存档

文章标签 ‘linux intrusion detection’

又一次惊心动魄的Linux入侵检测经历

2011年2月27日 14 条评论

06年写了一个《一次惊心动魄的linux肉鸡入侵检测经历》 http://netsecurity.51cto.com/art/200707/51611.htm,今天再来一篇《又一次惊心动魄的Linux入侵检测经历》,一些具体细节涉及朋友公司敏感信息,加上时间仓促,写的比较随意,大家凑合着当小说看看即可。

阅读全文…

linux下使用inotify实时监控文件变更,做完整性检查

2011年1月25日 2 条评论

完整性检查是HIDS的重要组成部分之一,linux下做完整性检查的思路有3个

1、哈希对比

2、签名校验

3、inotify

方法有2个:

A、定期检测,例如通过cron或程序内置计时器

B、实时检测,inotify

1、2一般和A,3一般和B。用inotify做完整性检查的程序现在貌似还没现成比较好用的,谁推荐一个。

内核2.6.13以上,RHEL5默认支持inotify,RHEL4不确认这个功能是否有backport,查看英文原文:Inotify: Efficient, Real-Time Linux File System Event Monitoring

阅读全文…

linux下优秀的主机入侵检测系统Audit

2011年1月24日 4 条评论

RHEL默认安装,网站在 http://people.redhat.com/sgrubb/audit/ 新版本功能强很多,但可惜要2.6.30内核,RHEL6能用。

如果你看过xx program is trying to write /dev/mem这种日志就能明白audit的好处了。

device eth0 entered promiscuous mode
device eth0 left promiscuous mode

这个该看过了吧

linux非交互环境下本地提权思路与反思 linux localroot exploit

2011年1月13日 5 条评论

在iptables限制非常严格的时候,无法走icmp udp tcp的bind shell或connect back shell,又需要本地提权,root了之后关闭iptables,看看能否绕过访问控制手段(当然了,如果别人是硬件的防火墙,下文解决不了问题)。在这一场景下,可以考虑参考下文的非交互式本地提权的方法,或许还有其他linux localroot exploit也能实现,实战出真知。

另外有些时候不一定非得root的,nobody,非交互也能做非常多的事。

作为防御一方,面对这种场景,我们是否得反思

1、防御手段要与被防御系统分离,即使成功root了,依然难以快速渗透

2、我们对localroot是否有足够的事前的免疫能力,事中的发现能力及事后的定损取证能力?

阅读全文…

检测sk13b suckit linux rootkit

2010年12月22日 评论已被关闭

看了下面几行,再看看chkrootkit和rkhunter的检测代码,就知道为啥默认安装的suckit sk这么好检测了。检测sk1.x其实还有其他的方法,可以检测隐藏进程,还可以利用sk13b的一些bug来做检测 :) sk13b里还有个好东西,那就是让人怀念的elfuck,经典的ELF加密程序。

顺便发个sk13b的下载地址。04年的东西现在还能用,真没想到,一个内核rootkit写成这样,让那些经常更新还不稳定的软件情何以堪啊。

http://www.xfocus.net/tools/200408/763.html

阅读全文…

linux ssh隧道后门及检测

2010年12月1日 4 条评论

刚才和两位英雄在群里讨论了下,我总结一下转过来,和大家分享。

阅读全文…

linux入侵检测经验一则

2010年2月9日 1 条评论

今天在折腾64位linux localroot本地提权exp的时候,发现成功提权之后(具体哪个exp有兴趣的同学自己去验证),dmesg信息里会出现PPP generic driver version 2.4.2这条信息。如果你知道这个信息本应该在啥时候出现的话,就可以判断在一个生产系统里出现这个信息绝大多数是异常的。另外在提权失败的时候,还会有一些其他印迹。

HIDS的设计需要足够灵活以加入这个逻辑。

搞嘿嘿同学们也注意了,擦脚印得擦的干净些,清理dmesg的命令是dmesg -c,得到root之后才有权限  :)