Elkeid Wazuh1https://mp.weixin.qq.com/s/Ltcl8PcYZc31EHsgqCVMBQ?poc_token=HPqpbWij6y22g_LfRIBV79M7Gd1RVzOj87HSKJUN 雷池WAF 堡垒机jumpserver

部署ELK日志系统（docker搭建）部署docker的环境这里我使用的是centos8的系统，然后装有docker环境。 docker搭建： 123456789sudo curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-8.repoyum clean all && yum makecacheyum install -y yum-utilsyum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.reposudo yum install docker-ce docker-ce-cli containerd.io -ysystemctl start dockersystemctl enable docker 配置加速源： 12345678910sudo mkdir -p /etc/dockersudo tee /etc/docker/daemo ...

转载链接：https://blog.csdn.net/m0_60571842/article/details/143886658?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522bc34fddd9fe6c02c7e00b5a35b709746%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=bc34fddd9fe6c02c7e00b5a35b709746&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-11-143886658-null-null.nonecase&utm_term=%E8%93%9D%E9%98%9F%E6%8A%80%E8%83%BD&spm=1018.2226.3001.4450 综合分 ...

JAVA Web内存马-JVM分析&日志URL&内存查杀脚本查杀tomcat-memshell-scanner.jsp环境搭建的太烦了，复制的博客： 1https://blog.csdn.net/m0_60571842/article/details/142389679?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522f9a1f02ec270cb378be3f3adb8a2d15f%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=f9a1f02ec270cb378be3f3adb8a2d15f&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-2-142389679-null-null.nonecase&am ...

爆破事件口令横向 场景说明：不管是内网还是外网，协议口令爆破一直都是攻击里面最常见的方式。 明确对应口令爆破的日志存储路径及查看 明确日志中有哪些属性和判断依据（筛选） 对于大量日志可在后面要讲到的效率项目工具 SSH我这里就使用九头蛇进行爆破吧： 1hydra -l root -P top100.txt 192.168.179.131 ssh 从日志筛选错误三次以上的日志12345678910111213141516171819202122232425262728293031# 提取所有失败登录的 IP（包括密码错误和无效用户）grep -E "Failed password|Invalid user" /var/log/secure | \grep -oP '([0-9]{1,3}\.){3}[0-9]{1,3}' | \sort | uniq -c | sort -nr# 实时监控新的失败登录尝试tail -f /var/log/secure | grep --line-b ...

勒索病毒勒索病毒是一种恶意软件，它通过加密用户设备中的文件，然后以解密为条件向用户勒索赎金，是对个人和企业数字安全极具威胁的存在。以下是关于勒索病毒的详细介绍： 一、核心特征 加密锁定文件：利用高强度加密算法（如 RSA、AES 等）对用户文件（文档、照片、数据库等）进行加密，使其无法正常打开。 勒索赎金：加密后显示勒索信息，要求用户支付比特币等虚拟货币作为赎金，通常会设定截止日期，威胁超时则删除密钥。 传播隐蔽性：常通过钓鱼邮件、恶意链接、盗版软件、漏洞攻击等方式潜入设备，用户难以察觉。 二、常见类型与传播方式（一）主要类型 类型 特点描述 加密型 最常见，直接加密文件，如 WannaCry、NotPetya。 锁机型 锁定设备操作系统，阻止用户访问，如 “屏幕锁” 病毒。 伪装型 伪装成杀毒软件或系统工具，谎称检测到病毒，诱骗用户付费 “解锁”。 （二）传播途径 钓鱼邮件：伪装成银行通知、工作邮件等，附带含病毒的附件或链接。 恶意下载：从非正规网站下载软件、破解工具时捆绑病毒。 网络漏洞：利用操作系统、软件的安全漏洞（如永恒之蓝漏洞）自动传播。 移动存储设备 ...

web攻击事件&后门查杀&日志分析&流量解密&攻击链梳理获取当前web环境的组成架构（脚本，数据库，中间件，系统等） 分析思路： 利用时间节点筛选日志行为 123定位攻击起始点： 通过最早出现的异常日志时间戳，还原攻击初始入口。构建攻击时间线： 将分散在不同设备的日志按时间排序，形成完整攻击链。识别协同攻击： 多设备日志中同一时间窗口的异常行为，可能指向团伙攻击。 利用对漏洞进行筛选日志行为 1如果时间跨度很大，有1年左右的日志，那么此时就可以通过漏洞来对日志进行一个筛选，比如常见的RememberMe这个就是shiro漏洞。Log4j 漏洞的 JNDI 注入字符串（ldap://, rmi://）等等筛查 利用后门查杀进行筛选日志行为 1作为红队攻击者来说，拿下shell之后，蓝队可以找到这个后门，然后观察这个后门的时间，然后在根据这个时间去定位日志的大概位置，通过对shell的文件名，在日志中是谁访问过这个shell。然后在定位这个访问者的上下访问时间，还原攻击时间和攻击过程。 利用文件修改时间筛选日志行为 1部分攻击动 ...

权限提升-Linux系统权限提升篇&Vulnhub&Rbash绕过&Docker&LXD容器&History泄漏&shell交互应用场景：获取到Web权限或普通用户在Linux服务器上时进行的权限提升 SUID (Set owner User ID up on execution)是给予文件的一个特殊类型的文件权限。在Linux/Unix中，当一个程序运行的时候，程序将从登录用户处继承权限。SUID被定义为给予一个用户临时的（程序/文件）所有者的权限来运行一个程序/文件。用户在执行程序/文件/命令的时候，将获取文件所有者的权限以及所有者的UID和GID。 SUDO权限是root把本来只能超级用户执行的命令赋予普通用户执行，系统管理员集中的管理用户使用权限和使用主机，配置文件：/etc/sudoers，除此配置之外的问题，SUDO还有两个CVE漏洞（CVE-2019-14287 CVE-2021-3156）。 LXD、LXC 和 Docker 是三种不同的容器化技术，它们 ...