intrusion-detection

我的机器被入侵
intrusion-detection

我的机器被入侵

可能重复: 我的服务器被黑了 紧急求助 突然,ssh 声称我的服务器上的密钥已更改。 由于密钥更改,甚至 freenx 也不再接受我的连接。 无论如何,上面没有什么重要的东西。 但我如何验证它是否已被破坏? 谢谢 ...

Admin

Cisco IPS 如何工作?
intrusion-detection

Cisco IPS 如何工作?

它是如何工作的?它是否通常具有预定义的受信任或恶意活动模式?它实际上是一类防火墙技术吗?我对思科的好奇心比其他产品更大。 ...

Admin

为什么 /etc/krb5.keytab 会改变?
intrusion-detection

为什么 /etc/krb5.keytab 会改变?

在一个随机的星期六,数百个盒子中有六个在几分钟之内报告了 /etc/krb5.keytab 的更改。更改时没有人登录。我已要求提供更改前的文件副本,以便进行比较,但我想知道这是正常行为还是预期行为。 ...

Admin

Wazuh 是否可以为低于规定的最低硬件要求的单个代理工作?
intrusion-detection

Wazuh 是否可以为低于规定的最低硬件要求的单个代理工作?

我很惊讶地发现 Wazuh 服务器要求规定 2gb 和 2 核是最低要求 - 但我想知道这些数字在多大程度上是为了支持多个代理而定制的。 是否有人使用低于规定的最低要求? 具体来说,我希望为单个 Linux 代理运行它。 ...

Admin

检测数据库泄露
intrusion-detection

检测数据库泄露

我对检测数据库漏洞感到疑惑。 目前,我使用 auditd 来检测使用 mysqldump 进行数据库转储。 我想知道我还能做些什么来检测潜在的数据库漏洞。 感谢您的任何想法! ...

Admin

FAIL2BAN 过滤器 - 谁能给我过滤器来阻止这种入侵?
intrusion-detection

FAIL2BAN 过滤器 - 谁能给我过滤器来阻止这种入侵?

我看到我的 mediatemple 服务器邮件日志中存在无休止的入侵。我需要阻止这些 IP。谁可以帮助我过滤文件以匹配这些? Jan 21 07:51:44 mydomain postfix/smtpd[23505]: SSL_accept error from unknown[185.7.214.188]: -1 Jan 21 07:51:44 mydomain postfix/smtpd[23505]: warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_H...

Admin

服务器上存在可疑的 USB 活动
intrusion-detection

服务器上存在可疑的 USB 活动

我在一个系统管理员团队工作。我们管理着几台服务器。它们都运行 Debian(各种版本)。它们位于数据中心的一个带锁的柜子里。 最近,我在我们的服务器上添加了 logcheck,并开始调整模式的排除列表,以便我的收件箱中只有相关事件。 前几天,我从一些服务器收到了这样的日志行: Oct 19 17:22:55 hostname kernel: [22489246.934130] usb 1-3: USB disconnect, device number 2 Oct 19 17:23:10 hostname kernel: [22489261.782146] ...

Admin

需要的功能名称:以太网交换机识别手动电缆断开并关闭端口
intrusion-detection

需要的功能名称:以太网交换机识别手动电缆断开并关闭端口

我们曾经在一家医院的放射科见过这样一个巧妙的安全功能——我只是记不清在各种搜索引擎上都能找到的正确名称: 如果主机的以太网电缆断开,上行链路交换机会识别到这一情况,并宣布相应端口已关闭,无论电缆是否立即重新连接。需要手动交互才能使链路再次工作。 似乎是一种有用的入侵对策,可以防止人们更换主机。这是我错过的标准功能吗? ...

Admin

IIS - 检测暴力登录和密码喷洒
intrusion-detection

IIS - 检测暴力登录和密码喷洒

TLDR; 哪些技术可用于检测 IIS 托管网站(包括 SharePoint、OWA 等)上的暴力登录和/或密码喷洒? ModSecurity 针对其他操作系统,有许多工具可以解决这个问题,其中最主要的是ModSecurity。虽然它已被移植以支持 IIS,但它与 IIS 的集成度不如与其他平台的集成度。此外,如果听说有任何 SharePoint 或 OWA 实现使用 IIS ModSecurity,我会感到惊讶。如果您在那里,我鼓励您在此处发布您的设置。 多因素或验证码 两者都是可行的选择防止这些攻击并不一定探测并且还会以以下方式失败: 登录...

Admin

Samhain 能否监控不存在但将来可能存在的文件?
intrusion-detection

Samhain 能否监控不存在但将来可能存在的文件?

我希望 Samhain 监控一个文件,例如/root/somefile。此文件目前不存在,但我希望在任何时候创建它时收到通知。 我将其添加到samhainrc: [ReadOnly] file = /root/somefile 这导致 Samhain 发出以下日志条目: Oct 18 22:54:04 ip-172-31-24-115 Samhain[17123]: CRIT : [2018-10-18T22:54:04+0000] interface=<lstat>, msg=<No such file or direct...

Admin

来自 127.0.0.1 的 ssh 垃圾邮件(“未收到标识字符串”和“协议版本标识错误”)
intrusion-detection

来自 127.0.0.1 的 ssh 垃圾邮件(“未收到标识字符串”和“协议版本标识错误”)

前传:我见过这个问题,但情况不太一样。我特别好奇“heroku”出现在日志中。 我刚刚构建并启动了一个新的 Ubuntu 18.04 盒子,用作个人 GPU 工作站,在安装/启动 OpenSSH 后,我看到了一些奇怪的条目/var/log/auth.log(日期、主机名和一些记录已删除): XXX XX XX:XX:XX XXXXXXXXX sshd[10204]: Bad protocol version identification '343 <158>1 2018-10-03T06:57:36.572868+00:00 d.edf108...

Admin

跟踪特定 IP 对服务器的所有网络访问
intrusion-detection

跟踪特定 IP 对服务器的所有网络访问

有什么方法可以跟踪特定 IP 对我的服务器进行的任何网络访问(在任何端口上)?我在 Ubuntu Server 16.04 LTS 上使用简单的防火墙。 最好的情况下,我能够将解决方案挂接到脚本中,以便在任何活动发生时通过电子邮件通知我 - 但我也可以接受将结果存储在日志文件中。 任何帮助将非常感激 ...

Admin

在虚拟服务器上运行多个虚拟机
intrusion-detection

在虚拟服务器上运行多个虚拟机

是否可以在虚拟服务器上运行多个虚拟机?我正在做一个项目,我想使用多个 Ubuntu 虚拟机运行分布式入侵检测系统。是否可以在运行 Ubuntu 的虚拟服务器上完成此操作? ...

Admin

barnyard2 的 snort 权限被拒绝
intrusion-detection

barnyard2 的 snort 权限被拒绝

我为 snort 安装了 barnyard2,但是当我运行以下命令时出现此错误。 [root@localhost snort]# barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort/ -f snort.log -w /etc/snort/bylog.waldo /etc/snort/gen-msg.map /etc/snort/sid-msg.map -C /etc/snort/classification.config Running in Continuous mode --==...

Admin