来自 资讯 2021-10-13 09:00 的文章

cc攻击防御_香港高防服务器价格_方法

cc攻击防御_香港高防服务器价格_方法

Tenable最近发布了两个新的YARA插件来补充已经存在的Windows YARA插件。新的插件是YARA内存扫描(Linux)和YARA文件扫描(Linux)(Solaris)。这些插件为Linux和Solaris主机带来了YARA功能。本博客讨论了这些插件有用的几个场景。内存扫描最近Struts2远程代码执行漏洞CVE-2017-5638引起了很多议论。大部分的兴奋是由于对野生动物脆弱性的积极开发。作为回应,我们发布了一个博客,解释了如何使用Nessus来检测漏洞。有许多方法可以用来确定上面所示的易受攻击服务器是否已被利用。一些现有的Nessus插件可以提供帮助。例如,Linux MD5扫描仪(插件71261和91223)和Linux进程信誉插件(71261)。另一种方法是使用YARA扫描系统中的恶意文件或进程。例如,如果攻击者使用Metasploit的CVE-2017-5638的新模块在服务器上执行一个有效负载呢?msf exploit(struts2 \u content_type_ognl)>运行[*]已在52.93.5.12:4444启动反向TCP处理程序[*]发送阶段(2849752字节)到128.183.27.101[*]流量计第5次会议于2017-03-24 07:40:53-0400开放(52.93.5.12:4444->128.183.27.101:45862)流量计>外壳进程10727已创建。频道1已创建。哇哦白化病文件扫描在这里不够好,因为有效负载在获得执行后不久就从磁盘上删除了。你需要扫描系统正在运行的进程。但是首先你需要一个YARA规则来描述内存中的有效负载。YaraRules项目有很多很好的规则,但是我找不到一个能够描述Metasploit最初阶段或勇气(Unix metermeter)的规则。所以,安全狗防御cc设置,我编写了自己的规则,并将其添加到Tenable的开源YARA规则库中。该规则观察到stager由一个加载段组成,其中read、write和execute标志都已设置:导入"精灵"规则单次加载{元:description="用标记为RWE的单个加载段标记二进制文件。family="Stager"filetype="ELF"hash="711a06265c71a71157ef1732c56e02a992e56e9d9383ca0f6d98cd96a30e37299"条件:elf.number_段==1和elf.段[0]。类型==elf.PT U负载和elf.段[0]。标志==小精灵| 小精灵| 小精灵}然后可以使用以下命令扫描所有正在运行的进程(注意:yara3.5及以下版本中存在一个对Linux内存扫描产生负面影响的bug。不使用内存扫描版本):阿尔比诺罗布斯特@ubuntu:~$for pid in`ps-ef|awk'{print$2}'`;do sudo yara./rule_文件.yar$pid 2>/dev/null;完成单负荷-10716单负荷-10718阿尔比诺罗布斯特@ubuntu:~$从输出中,可以看到规则匹配了两个进程:10716和10718。这些过程可以在ps中找到:10601点/18号Sl+14:25 | | \ \ uu/usr/lib/jvm/java-8-openjdk-…10716磅/18秒+0:20 | | \ | \/tmp/konl68218040464402511623.exe29565分/18秒+0:0029566分/18秒+0:0010718分/18秒+0:00 | | \ \ uu/tmp/konL6369286348563749691.exe虽然这很好,但在每台服务器上手动运行YARA并不是一个可伸缩的解决方案。通过Nessus使用YARA可以使整体扫描更加容易。配置Nessus进行扫描自之前的YARA博客(使用YARA和Nessus进行威胁搜索和使用Security Center进行GRIZZLY step Detection)之后并没有真正改变。唯一的区别是,如果不使用代理,新插件需要SSH凭据,而内存扫描插件需要升级的权限。在下面的主机上运行的是相同的输出:文件扫描2016年9月,Mirai僵尸网络因在KrebsOnSecurity上执行有史以来最大规模的分布式拒绝服务(DDoS)而声名狼藉。Mirai后来被用于对Dyn的DDoS攻击,CDN部署防御DDOS,该攻击导致了互联网上的大规模中断。Mirai的有趣之处在于它的技术并不复杂。在攻击发生时,防御ddos攻击的方法,它通过使用默认SSH或Telnet凭据登录物联网设备和路由器来传播。然而,从来没有人想出一个解决方案来登录受影响的设备,并扫描他们的Mirai。这主要是由于物联网和路由器生态系统的多样性。给定的设备可以运行Linux的变体,也可以运行专有操作系统。架构可以是MIPS、PowerPC、ARM或其他完全不同的东西。CPU可以是大端的也可以是小端的。例如,搭建高防cdn,我的局域网上有一个泛素SOHO路由器。该路由器有一个MIPS(big-endian)处理器,运行"Linux-AirRouter"作为操作系统,并通过BusyBox提供大部分shell功能。要想让雅拉上这个设备可不容易。没有包存储库。没有蟒蛇。没有编译器。您需要在别处编译YARA的MIPS版本并将其复制到box上。不过,华为DDOS防御做的最好,我们在这些插件中为您做了所有这些工作。使用Nessus,我可以在我的Ubiquiti路由器上运行YARA,只需将它添加到目标列表中。使用Florian Roth的(@cyb3rops)规则,我可以找到设备文件系统上的恶意软件:结论Linux,尤其是物联网设备,在传统上并不是一个容易找到恶意软件的地方。有了这些新的插件,Tenable希望能让你更深入地了解你的主机,并能在恶意软件可能藏匿的任何地方进行搜索。