这是我以前的文章的重写,因为它不完全清楚我想达到什么。 希望这会更有意义:) 简而言之,我正在寻找的是替代方法来检测我的系统是否被超越使用诸如tripwire / OSSEC / samhain / rkhunter之类的工具而受到损害,并且只是一般的文件完整性检查和日志监视。 我故意试图不要对我的问题过于具体,因为我总是在想法之后,所以我可以在自己的机器上实现它们。 这可能是但不限于以设定的时间间隔(cronjob)运行的脚本,并且在某些事情发生变化时通知pipe理员并提示pipe理员通过(syslog / email?)进一步调查。 注意,我不一定是在代码本身之后,只是对它所做的高级概述。 随意如你所愿,尽可能详细。 如果我列出一些我目前所做的事情,可以帮助您了解我的想法。 1)生成我运行的iptables输出的md5sum,并将其与已知的好散列进行比较。 如果更改,则可以安全地假设有人添加/删除了iptables条目。 2)我有某些只读(/ usr,/ boot等)的挂载点,因为它们不应该经常改变。 如果一个分区从只读变为可写,我希望得到通知。 3)只监听netstat的输出。 对包含已知良好值的文件执行文件比较(diff)。 如果添加了某些东西,可能有人已经为系统添加了新的服务。 可能的后门? 请注意,如果我正在进行系统维护,上述操作将产生误报。 但是,如果这些变化,当我不是我会考虑他们的怀疑和进一步调查。 请注意,这些仅仅是一些例子,并且确实存在一些缺陷,但是更多的障碍可能会导致有人绊倒。 提前致谢。
我一直在阅读这个谷歌/中国插曲,并且似乎使用的攻击媒介之一是embedded代码(javascript我相信)到PDF文件。 这让我很担心,除非明确地说,否则我肯定不希望任何PDF文档在我的机器上执行代码。 尽pipe我运行所有的Linux系统,那么一个简单的chmod -x doc.pdf足够好呢? (不是说我的任何PDF文件都有exec privs) 有没有什么工具可以扫描带有embedded代码的PDF? 我正在寻找Linux工具,但是如果有人知道任何Windows工具,我相信别人会发现它们很有用。 此外,我现在使用的读者是evince,有谁知道如果evince甚至执行embedded在PDF中的代码? 没有选项可以closures它,而且通常看起来很简单,所以我不怀疑。
这个漏洞意味着什么,我有一个问题,有人可以帮我理解这个吗? 结果部分我特别困惑。 为什么源端口25与随机源端口有什么不同呢,它们都源于外部世界? 漏洞: TCP源端口通过防火墙 威胁: 您的防火墙策略似乎让具有特定源端口的TCP数据包通过。 影响: 某些types的请求可以通过防火墙。 此漏洞报告的结果部分中列出的端口号是未经授权的用户可用于绕过防火墙的源端口。 解: 确保所有的过滤规则都正确和严格。 如果防火墙意图拒绝到特定端口的TCP连接,则应configuration为阻止所有到此端口的TCP SYN数据包,而不pipe源端口如何。 合规性: 不适用 结果: 主机对使用源端口25发送到目标端口22的4个TCP SYN探测进行了4次响应。但是,它根本没有响应使用随机源端口发送到同一个目标端口的4个TCP SYN探测。
可能重复: 更新恶意软件清理技巧 前几天我有一个关于损坏的系统的争论。 如果一个系统难以根除病毒等,或者被软件安装等破坏,你是否主张重build系统或试图修复它?
请参阅: http : //support.microsoft.com/kb/q218180/,IIS4 / 5/6中存在一个已知问题,它将在HTTP标头的content-location字段中显示Web服务器的内部IP。 我们有IIS 6.我已经尝试了修复build议,但它没有奏效。 该网站被configuration为发送所有请求到ASP.NET,我想知道这是为什么修复,这解决了IISconfiguration,没有为我们工作。 如果是这种情况,我们将如何解决这个问题在ASP.NET? 我们需要解决这个问题才能通过安全审计。
我想知道什么好处会给我将所有的网站内容文件从默认的inetpub目录(C :)移动到D:\ wwwroot。 默认情况下IIS为每个网站创build单独的应用程序池,我使用内置的用户和组(IURS)作为身份validation方法。 我已经确定每个网站目录都有适当的权限设置,所以我不知道我将获得什么好处。 一些环境设置如下: VMWare Windows 2008 R2 64 IIS 7.5 C:\的Inetpub \ SITE1 C:\的Inetpub \站点2 也作为这篇文章(移动iis7 inetpub目录到另一个驱动器)指出,不知道是否值得将文件迁移到另一个驱动器的麻烦: 请注意以下事项:WINDOWS服务事件(IE热修复和服务包)仍将取代原有主pipe部门的文件。 INETPUB董事会中的文件需要通过服务取代,但由于这个原因,删除原来的董事会是不可能的。
我们最近成立了Nessus,但每年的成本并不便宜。 最近Google发布了SkipFish ,它似乎在web应用程序领域竞争。 据我所知,Nessus通过一个已知漏洞的大型数据库进行操作。 而且,据我所知,Skipfish自动生成漏洞testing 。 有没有人做过这两种方法的有效性比较呢?
我已经安装了ASL,并build议我实现双向SSHauthentication。 我有一些关于它的问题。 我了解您需要使用密钥和密码login的一般想法。 我从笔记本电脑上工作,如果我的笔记本电脑被盗,会发生什么事情。 我将永远无法再次login?
我正在寻找一个程序或程序套件,允许审计networking共享资源(特别是存储空间),并呈现报告(谁创build,删除,移动,修改文件等)。 是的,我知道我可以在Windows上打开审计,但事件日志并不完全是这个工作的“主angular”。
当试图对表进行删除操作时,mysql会报告以下错误: 错误代码1227:访问被拒绝; 你需要这个操作的SUPER特权。 但是,我的用户拥有该模式中所有表的权限: 授予myschema所有特权。*'my_admin'@'%' 为什么要求SUPER特权删除?