我是一个公司的系统pipe理员,我们刚刚在内部networking上进行了渗透testing,团队发现可以使用以下命令执行查询\列举我们的DC(Server 2012)信息: Global.exe – shows a list of users in a DA group (such as "Domain Administrators" and "Enterprise Admins" Getpolicy.exe – shows the password policy of the domain. Local.exe – FAILED – shows the local administrators on any individual machine. 他们的build议是: Enable the "Restrict Anonymous" registry key setting on all Windows domain controllers and […]
我已经有一个freenas服务器将近一年了,这是我第三次收到一封安全电子邮件,其中有一个sshlogin失败的尝试,而这个尝试不是来自我或任何我认识的人。 freenas.local login failures: May 3 00:00:38 freenas sshd[40708]: Invalid user postgres from 222.138.139.252 May 3 00:00:38 freenas sshd[40708]: input_userauth_request: invalid user postgres [preauth] May 3 00:00:38 freenas sshd[40708]: Failed password for invalid user postgres from 222.138.139.252 port 9224 ssh2 May 3 00:13:20 freenas sshd[40981]: Invalid user zabbix from 154.66.147.4 May 3 00:13:20 freenas sshd[40981]: […]
如果用户名和进程名称与特定值不同,是否可以防止在特定文件夹中写入或修改文件? 如果没有,是否有可能触发一个行动,如果一个特定的事件ID是包含2个细节,如用户名和进程完整path等于什么? 上下文 我运行的一个Windows服务运行在一个服务帐户与交互式login所需的debugging目的,我想确保在特定的目录中创build的文件确实是由正确的过程,或者如果不是,启动一个警报由服务器。 到目前为止我所testing的 FSRM(文件系统资源pipe理器),它完全阻止了目录中创build的所有文件,或者只是监视文件创build(而不是修改)。 编写了一个C#程序,并使用System.IO.FileSystemWatcher来监视一个目录,但是如果创build/修改,该过程不是由FileSystemEventArgs提供的。 我将尽快testing… 在该目录上激活文件审核function,并编写一个监视特定事件ID的C#程序,并在内容包含未经授权的用户名和进程名称时触发。 否则,所有的build议都欢迎…谢谢。
我最近开始在一个更大的国际组织的小子公司工作。 我的工作在服务台上,团队中有3名开发人员,我们的老板是经理和代理系统pipe理员。 员工stream动率很高,在过去的18个月里,有3个系统pipe理员来来去去,所以系统还不是最好的。 我们有64个用户拥有8-12个映射的驱动器 – 它们在启动时使用由活动目录设置的batch file进行安装; 取决于他们所在组织的哪个部分。昨天我接到一位用户打来的电话,说他不能打开她前一天晚上工作过的文件。 当我去调查时,我看到该文件显示.crypt扩展名。 然后我意识到,这个networking共享上的每个单词文档也被encryption了,但是.jpg文件没有问题。 (经过进一步的调查,我发现.doc,.xls,.pdf,.zip和.txt文件被encryption)我做了一个员工使用的所有其他networking共享的快速检查,但没有发现任何其他地方的勒索软件的痕迹。 受影响的networking共享在每个子文件夹中都有一个文本文件,说明如何支付赎金。 受影响的networking共享驻留在与Active Directory链接的networkingNAS盒子上。 我从对其他公司的了解中了解到,这个病毒需要在PC上模仿,无论是通过电子邮件链接还是从网上下载的东西,所有本地和networking驱动器,包括任何可能的USB驱动器都应该encryption。 但是,我们在任何一台PC上都找不到这种病毒的痕迹,而且我们也感到奇怪的是,没有其他的networking共享受到感染。 我们已经去所有的电脑和检查本地目录的.txt文件等等,一旦我们看到他们打开,我们认为这台机器是干净的,而不是启动病毒的。 我们也search.crypt文件。 – 还有什么我们可以做,find造成这个电脑? – 我们错误地认为用户是通过打开附件或点击networking中的链接而造成这种情况的? – 我们错误地认为任何PC上都会有一丝痕迹吗? – 其他驱动器没有受到影响? 正如我所提到的,用户总是在任何给定的时间映射多个驱动器。 – 还有什么我们应该注意的? 如何试图找出造成这种情况的机器/员工? 道歉的龙岗,我尽量给尽可能多的细节。 我会很感激任何意见。 谢谢。
我有LEMP所有设置。 现在我想添加mod_security 。 我试图研究,但我能find的是如何重新编译nginx的说明。 有没有办法添加mod_security而不需要重新编译? 我目前正在运行安装了PPA的nginx / 1.9.15,因为我是在HTTP / 2之后的。 我没有在编译nginx的经验,我不知道是否我重新编译我会打破nginx,因为我从PPA得到它。 希望你能帮忙。 谢谢。
背景信息:使用一些自动扩展组和一些不可缩放的独立虚拟机来build立一个基础架构。 某些angular色需要秘密(私钥),这些秘密(私钥)应该限制在根目录或特定的用户。 pipe理是通过Puppet完成的(“无服务器” – configuration在git仓库中),Ansible也是可用的。 在Puppet或Git中join秘密是不可接受的,因为它们被广泛使用 在EC2用户数据中放入秘密限制了对特定虚拟机的访问,并且在自动扩展组中正确复制,但是虚拟机中的任何unix用户都可以访问。 将秘密放在安全的S3存储桶中是很多的工作,限制对特定虚拟机的访问,在自动扩展组中正确复制,在静止时对数据进行encryption,但是VM中的任何unix用户都可以访问 – 请参阅http:// blogs.aws.amazon.com/security/post/Tx2B3QUWAA7KOU/How-to-Manage-Secrets-for-Amazon-EC2-Container-Service-Based-Applications-by-Usi AWS KMS针对安全的S3存储桶进行了改进,但是我无法find有关在VM中访问其服务的任何限制。 我毫不怀疑Linux的用户权限是无懈可击的。 但是,只有Linux root用户才能将访问权限限制在…有用! 🙂
有没有办法findSSHstream量的来源? 我们有两台服务器A和B.A是在一个专用networking上。 乙有2 nics,私人和公共。 一个可以SSH到B和B可以SSH到一个问题是,客户端连接从外部世界X到B然后SSH到A.有没有办法阻止SSHstream量,如果它不是来自一个已知的主机? 我想要:本地 – > A A – > B A – > B – >本地 本地 – > B 本地 – > B – > A 本地 – > A – > B B – >本地 B – > A – >本地 公开 – > B 但不公开 – > B – […]
是否有可能安装(和后来维护)Arch Linux(或其衍生物),而不需要设置root密码 – 只使用用户帐户和sudo? 在Ubuntu和其他许多方面也是这样做的。 对我来说,这似乎是明显的安全性改善,但迄今为止我发现的所有文档都需要设置root密码。
我已经定义了一些参数来保存/usr/lib/jvm/jre-8-oracle-x64/lib/security/java.security以符合我们安全策略的JAVA安全设置。 我编辑的一些参数是 security.overridePropertiesFile=false jdk.tls.disabledAlgorithms= … jdk.certpath.disabledAlgorithms=MD2,… 我不清楚开发者是否可以在应用程序中设置自定义参数,JVM是强制执行这些参数还是可以重写? 我已经看到有关Java安全策略的这个问题,但我只是想要应用系统策略。
在所有Windows计算机的networking文件夹中以及在smbtree命令的输出中,我看到很多带有奇怪名称的设备(使用#进行混淆的合法名称)。 WORKGROUP \\WEBSERVER \\RNPA82FE9 \\RNP002673AB3150 \\RNP002673AB3141 \\RNP002673AB313C \\RNP002673AB310B \\RNP002673AB3103 \\RNP002673AB30DD \\RNP002673AB2F7A \\RNP002673AB2F4B \\RNP002673AB2E86 \\RNP002673AB2DFD \\RNP002673AB2DFB \\RNP002673A85831 \\RNP002673A857D0 \\PC-###### \\#######-PC \\FR###### \\DESKTOP-##### \\BRN008077576ADE \\BRN008077510CFD 我们在192.168.0.X的networking和arp-scan,nmap,nbtscan,甚至nmblookup都找不到与这些名字相关的东西: name_query failed to find name RNPA82FE9 name_query failed to find name RNP002673AB3150 name_query failed to find name RNP002673AB3141 name_query failed to find name RNP002673AB313C 这是一个非常简单的networking,有: 7个人电脑(一些Linux和一些窗口,一些在无线和一些有线) 一些Android手机 几个iPhone 一个或两个打印机 6-7 voip […]