linux 入侵?
被用来抵抗来自Internet对主机的入侵。这些安全措施主要是:
防火墙,确定了系统的来自Internet的用户对哪些TCP或者UDP端口有访问的权限。例如
:我们通过一些很简单的Web Server防火墙的规则设置,就可以确定这台机器只有用来
提供http服务的80端口向用户开放。
系统是不需要没有用处的守护进程的。例如:一个Web服务器一般只需要一个正在运行的
进程来服务Web页面。进程并不是就是和服务与Web页面相关联的,譬如RPC/Portmap服务
,NFS服务,X Font服务,DNS域名服务,其他外来的或者是没有什么用处的应用软件应
该被关掉或者是禁用。在Red Hat Linux的系统中,通常我们用一种运行等级的编辑器来
进行有关的设置,譬如我们可以用ntsysv 或者tksysv来禁用其中的那些没有要求的守护
进程。
通过编辑和修改/etc/inetd.conf可以屏蔽一些不用的端口。作为一个典型的默认值,我
们安装一个新的Linux系统的时候,/etc/inetd.conf默认的打开了很多端口。所有的系
统都应该通过编辑/etc/inetd.conf,删除或者是注释掉其中的一些行,用来禁用那些没
有用处的端口,这是最基本的系统安全行为。
警戒线(Lines of Defense):
图解一、多层系统安全
这一部分,我们将讨论一个多层通道的系统安全问题。当其中一些安全层被破坏的时候
,很多安全层能够独立的应用来提供一些额外的防卫。图1就是一种多层结构的系统安全
模型。
图表中的每一层都会为自己的上一层提供额外的数据保护。例如:第一层是防火墙,如
果防火墙没有阻挡住外界的入侵尝试,那么第二层-端口守护程序就会提供额外的保护。
进一步,里面的安全系统是LIDS和LogCheck程序,在入侵尝试没有被第二层截获的时候
也会进行保护。
监控当前连接
防火墙后的第一防护层是用来监控当前与主机的连接尝试的软件包。端口守护程序包(
http://www.psionic.com/abacus/portsentry/ )提供了一些简洁和有用方式来完成这些
事情。
端口守护(PortSentry)程序的作用
端口守护程序的主要作用监控一些特殊的TCP/IP端口的活动情况。PortSentry监视并报
告一些端口的活动,其中的一种情况可能被选中,包括拒绝进一步的连接尝试。这是一
种很重要的防护措施,因为一般的黑客在入侵一个系统之前都会将会使用一些工具来探
测系统的漏洞和弱点。察觉到探测器或者是端口扫描,就可以彻底的切断一些潜在地黑
客进一步的连接尝试,中止一些带有入侵意图的进一步的端口扫描。
安装PortSentry
对于Red Hat的用户来说,Red Hat的ftp服务器上的RPM包里面包含了这个程序。这个站
点在全球都有它的镜像,你可以在www.redhat.com上面查找距离你最近的站点。我还不
能确定.deb格式的软件包中间是PortSentry这样的程序,但是我可以确认那里肯定是有
这个软件的。对于其他Linux用户来说,通过原码来安装这个软件也是相当地简单的。
推荐配置
PortSentry有很多运行模式,包括不同的UDP和TCP秘密运行的模式。我选择的运行机制
是把PortSentry绑定在那些没有被使用的或者是认为有潜在的入侵可能的TCP端口上。例
如:我将24小时连续的扫描我的web服务器上面的这些端口,port 143 (imap2), port
以通过这条命令:
portsentry -tcp
在你的系统启动的时候就使PortSentry进入基本的TCP运行模式。同时要保证PortSentr
y的配置文件portsentry.conf中包含了TCP_PORTS这行配置来扫描你需要进行扫描的端口
。
反应选项
你能通过portsentry.conf中的"quot;Response Options"quot;部分来详细的说明什么样的反应是P
ortSentry察觉了一些不期望的连接。通常我会使用ipchains来中断那些来自于连接的源
方的进一步连接。这个也可以通过portsentry.conf中下面这样一行来进行配置:
KILL_ROUTE="quot;/sbin/ipchains -I input -s $TARGET$ -j DENY -l"quot;
在接受来自高端口的扫描行为的时候,可以通过删除上面一行中的-l这个选项来屏蔽这
些进一步的连接,可以有效的维持系统日志空间。
监视系统日志
诸如防火墙系统、PortSentry这样的软件可以有效的监视或者是屏蔽一些端口的不期望
的连接。这样可以防止最典型的那种"quot;扫描-入侵"quot;的攻击方式。
当系统需要运行特殊的服务(例如:Apache Web Server,或者是绑定了一个DNS服务)
的时候,同时有黑客破解了这种服务中的一些攻击点,这些程序就会很不幸运的不能保
持把所有的入侵者拒之门外。绑定运行着一个容易受攻击的程序的DNS服务器,这些端口
最终总是要被一些黑客通过扫描很广范围的机器的特定的一个端口,并且会试图通过这
个端口来入侵系统。很不幸,防火墙或者是PortSentry程序会将这些入侵尝试当作正常
的合理的连接。
系统日志检测(LogCheck)
LogCheck是用来扫描系统日志文件的软件( http://www.psionic.com/abacus/logcheck
/ )。LogCheck会扫描系统日志文件(在Linux系统中,系统日志文件在/var/log/目录下
面),同时当系统出现一些异常的时候,LogCheck就会通过Email来通报给管理员。系统
日志文件中的异常的消息通常是表示有一些黑客正在尝试入侵或者是正在侵入系统。
安装LogCheck
LogCheck有四个主要的配置文件。在RPM版本中,这几个配置文件在/etc/logcheck目录
下面。通常我们只需要配置logcheck.ignore和logcheck.violations.ignore这两个文件
。我在安装完LogCheck后的程序一般是这样的:
允许LogCheck在正常的运行模式下面运行一次,这样将会一个巨大的输出文件,不过我
们可以把这个文件删除算了。
些新的东西,同时也是一个很大的但是仍然可以计算大小的文件。仔细的阅读这个文件
。
在文件的入口处有一些不需要我们关心的特定的字符串,如果这些字符串时一些"quot;违反安
全"quot;的片断,我们可以将这些字符串片断加入到logcheck.violations.ignore文件中;或
者当他们是"quot;异常系统事件"quot;的时候,我们就将这些字符串加到logcheck.ignore中。
在折椅歌星期中,每隔12~24小时就重复一下这些步骤。在这个阶段中,我们反复的设置
.ignore文件的过滤规则,最后剩下的就是我们的系统真正关心的了。
注意到RPM文件指定LogCheck每小时运行一次,但是我只需要每天运行一次,除非是在特
定的需要监视的系统。这样可以每天把/etc/cron.hourly/logcheck这个文件拷贝到/et
c/cron中一次。
基于内核的入侵检测
基于内核的入侵检测是一种相当巧妙的新型的Linux入侵检测系统。现在最主要的基于内
核的入侵检测系统叫做LIDS,并可以从 http://www.lids.org/ 下载。
什么是LIDS?
LIDS是一种基于Linux内核的入侵检测和预防系统。
LIDS的保护目的是防止超级用户root的篡改系统重要部分的。LIDS主要的特点是提高系
统的安全性,防止直接的端口连接或者是存储器连接,防止原始磁碟的使用,同时还要
保护系统日志文件。LIDS当然也会适当制止一些特定的系统操作,譬如:安装sniffer、
修改防火墙的配置文件。
LIDS文档工程
LIDS比安装PortSentry和LogCheck要复杂一点,但是很幸运的是,在LIDS的主页上面有
详细的安装和配置手册。
安装LIDS
首先,在安装之前,我们需要大部分最新的LIDS软件包(我使用的是0.9)和适当的内核
版本。我现在使用的是从Red Hat主页上下载的2.2.14-12版本的内核,因为其中包含一
些安全补丁。同时你也需要你使用的内核的一些源代码。
现在的LIDS主要是适用于2.2.14版本的内核。我安装的在2.2.14的内核的Red Hat Linu
x6.2上面安装了LIDS。在安装LIDS之前,我在ftp.redhat.com下载了最新的内核版本,
并且依照 http://www.redhat.com/support/docs/howto/kernel-upgrade/kernel-upgra
de.html 安装了这个内核。
接着的事情就是升级内核源代码。这里我们是这样做的:
rpm -Uhv kernel-source-2.2.14-12.i386.rpm
然后就是编译和安装lidsadm这个程序:
cd /usr/local/src/security/lids-0.9/lidsadm-0.9
make
make install
生成一个RipeMD-160口令,这个以后将会在安装进内核的:
lidsadm -P
输入口令是"quot;anypass"quot;,得到秘钥"quot;d502d92bfead11d1ef17887c9db07a78108859e8"quot;。
接着,我把Redhat的配置文件拷贝到我的结构体系中,在/usr/src/linux目录下面:
cd /usr/src/linux/configs/
cp kernel-2.2.12-i686.config ..
下面我们就使用下面的命令来安装LIDS:
cd /usr/src
patch -p0 同时我们应该注意到Red Hat所提供的内核和Linus发布的标准的2.2.14版本的内核有一
些细微的差别,因为其中包含一些修改过的驱动程序。同样lids-0.9-2.2.14-redhat.p
atch文件也是和LIDS发布的标准的lids-0.9-2.2.14.patch有一些细微的差别,不过可能
后者并不是特别适合于Red Hat系统。
查找linux入侵证据的简单几个小技巧
要查找linux系统入侵证据,可从如下几个方面入手:
1.last,lastlog命令可查看最近登录的帐户及时间
2./var/log/secure , /var/log/messages日志信息可以通过accept关键字查看系统是否有被可疑IP地址登录成功信息。
3.用户任务计划,文件/var/spool/cron/tabs/用户,某些黑客会将后门程序,病毒设置为计划任务,定时执行
4.几个经常被放置木马,病毒的目录,/tmp, /var/tmp, /dev/shm由于这些目录都设置了SBIT,即所有用户都可读,可写,可执行。并且在访问这些目录的同时拥有root权限,所以即使黑客没有拿到root权限,在这些目录上传病毒,木马是非常方便的
5.通过时间来查找,find / -ctime n n为指定的时间,可通过上述找到的信息,综合判断,然后选取时间点,查找在那个时间点创建的文件。比如2天前的24小时内,就可用find / -ctime 2 /tmp/file.log (如果不想刷屏,可重定向到文件)
6.各类服务日志,比如apache日志:
$APACHE_HOME/logs/access_log ,$APACHE_HOME/logs/error_log
怎么使用kali linux入侵.asp网站
kali我一般都用ssh的
1、修改sshd_config文件,命令为:vi
/etc/ssh/sshd_config
2、将#passwordauthentication
no的注释去掉,并且将no修改为yes
//我的kali中默认是yes
3、将#permitrootlogin
yes的注释去掉
//我的kali中默认去掉了注释
4、启动ssh服务,命令为:/etc/init.d/ssh
start
//
或者service
ssh
start
5、验证ssh服务状态,命令为:/etc/init.d/ssh
status
如何判断linux服务器被入侵
一般服务器被入侵了,最显著的信息就是通过网络命令查看是否有未知IP连接服务器。
相关命令如下:
netstat -anltp
以上,根据查看的连接地址判断是否有被入侵,如果不了解IP信息,可以把IP信息复制后放到百度上查询下,看看IP所在地址是否在已知连接区域内。
如何通过kali linux入侵网站
入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统的核心价值在于安全策略的实施—对黑客行为的阻击;入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。
linux搭建的网站服务器怎么入侵
整站程序是php的话就利用SQL注入(一般都是linux环境下带个小php),进后台然后提权。和windows主机不一样。linux提权要利用内核漏洞什么的。然后就是留下rootkit,然后就可以走人了
千万记得,linux主机和windows主机不一样。日志要搞干净。尤其是用户执行过的命令也要搞干净