网络防御与工具
网站常见攻击方式黑链、网站根目录、网站挂马、蠕虫病毒
DNS劫持、数据库植入、DDos攻击、非法桥页
黑链 网站看着正常,网页中出现了一些链接(在html中为一些标签)
特点: 隐藏,字体大小为零,极限偏移
目的: 非法植入链接,获取流量,黑产业链,私服,挖矿
挖矿:解密数字货币,每个币种的加密方式不一样,显卡/CPU
服务器中毒/挖矿中毒/CPU 100% 门罗币XMR/门罗经典
服务器/PC/手机都会挖矿病毒
矿池(服务器)国外或国内 域名 IP地址 处理:防火封杀IP地址
网站根目录 网站的根目录中出现大量的植入网页,通常是一些流量网站,访客人数比较大
网页维护不到位,被遗弃的网站,没有运维的网站
上传下载漏洞,比如zip压缩炸弹,用几KB的zip,解压几TB的内容,使服务器爆满
目录内容通暴增,一般通过一些递归操作
收录内容非网站本身,一些广告内容,为了获取流量
网站挂马 通过各种方式获得权限后,直接挂马
私服 网页 在线登入等会被挂马,获取用户信息,通过注册可以收集一定的信息(姓名/邮箱/密码/生日),通过姓名、生日、密码破解邮箱,可以进一步获取信息
JS脚本 盗号、钓鱼、键盘记录,挖矿,XSS 利用系统漏洞获取系统权限,
虚拟货币交易所 盗号、钓鱼、键盘记录,挖矿,XSS 利用系统漏洞获取系统权限
下载/电影类网站 下载文件中携带木马
ISO镜像/番茄花园 在镜像文件中携带木马
被植入蠕虫病毒 打开异常缓慢,比如说下载第三方网站的一些自动化运维工具
后台监控,CPU 占用率高/挖矿/ ...
CentOS 7搭载vulfocus靶场
在CentOS 7 虚拟机上搭载vulfocus靶场
后续使用doker ps -a; docker start {id};开启靶场
一、挂载镜像 mkdir /mnt/cdrom 创建挂载点
mount /dev/cdrom /mnt/cdrom 挂载
二、配yum源 cd /etc/yum.repos.d/
vim CentOS-Media.repo
123456[c7-media]name=CentOS-$releasever - Mediabaseurl=file://mnt/cdromgpgcheck=0enabled=1gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
三、docker安装1curl -sSL https://get.daocloud.io/docker | sh
启动:systemctl start docker
卸载:yum remove docker-ce删除安装包
rm -rf /var/lib/docker删除镜像等
四、部署vulfocus环境拉取镜像:docker pull vulfocus/vulfocus:latest
查看库:docker images (取得IMAGE ID)
1docker run -d -p 映射端口:80 -v /var/run/docker.sock:/var/run/docker.sock -e VUL_IP=(CentOS主机IP) (IMAGE ID)
对于我:
1docker run -d -p 8081:80 -v /var/run/docker.sock ...