美文网首页
升级/扫描

升级/扫描

作者: Miracle001 | 来源:发表于2018-09-27 17:43 被阅读16次

    一.系统升级

    系统  centos7.4
    本机的VMware操作
    yum update  或者  yum upgrade
    输入y
    耗时3-5min,执行完上面的操作后,系统变为centos7.5
    
    把已经安装在系统上的软件都更新掉
    扫描完成之后问你是否更新,输入y回车开始下载
    下载完成之后开始升级软件
    升级完成
    
    1

    二.基于主机的扫描软件

    1.sXid

    sxid 是一个系统监控程序
    可监视系统中 suid,sgid 文件以及没有属主的变化,以可选的形式报告这些改变
    可在配置文件中设置用 email 的形式通知这些改变
    可直接在标准输出上显示这些变化
    suid,sgid 文件以及没有属主的文件很有可能是别人放置的后门程序,这些都要特别注意

    系统初始状态,最小化安装
    下载地址
    http://freshmeat.sourceforge.net/projects/sxid
    
    rz  上传
    tar xzf sxid-4.20130802.tar.gz
    cd sxid-4.20130802
    yum -y install gcc gcc-c++
    ./configure  如图2
    cd src/
    make  执行完此操作后,编译完成了,不需要再操作了
    分析:
    如果执行"make install",会显示:Nothing to be done for 'install-exec-am'
    此时执行"make clean"和"make"后,还会显示上面的内容
    就表示已经编译安装ok了,不需要再编译了
    
    cp examples/sxid.conf /usr/local/etc/
    配置文件 /usr/local/etc/sxid.conf    定义了 sxid 的工作方式
    如:
      日志文件 /var/log/sxid.log    
      日志文件的循环次数
    配置固定后把 sxid.conf 设置为不可改变,把 sxid.log 设置为只可添加(不操作)
      chattr +i /usr/local/etc/sxid.conf    只能看
      chattr +a /var/log/sxid.log    只能追加内容
    
    yum -y install sendmail
    yum -y install mailx
    
    执行命令
    sxid
    mail  显示收到邮件,查看即可,就是sxid生成的报告内容
    
    sxid -k 加上 -k 选项来进行检查,这时检查很灵活,既不记入日志,也不会发出 email,可以随时做检查
    
    建议加入计划任务,待解决
    
    2

    2.Linux Security Auditing Tool (LSAT)

    LSAT 是一款本地安全扫描程序
    发现默认配置不安全时,它可以生成报告
    LSAT由Triode开发,主要针对基于RPM的Linux发布设计的

    下载链接:https://sourceforge.net/projects/usat/files/?source=navbar
    rz  上传
    tar zxf lsat-0.9.8.2.tgz
    cd lsat-0.9.8.2
    ./configure  如图3
    make  如图4
    make install  如图5
    
    3
    4
    5
    cd /root/
    lsat  执行后,会在对应路径下生成 lsat.out  lsatsha512.out 两个文件
    cat lsat.out |less  该文件就是生成的报告文件  如图6和7
    cat lsatsha512.out  加密文件?
    
    LSAT检查的内容很多,主要有:
    检查无用的RPM安装
    检查inetd和Xinetd和一些系统配置文件
    检查SUID和SGID文件
    检查777的文件
    检查进程和服务
    开放端口
    
    LSAT的常用方法是用cron定期调用
    然后用diff比较当前报告和以前报告的区别,就可以发现系统配置发生的变化
    diff lsat.out lsat.out.old  如图8
    再执行lsat,生成的新文件是lsat.out,旧文件自动变为lsat.out.old
    
    参考文章
    http://blog.sina.com.cn/s/blog_89c999580102wki4.html
    
    6
    7
    8

    三.基于网络的扫描软件

    1.nmap(Network Mapper)

    Nmap是在免费软件基金会的GNU General Public License (GPL)下发布
    基本功能:
    探测一组主机是否在线;
    扫描主机端口,嗅探提供的网络服务;
    判断主机的操作系统。
    语法简单,功能强大

    netstat -ntlp --inet  如图9
    -l  (listen) 仅列出 Listen (监听) 的服务
    -t  (tcp) 仅显示tcp相关内容
    -n (numeric) 直接显示ip地址以及端口,不解析为服务名或者主机名
    -p (pid) 显示出socket所属的进程PID 以及进程名字
    --inet 显示ipv4相关协议的监听
    
    
    过滤掉监控在127.0.0.1的端口
    netstat -ntlp --inet | grep -v 127.0.0.1
    
    9
    nmap 192.168.10.88 -p1-65535  如图10
    -p 指定端口范围
    如果不指定要扫描的端口,Nmap默认扫描从1到1024再加上nmap-services列出的端口
    nmap-services是一个包含大约2200个著名的服务的数据库
    Nmap通过查询该数据库可以报告那些端口可能对应于什么服务器,但不一定正确。
    所以正确扫描一个机器开放端口的方法是上面命令:-p1-65535
    
    10
    nmap -O 192.168.10.241  探测目标主机操作系统类型
    nmap -A 192.168.10.95  探测目标主机操作系统类型
    nmap -sU 192.168.10.88 -Pn
    -sU:表示udp scan , udp端口扫描
    -Pn:不对目标进行ping探测(不判断主机是否在线)(直接扫描端口)
    
    
    11
    nmap 192.168.10.88 -p20-200,7777,8888  扫描一个IP的多个端口,如图11
    nmap 192.168.10.88 192.168.10.181  扫描多个IP
    nmap 192.168.10.88,181
    nmap 192.168.10.181-183  扫描连续的IP
    nmap 192.168.10.0/24  扫描一个子网网段的所有IP
    
    
    12
    cat ip.txt
    192.168.10.181
    192.168.10.182
    
    nmap -iL ip.txt
    
    13
    nmap 192.168.10.181-185  --exclude 192.168.10.182  扫描地址段时排除某个IP地址
    nmap 192.168.10.181-185  --exclude 192.168.10.182-183  扫描时排除多个IP地址
    nmap 192.168.10.181-185  --exclude 192.168.10.182,192.168.10.184  
    nmap 192.168.10.181-185  --excludefile ip.txt  扫描多个地址时排除文件里的IP地址
    可以是不连续的IP,添加到一个文件里
    
    参考文章
    https://www.cnblogs.com/nmap/p/6232207.html
    
    nmap -PS 192.168.25.102  扫描开放的端口
    
    yum list ntsysv
    yum -y install ntsysv
    ntsysv   系统服务器管理器
    空格键  加/删*
    tab键  ok/cancel
    

    2.p0f

    p0f对于网络攻击非常有用
    利用SYN数据包实现操作系统被动检测技术,能够正确地识别目标系统类型。
    它不向目标系统发送任何的数据,只是被动地接受来自目标系统的数据进行分析。
    因此,很大的优点是:几乎无法被检测到;
    p0f是专门系统识别工具,其指纹数据库非常详尽,特别适合于安装在网关中。

    下载地址
    http://lcamtuf.coredump.cx/p0f3/releases/
    rz  上传
    tar xzf p0f-3.09b.tgz
    yum -y install libpcap-devel libpcap  gcc gcc-c++
    cd p0f-3.09b.tgz
    ./build.sh  如图14
    ./p0f -h  如图15
    
    14
    15
    用法: p0f [ ...选项... ] [ '过滤规则' ]
     
    网络接口选项:
     
      -i iface  - 指定监听的网络接口
      -r file   - 读取由抓包工具抓到的网络数据包文件
      -p        - 设置 -i参数 指定的网卡 为混杂模式
      -L        - 列出所有可用接口
     
    操作模式和输出设置:
     
      -f file   - 指定指纹数据库 (p0f.fp) 路径,不指定则使用默认数据库。(默认:/etc/p0f/p0f.fp)
      -o file   - 将信息写入指定的日志文件中。只有同一网卡的log文件才可以附加合并到本次监听中来。
      -s name   - 回答 unix socket 的查询 API
      -u user   - 以指定用户身份运行程序,工作目录会切换到到当前用户根目录下;
      -d        - 以后台进程方式运行p0f (requires -o or -s)
     
    性能相关的选项:
     
      -S limit  - 设置API并发数,默认为20,上限为100;
      -t c,h    - 设置连接超时时间 (30s,120m)
      -m c,h    - 设置最大网络连接数(connect)和同时追踪的主机数(host)(默认值: c = 1,000, h = 10,000).
     
    通过 man tcpdump 命令可以了解更过 过滤选项表达式。阻止p0f查看网络流量。
    
    
    ./p0f -i ens33 -p -o /tmp/p0f.log  
    监听网卡ens33,并开启混杂模式,并且把这些内容写入到/tmp/p0f.log日志文件中,这样会监听到每一个网络连接
    一旦收到报文就会显示相关信息,并且不断刷新
    
    再开一个窗口
    curl www.baidu.com
    或者
    192.168.25.102 ssh连接 192.168.25.101  
    此时,就会显示内容了
    
    
    可检测内容:
    防火墙的存在或伪装;
    到远程系统的距离以及它启动的时间;
    其他网络连接以及ISP
    
    image.png

    相关文章

      网友评论

          本文标题:升级/扫描

          本文链接:https://www.haomeiwen.com/subject/fehdoftx.html