禁止监听在公网
描述
ES服务监听在0.0.0.0,可能导致服务对外或内网横向移动渗透风险,极易被黑客利用入侵。
加固
修改ES服务配置文件elasticsearch.yml的network.host配置: network.host: 127.0.0.1或者内网IP,然后重启服务。
ElasticSearch安全基线
发表评论
Zookeeper安全基线
Redis安全基线汇总
检查项
禁止使用root用户启动 | 访问控制
禁止监听在公网 | 访问控制
打开保护模式 | 访问控制
限制redis 配置文件访问权限 | 文件权限
修改默认6379端口 | 服务配置
禁用或者重命名危险命令 | 入侵防范
开启redis密码认证,并设置高复杂度密码 | 身份鉴别
版本存在安全漏洞 | 入侵防范
Redis未授权访问 | 身份鉴别
wazuh采集sysmon日志
agent.conf
在服务器agent.conf文件中添加以下内容
<agent_config>
<localfile>
<location>Microsoft-Windows-Sysmon/Operational</location>
<log_format>eventchannel</log_format>
</localfile>
</agent_config>
docker安装的wazuh,agent配置文件在 `wazuh.manager` 容器中。
ossec.conf
将logall_json修改为yes,如下:
<logall_json>yes</logall_json>
docker安装的wazuh,agent配置文件在 `wazuh.manager` 容器中。
修改上述两项后重启wazuh-manager服务
filebeat.yml
修改filebeat配置文件,修改内容如下:
... filebeat.modules: - module: wazuh alerts: enabled: true archives: enabled: true ...
重启filebeat
service filebeat restart
测试filebeat输出
filebeat test output
添加Index Patterns
在WUI中,Management -> Stack Management -> Index Patterns
添加wazuh-archives-*的Patterns
添加完后,可以在Discover中看到客户端的sysmon日志。
添加IP黑名单
开始接收sysmon日志后,日志存储量会无限增大,需要对发送过来的源地址进行限制。
如果使用docker安装,需要在docker-compose.yml中,添加privileged,不添加的话无法在容器中启动iptables,如下:
services:
wazuh.manager:
image: wazuh/wazuh-manager:4.8.0
hostname: wazuh.manager
restart: always
privileged: true #添加
ports:
- "1514:1514"
- "1515:1515"
- "514:514/udp"
- "55000:55000"
构建好docker容器后,在`wazuh.manager`容器中安装iptables,并添加目的端口为1514的黑名单即可,如下:
# apt update # apt install iptables # iptables -I INPUT -s x.x.x.x -p tcp --dport 1514 -j DROP # iptables-save
nmap探测存活主机
nmap是所有安全爱好者应该熟练掌握的扫描工具,本篇介绍其在扫描大网络空间时的用法。
为什么要扫描大网络空间呢? 有这样的情形:
- 内网渗透 攻击者单点突破,进入内网后,需进一步扩大成果,可以先扫描整个私有网络空间,发现哪些主机是有利用价值的,例如10.1.1.1/8, 172.16.1.1/12, 192.168.1.1/16
- 全网扫描
扫描一个巨大的网络空间,我们最关心的是效率问题,即时间成本。 在足够迅速的前提下,宁可牺牲掉一些准确性。
扫描的基本思路是高并发地ping:
nmap -v -sn -PE -n --min-hostgroup 1024 --min-parallelism 1024 -oX nmap_output.xml www.lijiejie.com/16
谷歌商店下载APK
| 网站 | 直连 | 说明 |
|---|---|---|
| https://android-apk.app/ | 否 | 可搜索,可下载历史版本 |
| https://apkpure.com/cn/ | 否 | 可搜索,可下载历史版本 |
| https://apkcombo.com/apk-downloader/ | 否 | 可搜索,可下载历史版本 |
| https://androidappsapk.co/ | 否 | 可搜索,可下载历史版本 |
| https://apk.support/apk-downloader | 否 | 需要自己输入应用地址,解析的是Google下载地址 |
| https://apps.evozi.com/apk-downloader/ | 否 | 需要自己输入应用地址 |
| https://apkhome.net/ | 是 | 可搜索,但版本不一,有的APK文件十分可疑 |
| https://www.apkmirror.com/ | 否 | 可搜索,可下载历史版本 |
| https://androidapksfree.com | 否 | 可搜索,可下载历史版本 |
| https://www.apkhere.com/ | 否 | 不是很全,有很多破解的APP |
| https://www.apk4fun.com/ | 否 | |
| https://www.aptoide.com/ | 否 | |
| https://www.apkmonk.com/ | 否 | |
| https://cn.uptodown.com/android | 否 | |
| https://www.9apps.com/ | 否 | |
| https://download.cnet.com/android/ | 否 | |
| https://apkmos.com/ | 是 | 不全 |
hash批量查询VirusTotal
virustotal-search.py 用于批量搜索VirusTotal的hash值
virustotal-submit.py 用于向VirusTotal提交文件
官方博客(virustotal-search v0.1.4) 基于python2
官方博客(virustotal-search v0.1.5) 基于python2
GitHub版本(virustotal-search v0.1.6) 基于python3
如何使用:
获取VirusTotal API KEY(免费API每分钟允许4次请求,每天允许500次查询,每月15.50 K次查询)
获取后,修改脚本中的VIRUSTOTAL_API2_KEY变量,或在运行脚本时,使用 -k 选项指定API KEY
VIRUSTOTAL_API2_KEY = 'xxxx0d4d0784d2b457f40a6xxxx3b678064c1edxxxxxfed17f2e57948afxxxxx'
在sha256.txt中包存需要查询的hash值后执行
python virustotal-search.py sha256.txt -o out.csv
执行后,在当前目录会生成out.csv文件,csv文件默认以;作为分隔符。指定分隔符使用 -s 选项
MikroTik PCC多线叠加+ospf+ovpn
RouterOS V6.47.7
ROS可以进行的负载均衡配置及特点如下:
ECMP(Equal-Cost Multi-path):
ECMP是通过在route列表添加多网关的静态路由,然后由路由协议建立劢态的多线路由。这种负载均衡有个缺点,缺点就是每十分钟内核会重新均衡线路,使一些连接会被指定到其他路线,出现频繁掉线的情况。
NTH:
NTH是采用第N次链接的负载均衡,它不仅可以实现基于IP的负载均衡,同时还能实现对端口负载均衡和对nat指定有序的访问。这样基本实现了不掉线的真正负载均衡。但是NTH存在着一个弊端,就是在某些对IP要求严格的网站会反复要求验证。比如,网银!这样我们需要通过策略将一些IP或者端口指定走固定的线路出去,从而避开网站繁琐的验证。
PCC(Per connection classified):
PCC是通过判断源地址或者目的地址、源端口或者目的端口对数据迚行分类来实现负载均衡,对每个连接迚行分类大多保持了连续性,这样大大弥补了NTH的不足。
iproute2在openwrt中实现策略路由
安装ip-full
opkg install ip-full
新增路由表
id:252(1-252可用),name:wifi2zt
id:251,name:ovpn2ta
id:250,name:bg
echo "252 wifi2zt" >> /etc/iproute2/rt_tables echo "251 ovpn2ta" >> /etc/iproute2/rt_tables echo "250 bg" >> /etc/iproute2/rt_tables
为新建的路由表指定路由
ip route add 0.0.0.0/0 via 10.49.160.1 table wifi2zt ip route add 0.0.0.0/0 via 172.16.21.254 table ovpn2ta ip route add 0.0.0.0/0 via 192.168.170.1 table bg
添加策略路由
ip rule add from 192.168.171.0/24 table wifi2zt #源IP为192.168.171.0/24,添加到wifi2zt表,使用网关:10.49.160.1 ip rule add from 192.168.170.0/24 table ovpn2ta #源IP为192.168.170.0/24,添加到ovpn2ta表,使用网关:172.16.21.254 ip rule add to 192.168.169.0/24 table bg #目的IP为192.168.169.0/24,添加到bg表,使用网关:192.168.170.1
查看路由表及清空路由表
root@LEDE:/etc/iproute2# ip route list table ovpn2ta #查看ovpn2ta表 default via 172.16.21.254 dev tun0 root@LEDE:/etc/iproute2# root@LEDE:/etc/iproute2# ip rule list #查看策略 0: from all lookup local 32740: from all to 192.168.168.0/24 lookup ovpn2ta 32741: from all to 192.168.169.0/24 lookup ovpn2ta 32742: from all to 192.168.170.0/24 lookup bg 32763: from all lookup main 32764: from all lookup default root@LEDE:/etc/iproute2# root@LEDE:/etc/iproute2# ip route flush table bg #清空路由表
pm3写入cuid卡
hf mf rdbl –blk 0 -a -k FFFFFFFFFFFF //读取0快数据,使用密钥a
hf mf wrbl 0 A FFFFFFFFFFFF 4312DBA213C49253E695F844D6247491//写入0快数据(老版本)
hf mf wrbl –blk 0 -k FFFFFFFFFFFF -d 4312DBA213C49253E695F844D6247491//写入0快数据(新版本)