可视程度和控制能力,并使网络安全工作大大简化,无需再去雇佣网络安全专家. 尽管工控网络做到了与互联网隔离,但是近年来仍有许多因关键基础设施公司(例如:电力.水利.石油和天然气管道)操作流程的变化而检测出漏洞.

安全漏洞-数据库入侵检测技术|数据库系统如何防止黑客入侵~

问题描述数据库入侵检测技术|数据库系统如何防止黑客入侵~ QQ200832005渗透测试方面的单子(可兼职也可接私活) 技能要求具有至少1年以上的职业黑客攻击经验,并实际操作过各类项目,拒绝理论派.熟悉渗透测试服务器提权方面. 1.掌握MySQL.MSSQL.Oracle.PostgreSQL等一种或多种主流数据库结构以及特殊性. 2.熟悉渗透测试的步骤.方法.流程.熟练掌握各种渗透测试工具. 3.有主机.网络或Web安全渗透测试相关项目实施经验&. 4.对网站/服务器的结构有敏锐的洞察力,