Ψ小川Ψ dě Blog

分类:教程转载

Linux服务器流量带宽监控与统计命令

一、第一步:查看带宽总体使用情况

基本命令安装及用法:

nloadyum install nload或者sudo apt-get install nload,用法:nload或者nload -u M

bmonsudo yum install bmon 或者sudo apt-get install bmon,用法:bmon

bwm-ngsudo apt-get install bwm-ng或者sudo yum install bwm-ng,用法:bwm-ng

cbmsudo apt-get install cbm或者sudo yum install cbm,用法:cbm

speedometerapt-get install speedometer 或者sudo yum install speedometer,用法:speedometer

netloadsudo apt-get install netload或者sudo yum install netload,用法:netload

Powershell恶意代码的N种姿势

0x00 引言

人在做,天在看。

技术从来都是中性的,被用来行善还是作恶完全取决于运用它的人。原子能可以用来发电为大众提供清洁能源,也可以用来制造能毁灭全人类的核武器,这不是一个完善的世界,于是我们既有核电站也有了核武器。

Powershell,曾经Windows系统管理员的称手工具,在恶意代码制造和传播者手里也被玩得花样百出。由于Powershell的可执行框架部分是系统的组件不可能被查杀,而驱动它的脚本是非PE的而非常难以通过静态方法判定恶意性,同时脚本可以非常小巧而在系统底层的支持下功能却可以非常强大,这使利用Powershell的恶意代码绕过常规的病毒防护对系统为所欲为。因此,360天眼实验室近期看到此类恶意代码泛滥成灾就毫不奇怪,事实上,我们甚至看到所跟踪的APT团伙也开始转向Powershell。

本文我们向大家展示一些看到的实际恶意代码的例子。

Powershell各种反弹姿势以及取证(二)

0x00 简介

这篇主要是取证的,如果我以后技术好了,也会写写powershell在内网渗透中的实战应用,本文所有的内容基本翻译自fireEyE的<<Investigating Powershell Attack>>,我英文不好,有好多地方都看不懂他文章里写的,我磕磕碰碰的看完了这篇文章。有不对的地方,还请小伙伴们补充。

我们都知道,从windows 7 sp1和windows server 2008 R2开始,就已经默认安装了powershell(2.0版本),到了windows Server 2012 R2 和 Window 8.1就是powershell 4.0了。现在用powershell编写的攻击框架也很成熟了,像上文书说的各种协议反弹的SHELL(nishang);通过dll loading技术不写硬盘的,能远程dump登录账号明文的Mimikatz(PowerSploit);以及在ShmooCon 2013安全会议上Chris Campbell演示的Powershell Botnet;还有各种搞windows域内网环境的powerview等;SET/METASPLOIT也开始支持powershell版的payloads。我们作为攻击者,也要熟悉现在针对powershell的取证技术,预防自己“艰难进来,轻松被T,却没带走一片云彩”。

Powershell各种反弹姿势以及取证(一)

0x00 前言

当我看了DM_牛发的http://zone.wooyun.org/content/20429,我的心情久久不能平静,这本应属于我的精华+WB,被他先发了,这娃真是可恶,可恨 :-),后来DM_牛又发了我一些资料让我学习,我就写了此文,刚入门,肯定有错误的地方,希望小伙伴们讨论,指出。

这次Labofapenetrationtester是以”week of powershell shell”的形式放出来的,就是每天一篇,一共五篇,分别是

  1. Day 1 Interactive PowerShell shells over TCP
  2. Day 2 Interactive PowerShell shells over UDP
  3. Day 3 Interactive PowerShell shells over HTTP/HTTPS
  4. Day 4 Interactive PowerShell shells with WMI
  5. Day 5 Interactive PowerShell shells over ICMP and DNS

Web后门隐藏与维持

前言

在一个成功的测试后,通常会想让特权保持的更久些.留后门的工作就显得至关重要,通常布设的后门包括但不限于数据库权限,WEB权限,系统用户权限等等.此文则对大众后门隐藏的一些思路做科普.

以PHP-WEBBACKDOOR为例,抛砖引玉

PHP-FPM 的参数优化

PHP-FPM 是 LNMP 最常见的一种运行方式了,不过会经常 502 ,那么怎么样才能避免 502 或者说减少 502 的发生呢?如果你的 VPS 是高配置的,怎么样才能充分用上高配的好处呢?好吧,米饭今天来教你!

本文今天参考了很多的 PHP-FPM 教程,也算是米饭比较珍贵的学习笔记吧,珍藏版,欢迎共享!本篇只介绍 PHP-FPM 的运行方式,mod_php 啥的是不通用的,要知道 mod_php 是最优秀的 PHP 运行方式啦,处理动态最牛逼拉,不会 502 。

正确设置网站文件所有者 提高网站安全性

根据生产环境不断反馈,发现不断有 php网站被挂木马,绝大部分原因是因为权限设置不合理造成。因为服务器软件,或是 php 程序中存在漏洞都是难免的,在这种情况下,如果能正确设置 Linux 网站目录权限, php 进程权限,那么网站的安全性实际上是可以得到保障的。

那么,造成网站被挂木马的原因是什么?

APACHE safe_mode等安全 配置

1、编译的时候注意补上已知的漏洞

从4.0.5开始,php的mail函数加入了第五个参数,但它没有好好过滤,使得php应用程序能突破safe_mode的限制而去执行命令。所以使用4.0.5和4.0.6的时候在编译前我们需要修改php源码包里ext/standard/mail.c文件,禁止mail函数的第五参数或过滤shell字符。在mail.c文件的第152行,也就是下面这行: