2020-01-03有了内网服务器上的普通用户的权限,意味着我能拿到这个服务器上的代码,那么可以反编译他的代码获取代码里的各种漏洞,还可以进行内网探测,用ssh扫描所有内网服务器,试着进行权限提升,获取管理员权限,之后就好比在自己的服务上想干什么就干什么了,再做权限持久化,下个rootkit什么的方便下次进入。另外获取了他的代码也意味着能拿到他的数据存储的用户名密码,就可以获取他所有的用户数据等。作者回复: 总之就是为所欲为了~
4
2020-01-03老师,请教个问题,针对文件服务器,针对上传的文件类型进行白名单校验(魔数),然后存储时对文件进行了加密,那么针对文件服务器上传下载还有其它安全防护手段吗?对文件进行加密能否规避植入“后门”?作者回复: 基本能够规避。还有就是限定上传的目录,比如放到一个单独的目录中,而不是在Web服务的目录中。
2
2020-01-03我一直没搞明白怎么才能获取普通用户权限,通过xss csrf sql注入感觉最多只能获取数据,请老师解惑,十分感谢! 3 2
2020-01-14既然Windows会有后门,那Linux会不会也有后门呀?我们怎么能够检测出来Linux是否有后门呢?作者回复: 都会有后门的。后门的检测主要依靠人工审计和安全工具。主要原理都是看系统内有没有可疑的进程,老是对外发一些未知请求,或者一直监听未知的端口等。
1
2020-01-041、在进行日常审计的时候,突然发现内网有黑客的操作痕迹。
请问是怎么发现操作痕迹的,有哪些痕迹,谢谢!
2、只要黑客任意时刻在 hacker.com 中监听 8080 端口(比如通过 nc -l 8080),就可以获得服务器定时送上来的命令执行权限。
内网的服务器主动访问互联网不是只允许访问指定网站嘛,或者是主动访问外部采取白名单的方式是否能有效预防这类后门攻击。
最小权限原则包括用户层面、程序(进程)层面和服务器(IP)层面,如这台服务器在内网横向能访问哪些服务器和被哪些服务器访问,纵向能访问哪些互联网服务器。展开作者回复: 1、其实就是在挖矿,然后导致服务器利用率激增,因此才发现的异常。
2、白名单确实可以预防。但很多公司管理并不严格,服务器是可以直接访问外网的。这类外网需求其实也比较常见,更新个系统,拉取个docker镜像啥的。 1
2020-01-16有了内网服务器上的普通用户的权限,意味着我能登录服务器,可以用多种方法尝试提升权限,比如,通过活动目录、反编译代码、内网探测等多种方法。一旦获取管理员权限,就可以做权限持久化,放个Muma、下个rootkit什么的方便下次进入。另外获取了他的代码也意味着能拿到他的数据存储的用户名密码,就可以获取他所有的用户数据等。- 2020-01-10老师好,在服务器性能异常才能发现,这属于被动发现,根据排查描述,是发现其攻击的轨迹,攻击过程是有蛛丝马迹的,可能是从日志分析出来的。那是否能做到事前发现,比如定期分析日志中ssh,数据库连接等高危操作端口的日志,对比排查服务器权限,是否有横向扩大的迹象。在这属于审计工作,实现是否困难。
作者回复: 这就需要使用各种安全产品来进行自动化的检测和审计工作了,在后续的模块中会进行介绍。
2020-01-05如何测试系统中是否存在权限提升和持久化漏洞?作者回复: 更多是需要手动作审计,看是否能通过一些具备root权限的进程,实现权限提升。对于后门的检测,就更困难了,需要对系统内异常的进程、脚本、网络连接等进行监控和分析。后面会讲到的IDS能一定程度上进行检测。
- 2020-01-05点击挟持为什么不讲
作者回复: 专栏内容有限,确实覆盖不全。有问题欢迎留言沟通~
2020-01-04实现细节不够详细,需要扩展研究攻击手段细节作者回复: 篇幅限制,确实讲得比较浅,只介绍了基本原理。有不清楚的欢迎留言沟通~