wj193165zl的博客

1，肉鸡/抓机 肉鸡是指被种了马的机器，肉鸡分为家庭鸡和网吧鸡。 抓鸡指通过扫描弱口令，爆破，漏洞自动化种马达到控制机器。分为1433，3389，3306抓鸡。流程上是先找到制定的IP段，然后再扫描端口，爆破，种马。2，计算机木马 网页木马：webshell，通过这种木马可以查看计算机的各种资源，控制整个计算机。细分的有脱库木马，大马（功能很强大），...

该项目现在只支持PHP和JAVA项目OpenRASP安装：环境设置：yum install -y vim wget net-tools epel-release java-1.8.0-openjdk*systemctl stop firewalld.servicesystemctl disable firewalld.service安装并配置tomcat：cd /us...

nmap的作用不仅仅用作网络主机和IP扫描，它还提供了各种主机漏洞探测，安全扫描等。且它支持windows,linux,mac等操作系统。它的安装很简单，官网有介绍，这里就不再详述：可以通过rpm包安装：rpm包安装的时候，需要下载下面四个rpm包，并进行依次安装rpm -vhU https://nmap.org/dist/nmap-7.70-1.x86_64.rpmrpm -vh...

1，弱口令2，屏幕部锁屏&桌上项目文件随便放3，文档加密可以采用中文加密邮件安全电子邮件诈骗邮件钓鱼恶意病毒邮件不安全的文件类型：exe,bat,com,vbs,chm，邮件附件，链接，word，execl文档重要文件通过邮件发送并且加密；密码通过手机或其它方式告知；接受，发送邮件应该仔细确认邮件地址。不要轻易打开来历不明的邮件附件及链接工作...

busybox使静态编译的，不依赖于系统的动态链接库，从而不受ld.so.preload的劫持，能够正常操作文件。系统在执行程序的时候，会通过环境变量LD_PRELOAD和配置文件/etc/ld.so.preload进行预加载从而调用动态链接库，如果这两者被修改的话，那么系统程序在执行的时候，就会调用这两者被修改的内容。busybox安装方式：cd /bin/wget https:...

事件分类：web入侵：挂马，篡改，webshell系统入侵：系统异常，RDP爆破，SSH爆破，主机漏洞病毒。木马：远程，后门勒索软件，信息泄露：脱裤，数据库登陆（弱口令）网络流量：频繁发包，批量请求，DDOS攻击应急排查操作1，通过iptables完成网络层隔离#/bin/bashiptables-save > /root/iptables.bak ##备...

对公网IP列表进行端口服务扫描，发现周期内的端口服务变化情况和弱口令安全风险可以使用PublicMonitors工具对公司的指定IP进行扫描，发现IP内的服务暴露和弱密码。该PublicMonitors工具会调用以下的一些工具：masscan:对已开放的端口进行扫描，查看是哪些端口对外进行了开放。nmap：对扫描到的端口进行识别，得出该端口是哪一种类型的服务。hydra（九头蛇...

应急响应PDCERF模型：P(PreParation准备) D（Detection诊断） C(Containment抑制) E（Eradication根除） R(Recovery恢复) F（follow-up跟踪）在发现服务器入侵的时候，我们需要使用以上的流程进行排查：PreParation准备：如果系统被入侵了，一般不建议采用系统自带的应用工具（ls,ifconfig,ps,...

zabbix的安全一般分为以下的几种：1，zabbix配置不当导致的安全事件zabbix服务端的权限非常高，很多黑客可以通过zabbix的服务端对被监控服务器进行渗透攻击，所以，zabbix在安装后，必须修改zabbix的默认用户名和密码，就算将zabbix放到内网中，也不能保证zabbix的绝对安全。2，zabbix弱口令密码，容易被爆破3，zabbix低版本的注入漏洞，通过该注...

常规的文件泄露包含了下面的几种形式：Github git svn .DS_Store .hg .bzr cvs上面的七种为版本管理工具所泄露的常规方式WEB-INF 网站备份，zip,sql,rar,swp,phpinfo:是指在网站目录存在这些备份文件上面的两种方式为操作不当，安全意识薄弱所造成的泄露。github泄露：开发人员将代码上传到网站，在上传的时候，没有删...

Tripwire是目前最为著名的linux下文件系统完整性检查的软件工具，这一软件采用的技术核心就是对每个要监控的文件产生一个数字签名，保留下来。当文件现在的数字签名与保留的数字签名不一致时，那么现在这个文件必定被改动过了。Tripwire的四种算法：MD5，CRC32，SHA，HAVAL后两种对系统的资源占用很大，常用前两种安装：yum install -y epel-rel...

osquery是用于记录本机的一些系统信息，如passwd文件的改变，用户的增加等，有了它，我们可以在系统发生改变后，能够及时查询出来。curl -L https://pkg.osquery.io/rpm/GPG | tee /etc/pki/rpm-gpg/RPM-GPG-KEY-osqueryyum-config-manager --add-repo https://pkg.osqu...

渗透分为常规的渗透和非常规渗透常规渗透就是指，公司去找第三方安全公司与第三方安全公司签订安全保密协定，然后让第三方公司对自己的产品做安全测试，并让安全公司给自己的产品出具安全报告。一般的常规渗透都是对指定的某个产品在规定的范围内进行，也就是又针对性的目标和范围。常规渗透的流程如下图：非常规渗透：如APT攻击和红蓝对抗，这种渗透通常是为了获取利益或者破坏为主，它没有边界和指定的目标。...

SQL注入的简单例子：使用URL：http://localhost/a.php?id=1'在程序中，会执行下面的语句：$id=$_GET['id'];$sql="SELECT * FROM user WHERE id=$id' LIMIT 0,1"执行上面的这条语句就会报错，这里如果不对URL进行判断，那么这就会导致语句的执行错误，严重的，别人就可以获取到想要的数据信息。如...

命令执行漏洞是指攻击者可以随意执行系统命令。属于高危漏洞之一，任何脚本语言都可以调用操作系统命令。再业务本身，有的需要提交数据给业务，如果没有对用户的提交的数据进行判断的话，那很有可能会被用来执行命令。在PHP中，有的函数，如system,exec,shell_exec,passthru,popen,proc_popen。当用户能控制这些函数中的参数时，就可以将恶意系统命令拼接到正常命令中...

CentOS安全加固：不能是弱密码，必须是16位随机字符密码； 修改默认端口； 禁止root账号登陆(PermitRootLogin no)； 指定允许登陆账号，使用特别账号进行登陆，登陆后再切换到root； 启动强制密码策略(/etc/login.defs) PASS_MIN_LEN 16,这样可以防止管理人员设置简单的密码 设置密码的更新时间。 检查/etc/passwd文...

Apache安全加固版本信息隐藏：ServerTokens Prod ServerSignature Off 隐藏php版本：在php.ini文件中设置参数expose_php= off 防止列目录泄露敏感信息：Options Indexes FollowSymLinks改为 Options FollowSymLinks 指定目录禁止php解析<Directory ...

弱口令拿shell 补丁和漏洞管理：必须及时安装与安全性相关的tomcat补丁，可以订阅下面的网站进行查看：http://tomcat.apache.org/lists.html#tomcat-announce 设置tomcat服务权限最小化：useradd -s /sbin/nologin tomcat/usr/lib/systemd/system/tomcat8.service在t...

OpenResty®通过汇聚各种设计精良的Nginx模块（主要由 OpenResty 团队自主开发），Web 开发人员和系统工程师可以使用 Lua 脚本语言调动Nginx支持的各种 C 以及 Lua 模块，快速构造出足以胜任 10K 乃至 1000K 以上单机并发连接的高性能 Web 应用系统。openresty其实是对nginx进行了再次的封装，利用各种模块对Nginx进行了深度定...

什么是蜜罐：蜜罐技术本质上时一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机。cowrie是什么：它是一款中度交互的SSH与Telnet蜜罐，它可以获取攻击者用于暴力破解的字典，输入的命令以及上传或下载的恶意问题。搭建cowrieuseradd cowriepasswd cowrieyum install -y git python-virtualenv bzip2-de...

1.账号分角色进行管理，分为运维权限，主程权限，普通开发者权限，网站的权限，同一个库的不通账号要区别对待。2.最好不要使用默认的3306端口，不过这一条不是那么必要，因为如果有人真的要搞你的话，无论你换成哪个端口，别人都可以发现，对于端口的防护最好是不要把数据库的访问开放到公网上去。3.检查是否设置禁止mysql对本地文件存取：revoke file on *.* from 'user...