找到
15
篇与
网络安全
相关的结果
- 第 2 页
-
在Windows下使用TCPing工具监测端口稳定性 1. 下载TCPing工具。 访问提供的URL下载tcping.exe: 我用蓝奏浏览器分享了[tcping], 下载链接:https://wwp.lanzoup.com/i4EA71p7fash , 你可以不限速下载哦 2. 将下载的tcping.exe文件复制到Windows系统的System32目录下。 打开文件资源管理器。 导航到 C:\Windows\System32 。 将tcping.exe文件复制到该目录下。 3. 打开命令提示符(CMD)。 在Windows搜索栏中输入“cmd”。 右键点击“命令提示符”,选择“以管理员身份运行”。 4. 使用TCPing命令测试端口。 输入命令 tcping -t baidu.com 来测试baidu.com的80端口。 若要测试其他端口,例如443端口,输入命令 tcping -t baidu.com 443 。 对于IP地址,可以使用类似命令 tcping -t 192.168.1.1 来测试默认端口,或者 tcping -t 192.168.1.1 3389 来测试特定端口。 5. 分析结果。 如果出现 time=2000.000ms ,表示端口丢包,如果连续出现这个值,则端口不通。 如果没有出现 time=2000.000ms ,且返回时间值,则表示端口可达。 请注意,TCPing工具需要网络权限才能运行,确保在测试时已经连接到网络
-
新服务器可能遇到的安全风险 1.检测是否限制密码重复使用次数 检测类型:检查密码重复使用次数限制 风险等级:中危 风险描述:未限制密码重复使用次数 解决方案:1、配置文件备份cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth.bak 2、在【/etc/pam.d/system-auth】文件【password sufficient】后面添加或修改remember=5 2.检查是否设置无操作超时退出 检测类型:检查是否设置命令行界面超时退出 风险等级:中危 风险描述:未配置命令行超时退出 解决方案:1、在文件【/etc/profile】中添加tmout=300,等保要求不大于600秒 2、执行命令source /etc/profile使配置生效 3.检测PHP是否关闭错误提示 检测类型:PHP报错误信息提示 风险等级:中危 风险描述:未关闭错误信息提示的PHP版本有:7.4 解决方案:1、根据风险描述,在【软件商店】-【运行环境】找到对应版本的PHP插件,在【配置修改】页面,将display_errors设置为关闭并保存 4.检测当前服务器的MySQL端口是否安全 检测类型:MySQL端口安全 风险等级:中危 风险描述:当前MySQL端口: 3306,可被任意服务器访问,这可能导致MySQL被暴力破解,存在安全隐患 解决方案:1、若非必要,在【安全】页面将MySQL端口的放行删除 2、通过【系统防火墙】插件修改MySQL端口的放行为限定IP,以增强安全性 3、使用【Fail2ban防爆破】插件对MySQL服务进行保护 5.检查重要文件是否存在suid和sgid权限 检测类型:检查拥有suid和sgid权限的文件 风险等级:中危 风险描述:以下文件存在sid特权,chmod u-s或g-s去除sid位:"/usr/bin/chage、/usr/bin/gpasswd、/usr/bin/wall、/usr/bin/chfn、/usr/bin/chsh、/usr/bin/newgrp、/usr/bin/write、/usr/sbin/usernetctl、/bin/mount、/bin/umount、/sbin/netreport" 解决方案:1、使用chmod u-s/g-s 【文件名】命令修改文件的权限 6.检查是否允许空密码sudo提权 检测类型:检查是否允许空密码sudo提权 风险等级:中危 风险描述:以下sudo文件存在NOPASSWD标记:【/etc/sudoers.d/90-cloud-init-users】 解决方案:1、打开/etc/sudoers或是/etc/sudoers.d下的文件 2、删除或注释【NOPASSWD】标记所在行 3、或者使用一键修复处理安全风险 7.检测类型:检查SSH密码修改最小间隔 风险等级:中危 风险描述:【/etc/login.defs】文件中把PASS_MIN_DAYS大于等于7 解决方案:1、【/etc/login.defs】 PASS_MIN_DAYS 应设置为大于等于7 2、PASS_MIN_DAYS 7 需同时执行命令设置root 密码失效时间 命令如下: chage --mindays 7 root 8.检测类型:TCP-SYNcookie保护检测 风险等级:低危 风险描述:未开启TCP-SYNcookie保护 解决方案:1、在【/etc/sysctl.conf】文件中添加net.ipv4.tcp_syncookies=1 2、然后执行命令sysctl -p生效配置
-
渗透口诀 本文提供了一系列渗透测试的口诀,指导如何进行网络安全渗透测试,包括使用各种工具和方法来寻找和利用漏洞。 渗透口诀的文字提取如下: 进谷歌找注入 没注入就旁注 没旁注用O day 没O day 猜目录 没目录就嗅探 爆账户找后台 传小马放大马 拿权限挂页面 放暗链 清数据 渗透企业实战版 搞企业 先扫描 扫描器商业好 默密码都知道 社工库找一找 邮箱号先列好 九头蛇跑一跑 搞不定放大招 找插件挖一挖 发邮件凭伪造 没邮箱搞网站 二级域皆可爆 老漏洞 没修好 新漏洞刷一票 干研发Git找 源代码全都要 CDN可以跳 防火墙可以撬 堡垒机可以秒 云防护可以秒 是企业没有哪家搞不了 这个口诀概括了渗透测试的常见步骤和技巧,从信息搜集到漏洞利用,再到最终的权限提升和持久化攻击。 图片中的口诀是关于渗透测试的步骤和技巧,具体解释如下: "进谷歌找注入":使用搜索引擎(如Google)搜索可能存在SQL注入漏洞的网站。 "没注入就旁注":如果没有找到SQL注入漏洞,尝试使用旁注攻击,即利用同一服务器上的其他网站进行攻击。 "没旁注用O day":如果没有旁注攻击的机会,尝试使用Oday漏洞,即已知但尚未修补的漏洞。 "没O day 猜目录":如果没有Oday漏洞,尝试猜测网站的目录结构,寻找敏感文件或信息。 "没目录就嗅探":如果目录猜测不成功,使用嗅探工具来捕获网络流量,寻找有用的信息。 "爆账户找后台":通过嗅探或猜测等手段获取用户账户信息,然后尝试登录后台。 "传小马放大马":上传小型后门程序(小马),然后利用它来上传更大的后门程序(大马),以获得更多控制权。 "拿权限挂页面":获取网站权限后,可能会挂上自己的页面,如黑页。 "放暗链 清数据":可能会植入暗链,或者清除网站的重要数据。 "渗透企业实战版":这是对企业网站进行渗透测试的实战方法。 "搞企业 先扫描":对企业网站进行初步的扫描,以发现潜在的安全漏洞。 "扫描器商业好":使用商业级的扫描工具进行更详细的漏洞扫描。 "默密码都知道":很多系统使用默认密码,这些默认密码是众所周知的。 "社工库找一找":在社会工程学数据库(社工库)中查找可能泄露的账户信息。 "邮箱号先列好":列出可能用于钓鱼攻击的邮箱地址。 "九头蛇跑一跑":使用Hydra等工具尝试破解登录账户。 "搞不定放大招":如果常规方法不行,尝试更高级的攻击手段。 "找插件挖一挖":寻找网站使用的第三方插件中的漏洞。 "发邮件凭伪造":通过伪造邮件来欺骗用户,获取敏感信息。 "没邮箱搞网站":如果没有邮箱信息,直接攻击网站。 "二级域皆可爆":攻击网站的二级域名,这些域名可能没有足够的安全措施。 "老漏洞 没修好":利用尚未修复的老旧漏洞。 "新漏洞刷一票":利用新发现的漏洞进行攻击。 "干研发Git找":尝试获取研发团队的Git代码仓库,以寻找敏感信息。 "源代码全都要":获取源代码,以便深入分析漏洞。 "CDN可以跳":绕过内容分发网络(CDN)的防护。 "防火墙可以撬":尝试绕过防火墙的防护。 "堡垒机可以秒":快速攻破堡垒机(一种安全设备)。 "云防护可以秒":快速攻破云安全防护措施。 "是企业没有哪家搞不了":表示没有企业是渗透测试无法攻破的。 这个口诀强调了渗透测试者应具备的多种技能和策略,包括信息搜集、漏洞利用、社会工程学、密码破解等。 需要注意的是,这些技巧仅用于合法的渗透测试和安全评估,未经授权对系统进行渗透测试是违法的。 是的,除了上述提到的渗透测试技巧,还有一些其他的技能和策略: "渗透测试白皮书":阅读和理解渗透测试相关的白皮书,以获取最新的技术和方法。 "CMS大法好":针对内容管理系统(CMS)的特定漏洞进行攻击。 "挖0day得永生":挖掘未公开的漏洞(0day),这些漏洞往往具有很高的价值。 "代码审计别忘记":对代码进行审计,以发现潜在的安全漏洞。 "内网渗透步步惊心":在内网中进行渗透测试,这需要更深入的技术和策略。 "社工工程学攻击":利用社会工程学技巧获取敏感信息或诱骗用户进行不当操作。 "日志分析找出马脚":通过分析系统日志,寻找攻击的蛛丝马迹。 "Linux和Windows系统都要熟":熟悉Linux和Windows操作系统,因为它们是网络服务的主要平台。 "无线网络攻击要精通":对无线网络进行攻击,需要了解无线网络的工作原理和漏洞。 这些技能和策略都是网络安全渗透测试的一部分,需要不断地学习和实践。 同时,重要的是要遵守法律和道德规范,在进行渗透测试之前,必须得到目标客户的授权。
-
CC攻击和DD攻击的攻击方式也有所区别 CC攻击,即Challenge Collapsar攻击,是一种针对Web服务器的攻击,它通过发送大量的HTTP请求来耗尽服务器的资源,导致正常用户无法访问。这种攻击通常模拟正常用户的浏览行为,目的是让服务器忙于处理这些请求而无法响应其他用户的请求。 DD攻击,即Distributed Denial of Service攻击,是一种更复杂的攻击方式,它利用分布在不同地点的多台计算机同时对目标发起攻击,以此来放大攻击的效果。DD攻击可以模拟正常用户的请求,也可以发送大量无效或恶意的数据包,目的是使目标服务器或网络资源不可用。 CC攻击和DD攻击的攻击方式也有所区别: CC攻击的攻击方式: 模拟正常用户访问:CC攻击通常模拟正常用户的浏览行为,通过伪造HTTP请求, 向服务器发送大量的请求,这些请求看起来像是合法的页面访问。 消耗服务器资源:攻击者利用这些请求占用服务器的处理能力,导致服务器响应缓慢或拒绝服务。 针对性强:CC攻击通常针对特定的页面或服务,攻击者可能知道服务器的弱点,针对性地发送请求。 DD攻击的攻击方式: 分布式攻击:DD攻击通过控制分布在不同地理位置的多台计算机(僵尸网络),同时向目标发起攻击。 发送大量流量:攻击者利用这些计算机发送大量的流量到目标服务器,这些流量可能包括合法的请求、 伪造的请求或恶意的数据包。 难以防御:由于攻击流量来自多个源头,这使得防御者难以通过简单的流量过滤或限制来阻止攻击。 简而言之,CC攻击更多依赖于模拟正常用户行为来消耗服务器资源, 而DD攻击则通过分布式网络发送大量流量来达到攻击目的,后者更难以防御。 cc防护: cc攻击是针对网站的,DD攻击是针对ip的,处理方式不一样 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 统计连接的IP netstat -antp |wc -l 查看下连接数 通过以上两个命令,可以判断出哪个是攻击IP,哪个是自己的IP被攻击了 方案: 1.用centos命令,查看连接数,然后把连接数很多的ip,给加入黑名单(我们这边的客户管理平台有黑名单功能, 客户可以自助加入) 2.客户管理平台,看攻击日志,把攻击多的ip,加到黑名单(我们这边的客户管理平台有黑名单功能,客户可以自助加入) 3.在宝塔防火墙上设置防护(cc访问数量太多的话也不一定能防的住) 4.硬扛,cc访问攻击是对网站进行多数量的访问,导致服务器带宽和cpu跑高,网站很重要的话,酌情增值带宽和cpu 5.长时间的被频繁cc的话,建议找到被cc攻击的网站,套cdn cc是对网站的攻击,服务器能做的有限,只能通过软件防护之类的来弄,如果试过123方案后cc数量依旧很多的话, 可以考虑4和5方案
-
怎样防止自己源IP暴露到互联网上--保护源站IP:避免CDN源IP暴露的策略 在数字化时代,网络安全日益重要。对于服务器管理员来说,防止源站IP暴露是保障服务器安全的关键一环。本文将探讨如何通过配置错误证书、使用CDN服务、关闭邮件服务以及其他安全措施来保护源站IP,确保服务器的安全运行。 在服务器管理中,源站IP的暴露可能导致严重的安全问题,如DDoS攻击、CC攻击等。即使使用了CDN服务,源站IP仍有可能被攻击者发现。为了有效避免这种情况,可以采取以下措施: 1.更换IP并使用大厂CDN服务: 在更换IP地址时,选择信誉良好的服务商,确保新IP地址的安全性。 选择大厂CDN服务,如Cloudflare或国内的阿里云CDN、腾讯云CDN等,这些服务提供商通常拥有更完善的安全防护措施。 在CDN服务中设置正确的缓存策略,确保敏感数据不会缓存在CDN节点上,减少数据泄露的风险。 定期监控CDN的日志文件,以便及时发现和应对潜在的安全威胁。 2. 配置错误证书: 在服务器上安装一个自签名的SSL证书,这样即使有人尝试通过IP直接访问服务器,浏览器也会因为证书无效而阻止访问。 在Web服务器软件(如Apache、Nginx)的配置文件中,将所有HTTP和HTTPS请求重定向到HTTPS,并确保HTTPS连接返回自签名证书。 在宝塔面板中,创建一个新的站点,并给该站点添加一个自签名的SSL证书。将此站点设置为默认站点,这样所有的请求都会默认通过这个站点处理。 确保服务器配置中的SSL设置正确,例如设置 listen 80 default_server; 和 listen 443 ssl http2 default_server; ,这样当请求到达80或443端口时,服务器会返回配置的证书。 通过这些步骤,即使有人尝试通过IP访问服务器,他们也会因为证书无效而无法建立安全的连接。这有助于保护源站IP不被轻易发现。 3. 修改服务器配置: 在Web服务器的配置文件中,设置默认的HTTP和HTTPS响应状态码为444,这是一个自定义状态码,表示服务器拒绝响应。这样,即使有人尝试通过IP访问服务器,也不会得到正常的页面内容。 确保服务器配置文件中的 listen 指令正确配置,将80和443端口的默认服务器设置为之前创建的站点,这样所有的HTTP和HTTPS请求都会被正确地重定向到该站点。 对于HTTPS请求,除了设置自定义状态码外,还应该确保服务器配置中禁用了HTTP到HTTPS的自动重定向,防止通过HTTP访问时泄露信息。 定期检查服务器配置文件,确保没有未经授权的更改,保持服务器的安全性。 通过这些配置,可以有效地防止通过IP直接访问服务器,从而保护源站IP不被暴露。 4. 关闭邮件服务: 检查服务器上运行的邮件服务,如Sendmail、Postfix或Exim等,确保它们没有配置为监听公网IP地址。如果邮件服务不需要从互联网接收邮件,可以将其配置为仅监听内网IP地址。 如果必须从互联网接收邮件,可以考虑使用第三方邮件服务提供商,并确保所有的邮件转发都是通过安全的通道进行,避免邮件头信息泄露服务器真实IP地址。 对于SMTP服务,可以设置仅允许来自特定IP地址的连接,或者使用防火墙规则限制对邮件服务的访问,只允许来自已知的、可信的IP地址的连接。 定期检查邮件服务的日志文件,监控任何异常的连接尝试,确保邮件服务不被用作攻击源。 通过关闭或正确配置邮件服务,可以减少源站IP暴露的风险。 5. 实施基础安全操作: 限制密码重复使用次数:在服务器管理中,确保密码策略要求用户创建强密码,并限制密码的重复使用,防止密码被猜测或暴力破解。 设置无操作超时退出:配置服务器和用户会话超时设置,如果用户在一定时间内无操作,则自动退出登录,减少被攻击的风险。 关闭PHP错误提示:在PHP配置中关闭错误报告,确保即使发生错误,也不会向用户显示详细的错误信息,避免泄露服务器配置和敏感数据。 检查MySQL端口安全:确保MySQL数据库只监听内网IP,或者使用防火墙规则限制对MySQL端口的访问,只允许来自特定IP的连接。 检查重要文件权限:定期检查服务器上关键文件的权限设置,确保没有不当的suid和sgid权限设置,这些权限可能会允许普通用户执行特权操作。 定期更新和打补丁:保持操作系统、Web服务器软件、数据库和其他关键软件的最新状态,及时应用安全补丁,以防止已知漏洞被利用。 使用防火墙和入侵检测系统:部署防火墙规则来限制不必要的端口和服务,使用入侵检测系统(IDS)和入侵防御系统(IPS)来监控和防御潜在的恶意活动。 数据备份和恢复计划:定期备份服务器上的重要数据,并确保可以快速恢复,以防数据丢失或被加密勒索。 员工安全意识培训:对服务器管理人员进行安全意识培训,确保他们了解最新的安全威胁和最佳实践。 通过实施这些基础安全操作,可以大大增强新服务器的安全性,降低被攻击的风险。这些措施有助于创建一个更加安全的网络环境,保护服务器免受各种威胁 第5点可以看一下,我之前发过的新服务器可能遇到的安全风险文字
