- 博客(11)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 谁丢了TCP 2000数据包?用科来回溯软件分析SCCP 应用安全网关(ALG)故障。
问题描述某金融机构防火墙安全运维人员根据开发人员需求开通了一个目标端口是tcp 2000的网络权限,当天telnet测试成功。但是过几天开发人员反馈,地市机构他页面无法打开,但是可以telnet通。并将结果截图反馈回来,为分析清楚问题,求助于网络抓包人员进行分析。图1 异常现象分析过程抓包人员根据开发人员描述,将访问过程用拓扑图描述如图2所示:图2 访问网络拓扑客户端可以telne...
2019-08-11 00:09:09
797
原创 博客摘录「 云计算参考架构和云计算安全问题汇总」2023年10月1日
描述云计算参考架构 Describe Cloud Reference Architecture云计算活动 Cloud Computing Activities云服务客户 Cloud Service Customer云服务用户(Cloud service user)使用云服务云服务管理员(Cloud service administrator)测试云服务,监控云服务,管理云服务的安全,提供云服务使用情况报告,以及说明报告中的问题云服务业务经理(Cloud service business manager)监督
2023-10-01 16:49:29
53
原创 一次挖矿病毒处理过程
事件背景 深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒,病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信...
2019-12-13 17:19:52
9609
原创 CVE-2019-14287 linux sudo root 权限绕过漏洞复现
CVE-2019-14287 linux sudo root 权限绕过漏洞复现1、准备工具,kali linux,或者任何版本的linux,查看sudo版本root@kali:~# sudo -VSudo version 1.8.21p2明显该版本低于1.8.28。可以进行漏洞利用。2、创建test用户,并分配密码root@kali:/etc# useradd test...
2019-10-16 19:34:13
1227
原创 一次手动查杀永恒之蓝病毒木马文件
在日常运维中,有一天发现我们深度威胁设备报出“MS17-010 - Remote Code Execution - SMB (Request)”日志,很显然,这个电脑是被植入永恒之蓝病毒了,不断往外面发目标端口是445的包。现在表演手动查杀病毒木马文件。1、在CMD窗口下,输入如下命令:netatst –ano | findstr “445”,找出相关进程号,其中SYN_SENT状态,很显然...
2019-09-20 22:19:41
5132
3
原创 渗透的一般过程(转载)
1、拿到一个网站,先做什么最重要的:是拿到网站的授权扫描,没有对方的授权,千万不能扫描。1】获取域名的whois信息,获取注册者姓名电话,丢社工库里面看看有没有泄露密码,然后尝试用泄露的密码进行登录后台,用邮箱做关键词丢进搜索引擎,利用搜索到的关联信息找出其他邮箱进而得到常用社交账号。社工找出社交账号,里面或许会找到管理员设置密码的习惯。利用已有信息生成字典。2】查询...
2019-08-25 09:13:04
604
原创 手动SQL注入的一般步骤
手动SQL注入的一般步骤1、判断数据库类型2、判断注入点3、判断数据库版本号4、查看当前连接数据库的用户名5、查看当前连接数据库6、查看其它数据库7、判断表名8、判断其它表9、判断列10、判断值11、修改密码。大家一起来学习web安全。...
2019-08-17 22:49:36
2127
1
原创 防火墙DNS功能在配置防火墙策略中的应用
随着云计算、大数据、AI等新兴技术的兴起,多活数据中心之间互相切换,保证业务100%稳定。许多数据中心都做到了多活,多活之间就导致业务地址可以在多个数据中心之间切换,今天是A地址,明天就是B地址,所以对于防火墙策略有严格限制(目标地址不能是any)的要求来说,虽然可以同时写目标地址是A和B,但是对于应用写入地址,无法随时切换,出现切换后,只能手动修改应用地址用以保证业务。 下面用...
2019-08-16 22:10:32
6269
1
原创 优雅的搬砖--SecureCRT的自动记录日志功能
SecureCRT的自动记录日志功能SecureCRT可以说是IT从业人员的必备神器,很多时候都要保存配置和日志记录的需求。监管有日志审计的要求,同时为保护好自己,记录IT从业人员操作记录,出现事情后有依据可查。下面提供一个CRT常用功能,一次配置,终身受用,保护好自己。功能:自动记录你的会话,包括你登录的一个设备,从登录,完全是COPY你的所有操作,包括show的东西都会记录。开启步...
2019-08-16 14:47:03
329
原创 负载均衡会话时间导致故障案例
案例分析 本案例介绍了某电商交易系统内部突发故障,网络运维人员利用科来回溯分析系统抓取链路上数据包,完整还原业务交互过程,明确故障原因,解决开发人员和运维人员的困恼。背景描述:电商交易系统时刻有业务,某一天发生了交易异常,运行人员协调客户端、服务器开发人员和网络人员进行故障排查,整个拓扑图如下,客户端将交易请求发给负载均衡,负载均衡转发给后台服务器:客户端开发人...
2019-08-11 00:16:35
894
原创 第一个包不是SYN包?用科来数据包分析软件排除一次故障。
#第一个包不是SYN包?用科来数据包分析软件排除一次故障。某金融机构防火墙安全运维人员巡检发现,在互联网区域防火墙不断报送First packet isn’t SYN的日志(见图1),几乎时时刻刻有,影响了防火墙日志存储,但是无业务影响,运维人员觉得比较奇怪,为分析清楚问题,求助于网络抓包人员进行分析。网络抓包人员利用科来数据包分析软件进行分析。图1 异常现象分析过程根据日志字面意思,第...
2019-08-10 22:10:08
840
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人