标签网络安全下的文章 - 第 2 页 - playe玩家网-玩家官网-玩机交流学习-玩家博客

登录 / 注册

找到 14 篇与网络安全相关的结果 - 第 2 页

2025-01-04
新服务器可能遇到的安全风险 1.检测是否限制密码重复使用次数检测类型：检查密码重复使用次数限制风险等级：中危风险描述：未限制密码重复使用次数解决方案：1、配置文件备份cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak 2、在【/etc/pam.d/system-auth】文件【password sufficient】后面添加或修改remember=5 2.检查是否设置无操作超时退出检测类型：检查是否设置命令行界面超时退出风险等级：中危风险描述：未配置命令行超时退出解决方案：1、在文件【/etc/profile】中添加tmout=300，等保要求不大于600秒 2、执行命令source /etc/profile使配置生效 3.检测PHP是否关闭错误提示检测类型：PHP报错误信息提示风险等级：中危风险描述：未关闭错误信息提示的PHP版本有：7.4 解决方案：1、根据风险描述，在【软件商店】-【运行环境】找到对应版本的PHP插件，在【配置修改】页面，将display_errors设置为关闭并保存 4.检测当前服务器的MySQL端口是否安全检测类型：MySQL端口安全风险等级：中危风险描述：当前MySQL端口: 3306，可被任意服务器访问，这可能导致MySQL被暴力破解，存在安全隐患解决方案：1、若非必要，在【安全】页面将MySQL端口的放行删除 2、通过【系统防火墙】插件修改MySQL端口的放行为限定IP，以增强安全性 3、使用【Fail2ban防爆破】插件对MySQL服务进行保护 5.检查重要文件是否存在suid和sgid权限检测类型：检查拥有suid和sgid权限的文件风险等级：中危风险描述：以下文件存在sid特权，chmod u-s或g-s去除sid位："/usr/bin/chage、/usr/bin/gpasswd、/usr/bin/wall、/usr/bin/chfn、/usr/bin/chsh、/usr/bin/newgrp、/usr/bin/write、/usr/sbin/usernetctl、/bin/mount、/bin/umount、/sbin/netreport" 解决方案：1、使用chmod u-s/g-s 【文件名】命令修改文件的权限 6.检查是否允许空密码sudo提权检测类型：检查是否允许空密码sudo提权风险等级：中危风险描述：以下sudo文件存在NOPASSWD标记：【/etc/sudoers.d/90-cloud-init-users】解决方案：1、打开/etc/sudoers或是/etc/sudoers.d下的文件 2、删除或注释【NOPASSWD】标记所在行 3、或者使用一键修复处理安全风险 7.检测类型：检查SSH密码修改最小间隔风险等级：中危风险描述：【/etc/login.defs】文件中把PASS_MIN_DAYS大于等于7 解决方案：1、【/etc/login.defs】 PASS_MIN_DAYS 应设置为大于等于7 2、PASS_MIN_DAYS 7 需同时执行命令设置root 密码失效时间命令如下: chage --mindays 7 root 8.检测类型：TCP-SYNcookie保护检测风险等级：低危风险描述：未开启TCP-SYNcookie保护解决方案：1、在【/etc/sysctl.conf】文件中添加net.ipv4.tcp_syncookies=1 2、然后执行命令sysctl -p生效配置

网络安全 # 网站优化 # 网络安全 # 原创 # 渗透 # 知识

爱坤 1月4日
0 5 0
2025-01-04
渗透口诀本文提供了一系列渗透测试的口诀，指导如何进行网络安全渗透测试，包括使用各种工具和方法来寻找和利用漏洞。渗透口诀的文字提取如下：进谷歌找注入没注入就旁注没旁注用O day 没O day 猜目录没目录就嗅探爆账户找后台传小马放大马拿权限挂页面放暗链清数据渗透企业实战版搞企业先扫描扫描器商业好默密码都知道社工库找一找邮箱号先列好九头蛇跑一跑搞不定放大招找插件挖一挖发邮件凭伪造没邮箱搞网站二级域皆可爆老漏洞没修好新漏洞刷一票干研发Git找源代码全都要 CDN可以跳防火墙可以撬堡垒机可以秒云防护可以秒是企业没有哪家搞不了这个口诀概括了渗透测试的常见步骤和技巧，从信息搜集到漏洞利用，再到最终的权限提升和持久化攻击。图片中的口诀是关于渗透测试的步骤和技巧，具体解释如下： "进谷歌找注入"：使用搜索引擎（如Google）搜索可能存在SQL注入漏洞的网站。 "没注入就旁注"：如果没有找到SQL注入漏洞，尝试使用旁注攻击，即利用同一服务器上的其他网站进行攻击。 "没旁注用O day"：如果没有旁注攻击的机会，尝试使用Oday漏洞，即已知但尚未修补的漏洞。 "没O day 猜目录"：如果没有Oday漏洞，尝试猜测网站的目录结构，寻找敏感文件或信息。 "没目录就嗅探"：如果目录猜测不成功，使用嗅探工具来捕获网络流量，寻找有用的信息。 "爆账户找后台"：通过嗅探或猜测等手段获取用户账户信息，然后尝试登录后台。 "传小马放大马"：上传小型后门程序（小马），然后利用它来上传更大的后门程序（大马），以获得更多控制权。 "拿权限挂页面"：获取网站权限后，可能会挂上自己的页面，如黑页。 "放暗链清数据"：可能会植入暗链，或者清除网站的重要数据。 "渗透企业实战版"：这是对企业网站进行渗透测试的实战方法。 "搞企业先扫描"：对企业网站进行初步的扫描，以发现潜在的安全漏洞。 "扫描器商业好"：使用商业级的扫描工具进行更详细的漏洞扫描。 "默密码都知道"：很多系统使用默认密码，这些默认密码是众所周知的。 "社工库找一找"：在社会工程学数据库（社工库）中查找可能泄露的账户信息。 "邮箱号先列好"：列出可能用于钓鱼攻击的邮箱地址。 "九头蛇跑一跑"：使用Hydra等工具尝试破解登录账户。 "搞不定放大招"：如果常规方法不行，尝试更高级的攻击手段。 "找插件挖一挖"：寻找网站使用的第三方插件中的漏洞。 "发邮件凭伪造"：通过伪造邮件来欺骗用户，获取敏感信息。 "没邮箱搞网站"：如果没有邮箱信息，直接攻击网站。 "二级域皆可爆"：攻击网站的二级域名，这些域名可能没有足够的安全措施。 "老漏洞没修好"：利用尚未修复的老旧漏洞。 "新漏洞刷一票"：利用新发现的漏洞进行攻击。 "干研发Git找"：尝试获取研发团队的Git代码仓库，以寻找敏感信息。 "源代码全都要"：获取源代码，以便深入分析漏洞。 "ＣＤＮ可以跳"：绕过内容分发网络（CDN）的防护。 "防火墙可以撬"：尝试绕过防火墙的防护。 "堡垒机可以秒"：快速攻破堡垒机（一种安全设备）。 "云防护可以秒"：快速攻破云安全防护措施。 "是企业没有哪家搞不了"：表示没有企业是渗透测试无法攻破的。这个口诀强调了渗透测试者应具备的多种技能和策略，包括信息搜集、漏洞利用、社会工程学、密码破解等。需要注意的是，这些技巧仅用于合法的渗透测试和安全评估，未经授权对系统进行渗透测试是违法的。是的，除了上述提到的渗透测试技巧，还有一些其他的技能和策略： "渗透测试白皮书"：阅读和理解渗透测试相关的白皮书，以获取最新的技术和方法。 "CMS大法好"：针对内容管理系统（CMS）的特定漏洞进行攻击。 "挖0day得永生"：挖掘未公开的漏洞（0day），这些漏洞往往具有很高的价值。 "代码审计别忘记"：对代码进行审计，以发现潜在的安全漏洞。 "内网渗透步步惊心"：在内网中进行渗透测试，这需要更深入的技术和策略。 "社工工程学攻击"：利用社会工程学技巧获取敏感信息或诱骗用户进行不当操作。 "日志分析找出马脚"：通过分析系统日志，寻找攻击的蛛丝马迹。 "Linux和Windows系统都要熟"：熟悉Linux和Windows操作系统，因为它们是网络服务的主要平台。 "无线网络攻击要精通"：对无线网络进行攻击，需要了解无线网络的工作原理和漏洞。这些技能和策略都是网络安全渗透测试的一部分，需要不断地学习和实践。同时，重要的是要遵守法律和道德规范，在进行渗透测试之前，必须得到目标客户的授权。

网络安全 # 网络安全 # 优化 # 渗透 # 上网行为管理

爱坤 1月4日
0 3 0
2025-01-04
CC攻击和DD攻击的攻击方式也有所区别 CC攻击，即Challenge Collapsar攻击，是一种针对Web服务器的攻击，它通过发送大量的HTTP请求来耗尽服务器的资源，导致正常用户无法访问。这种攻击通常模拟正常用户的浏览行为，目的是让服务器忙于处理这些请求而无法响应其他用户的请求。 DD攻击，即Distributed Denial of Service攻击，是一种更复杂的攻击方式，它利用分布在不同地点的多台计算机同时对目标发起攻击，以此来放大攻击的效果。DD攻击可以模拟正常用户的请求，也可以发送大量无效或恶意的数据包，目的是使目标服务器或网络资源不可用。 CC攻击和DD攻击的攻击方式也有所区别： CC攻击的攻击方式：模拟正常用户访问：CC攻击通常模拟正常用户的浏览行为，通过伪造HTTP请求，向服务器发送大量的请求，这些请求看起来像是合法的页面访问。消耗服务器资源：攻击者利用这些请求占用服务器的处理能力，导致服务器响应缓慢或拒绝服务。针对性强：CC攻击通常针对特定的页面或服务，攻击者可能知道服务器的弱点，针对性地发送请求。 DD攻击的攻击方式：分布式攻击：DD攻击通过控制分布在不同地理位置的多台计算机（僵尸网络），同时向目标发起攻击。发送大量流量：攻击者利用这些计算机发送大量的流量到目标服务器，这些流量可能包括合法的请求、伪造的请求或恶意的数据包。难以防御：由于攻击流量来自多个源头，这使得防御者难以通过简单的流量过滤或限制来阻止攻击。简而言之，CC攻击更多依赖于模拟正常用户行为来消耗服务器资源，而DD攻击则通过分布式网络发送大量流量来达到攻击目的，后者更难以防御。 cc防护： cc攻击是针对网站的，DD攻击是针对ip的，处理方式不一样 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 统计连接的IP netstat -antp |wc -l 查看下连接数通过以上两个命令，可以判断出哪个是攻击IP，哪个是自己的IP被攻击了方案： 1.用centos命令，查看连接数，然后把连接数很多的ip，给加入黑名单（我们这边的客户管理平台有黑名单功能，客户可以自助加入） 2.客户管理平台，看攻击日志，把攻击多的ip，加到黑名单（我们这边的客户管理平台有黑名单功能，客户可以自助加入） 3.在宝塔防火墙上设置防护（cc访问数量太多的话也不一定能防的住） 4.硬扛，cc访问攻击是对网站进行多数量的访问，导致服务器带宽和cpu跑高，网站很重要的话，酌情增值带宽和cpu 5.长时间的被频繁cc的话，建议找到被cc攻击的网站，套cdn cc是对网站的攻击，服务器能做的有限，只能通过软件防护之类的来弄，如果试过123方案后cc数量依旧很多的话，可以考虑4和5方案

网络安全 # 网络安全 # 知识

爱坤 1月4日
0 9 0
2025-01-04
怎样防止自己源IP暴露到互联网上--保护源站IP：避免CDN源IP暴露的策略在数字化时代，网络安全日益重要。对于服务器管理员来说，防止源站IP暴露是保障服务器安全的关键一环。本文将探讨如何通过配置错误证书、使用CDN服务、关闭邮件服务以及其他安全措施来保护源站IP，确保服务器的安全运行。在服务器管理中，源站IP的暴露可能导致严重的安全问题，如DDoS攻击、CC攻击等。即使使用了CDN服务，源站IP仍有可能被攻击者发现。为了有效避免这种情况，可以采取以下措施： 1.更换IP并使用大厂CDN服务：在更换IP地址时，选择信誉良好的服务商，确保新IP地址的安全性。选择大厂CDN服务，如Cloudflare或国内的阿里云CDN、腾讯云CDN等，这些服务提供商通常拥有更完善的安全防护措施。在CDN服务中设置正确的缓存策略，确保敏感数据不会缓存在CDN节点上，减少数据泄露的风险。定期监控CDN的日志文件，以便及时发现和应对潜在的安全威胁。 2. 配置错误证书：在服务器上安装一个自签名的SSL证书，这样即使有人尝试通过IP直接访问服务器，浏览器也会因为证书无效而阻止访问。在Web服务器软件（如Apache、Nginx）的配置文件中，将所有HTTP和HTTPS请求重定向到HTTPS，并确保HTTPS连接返回自签名证书。在宝塔面板中，创建一个新的站点，并给该站点添加一个自签名的SSL证书。将此站点设置为默认站点，这样所有的请求都会默认通过这个站点处理。确保服务器配置中的SSL设置正确，例如设置 listen 80 default_server; 和 listen 443 ssl http2 default_server; ，这样当请求到达80或443端口时，服务器会返回配置的证书。通过这些步骤，即使有人尝试通过IP访问服务器，他们也会因为证书无效而无法建立安全的连接。这有助于保护源站IP不被轻易发现。 3. 修改服务器配置：在Web服务器的配置文件中，设置默认的HTTP和HTTPS响应状态码为444，这是一个自定义状态码，表示服务器拒绝响应。这样，即使有人尝试通过IP访问服务器，也不会得到正常的页面内容。确保服务器配置文件中的 listen 指令正确配置，将80和443端口的默认服务器设置为之前创建的站点，这样所有的HTTP和HTTPS请求都会被正确地重定向到该站点。对于HTTPS请求，除了设置自定义状态码外，还应该确保服务器配置中禁用了HTTP到HTTPS的自动重定向，防止通过HTTP访问时泄露信息。定期检查服务器配置文件，确保没有未经授权的更改，保持服务器的安全性。通过这些配置，可以有效地防止通过IP直接访问服务器，从而保护源站IP不被暴露。 4. 关闭邮件服务：检查服务器上运行的邮件服务，如Sendmail、Postfix或Exim等，确保它们没有配置为监听公网IP地址。如果邮件服务不需要从互联网接收邮件，可以将其配置为仅监听内网IP地址。如果必须从互联网接收邮件，可以考虑使用第三方邮件服务提供商，并确保所有的邮件转发都是通过安全的通道进行，避免邮件头信息泄露服务器真实IP地址。对于SMTP服务，可以设置仅允许来自特定IP地址的连接，或者使用防火墙规则限制对邮件服务的访问，只允许来自已知的、可信的IP地址的连接。定期检查邮件服务的日志文件，监控任何异常的连接尝试，确保邮件服务不被用作攻击源。通过关闭或正确配置邮件服务，可以减少源站IP暴露的风险。 5. 实施基础安全操作：限制密码重复使用次数：在服务器管理中，确保密码策略要求用户创建强密码，并限制密码的重复使用，防止密码被猜测或暴力破解。设置无操作超时退出：配置服务器和用户会话超时设置，如果用户在一定时间内无操作，则自动退出登录，减少被攻击的风险。关闭PHP错误提示：在PHP配置中关闭错误报告，确保即使发生错误，也不会向用户显示详细的错误信息，避免泄露服务器配置和敏感数据。检查MySQL端口安全：确保MySQL数据库只监听内网IP，或者使用防火墙规则限制对MySQL端口的访问，只允许来自特定IP的连接。检查重要文件权限：定期检查服务器上关键文件的权限设置，确保没有不当的suid和sgid权限设置，这些权限可能会允许普通用户执行特权操作。定期更新和打补丁：保持操作系统、Web服务器软件、数据库和其他关键软件的最新状态，及时应用安全补丁，以防止已知漏洞被利用。使用防火墙和入侵检测系统：部署防火墙规则来限制不必要的端口和服务，使用入侵检测系统（IDS）和入侵防御系统（IPS）来监控和防御潜在的恶意活动。数据备份和恢复计划：定期备份服务器上的重要数据，并确保可以快速恢复，以防数据丢失或被加密勒索。员工安全意识培训：对服务器管理人员进行安全意识培训，确保他们了解最新的安全威胁和最佳实践。通过实施这些基础安全操作，可以大大增强新服务器的安全性，降低被攻击的风险。这些措施有助于创建一个更加安全的网络环境，保护服务器免受各种威胁第5点可以看一下，我之前发过的新服务器可能遇到的安全风险文字

网络安全 # 网站优化 # 网络安全 # 原创 # 优化 # 知识

爱坤 1月4日
0 61 0
2025-01-04
一个基础的系统安全判断拦截脚本前言在网络安全领域，DOS（拒绝服务）攻击一直是令人头疼的问题。这类攻击通过大量无用的服务请求拥塞目标系统，导致合法用户无法获得服务。为了有效应对这种攻击，我们需要一种能够自动识别和屏蔽攻击源IP的解决方案。下面，我们就来介绍一个实用的Bash脚本，它能分析Nginx访问日志，自动发现并屏蔽频繁访问的异常IP。这个脚本首先会获取当前时间，并从Nginx的访问日志中筛选出最近5000条记录。然后，它会检查这些记录中，与当前日期相关且访问次数超过10次的IP地址。这些频繁访问的IP被视为潜在的DOS攻击源脚本内容如下 !/bin/bash DATE=$(date +%d/%b/%Y:%H:%M) nginx日志路径 LOG_FILE=/usr/local/nginx/logs/demo2.access.log 分析ip的访问情况，找出异常IP ABNORMAL_IP=$(tail -n5000 $LOG_FILE | grep $DATE | awk '{a[$1]++} END {for(i in a) if(a[i]>10) print i}') 对每一个异常IP进行处理 for IP in $ABNORMAL_IP; do #检查iptables规则中是否已经存在该IP的屏蔽规则 if [ $(iptables -vnL | grep -c "$IP") -eq 0 ]; then #如果没有，则添加屏蔽规则，并记录日志 iptables -I INPUT -s $IP -j DROP echo "$(date +'%F_%T') $IP" >> /tmp/drop_ip.log fi done 这个脚本的工作原理很简单但非常有效。它首先通过 tail 命令获取Nginx日志文件的最后5000行，然后使用 grep 和 awk 命令分析这些日志，找出访问频率过高的IP地址。接下来，脚本会检查iptables防火墙规则，看看是否已经屏蔽了这些IP。如果没有，就使用 iptables 命令添加屏蔽规则，并将相关信息记录到 /tmp/drop_ip.log 日志文件中。通过这种方式，我们可以实现对DOS攻击的快速响应和自动屏蔽，大大提高服务器的安全性。同时，通过查看 /tmp/drop_ip.log 文件，我们还可以追踪到哪些IP地址被屏蔽，这对于后续的安全分析和处理也非常有帮助。总的来说，这个简单的Bash脚本为我们的服务器安全提供了一层额外的保障。在网络安全日益重要的今天，这种自动化的防御机制无疑是我们抵御DOS攻击的有力武器。

网络安全 # 网络安全 # 优化 # 宝塔 # 操作面板 # 渗透 # 知识

爱坤 1月4日
0 1 0