《运维安全培训ppt课件.pptx》由会员分享,可在线阅读,更多相关《运维安全培训ppt课件.pptx(30页珍藏版)》请在三一办公上搜索。
1、,网络运维安全培训,2018.3,CONTENT,PART 1,网络安全态势,网 络,拒绝服务,流氓软件,黑客渗透,内部人员威胁,木马后门,病毒和蠕虫,社会工程,系统漏洞,网络通信故障,运维安全,基础服务,ftpsshtelnetsmtpdnsntpsnmprsync,网 络,服务器&设备,ddosscan内网探测,本地提权OpenSSLbash,web server,应用层,信息泄露(账号密码),tomatjbossresinapachenginxjettyIIS,压缩文件泄密备份文件泄密敏感文件泄密Struts2Svn信息泄露,代码泄露截图泄陋,PART 2,威胁与防护,使用8uftp登录
2、ftp,可见:,在文件夹中直接输入地址登录ftp,可见:,比较两种方式登录的差异:前者下载文件会受到大小限制,后者则不会。,利用方法rsync默认端口是873,可使用nmap进行扫描nmap n open p 873 x.x.x.x/24尝试上传、下载文件(使用工具:kali)rsync 10.210.208.39: 或rsync vvvv rsync:/10.210.208.39:,安全配置限定访问IP :IP Tables防火墙或修改配置文件rsync.conf不允许匿名访问,添加用户口令,rsync是一个远程数据同步工具,用“rsync算法”提供了一个客户机和远程文件服务器的文件同步的快
3、速方法,在同步文件的同时,可以保持原来文件的权限、时间、软硬链接等附加信息,简 介,rsync v xx.xx.xx.xx:xx:,获取webshell:http:/ admin,xx.xx.xx.xx yy公司OA系统,简 介,利用方法:寻找weblogic服务器。使用IIS PUT Scanner扫描80.8080端口,查看HTTP banner信息,确认为weblogic利用弱口令进入管理后台,在控制台部署一个web应用,该web应用中必须要有一个servlet或JSP web.xml文件,weblogic默认配置:默认weblogic管理员账号/密码:weblogic/weblogic
4、默认weblogic开放端口:7001默认weblogic访问路径:http:/x.x.x.xz:7001/consoleDefault Password | CIRT.net上常见的默认账号/密码:Oracle-WebLogic:weblogic/weblogicOracle-WebLogic 11g:weblogic/welcome1Oracle-WebLogic Process Integartor:admin/securitywooyun常见的默认账号/密码:weblogic/weblogic123weblogic/12345678admin/12345678,http:/x.x.x.
5、x:7001/console/login/LoginForm.jsp,输入账号/密码:weblogic/12345678,mstsc打开远程终端,Guest/xiuyou,DNS主备之间数据同步使用的是dns域传送,若配置不当,就会导致匿名用户获取DNS服务器某一域所有记录,暴露整个企业的基础业务及网络架构,导致信息泄露甚至企业网络被渗透。,简 介,漏洞成因,成因:默认安装BIND,配置项中没有allow-transfer。域传送关键配置项:allow-transferipaddress;allow-transferkey transfer;设置方式:在option配置域;在zone配置域(优
6、先级:zoneoption),防护方式,防护原理:只需要限制相应的zone、option中添加allow-transfer限制可以进行同步的服务器。限制方式:限制IP使用key认证,1、系统重新启动系统日志记录系统运行时间网络连接时间 2、系统资源减少进程占用大量CPU时间进程消耗大量物理内存磁盘空间减少3、网络流量异常发送或接收大量SYN数据包发送或接收大量ICMP数据包其他流量(如BT协议流量,FTP协议流量),1、安全产品入侵检测防火墙其他 2、其他途径其他管理员的询问残缺日志,1、IE临时文件访问过的网页Documents and SettingsLocal SettingsTempo
7、rary Internet Files2、访问地址记录记录访问过的网址和本地地址按日期排列Documents and SettingsLocal SettingsHistory3、使用文件记录打开过的文档Documents and SettingsRecent4、cookie记录访问过的网址使用过的帐户Documents and Settingscookie5、计划任务使用at命令查看,6、回收站根目录下隐藏的Recycler目录用户删除的文件在以其自身SID为基础命名的子目录中,1、注册表曾经存在的帐户HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT
8、CurrentVersionProfileList曾经安装过的软件HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall2、检查交换文件 HKLMSystemCurrentControlSetControlSession ManagementClearPageFileAtShutdown,1、审核日志:系统日志应用日志安全性日志 Web日志 FTP日志 数据库日志2、查看攻击者遗留痕迹3、分析入侵原因并弥补漏洞,查看遗留痕迹,分析入侵状况,1、复查确认后门清理完毕:Pslist IceSword2、判断系统存在漏洞入侵
9、手法判断:根据日志重现攻击手法;依照流行程度判断服务内容判断:检查本机服务扫描判断:微软工具MBSA基准扫描3、修补系统存在漏洞,并加固系统临时解决方案使用防火墙策略阻挡指定协议或端口特殊关键字请求,如select * 、insert into 、drop from等使用防火墙阻挡指定进程暂时停止使用危险应用根本解决方案安装安全补丁更换安全的应用系统暂时停止使用危险应用4、启动所有应用,测试是否正常运行,1、弱口令审计(john the ripper)http:/ john /etc/shadow -single# john /etc/shadow -wordlist=pass.dic,1、查
10、看libwrap库# ldd /usr/sbin/sshd|grep libwrap libwrap.so.0 = /lib/libwrap.so.0 (0 x008c5000)# ldd /usr/sbin/vsftpd|grep libwrap libwrap.so.0 = /lib/libwrap.so.0 (0 x00774000)2、配置访问控制列表/etc/hosts.allowsshd:1.1.1./etc/hosts.denysshd:all,1、telnet命令Linux、HP-UX: /etc/securettyAIX: /etc/security/user, rlogin
11、=falseSolaris: /etc/default/login, CONSOLE=/dev/console2、SSH命令/etc/ssh/sshd_config, PermitRootLogin=no3、Vsftp命令/etc/vsftpd/ftpusers,70%,79%,95%,b,c,33%,d,a,a、70%如果你以请一顿工作餐来作为交换,有70的人乐意告诉你他(她)的机器口令b、79%据调查,有79的人,在被提问时,会无意间泄漏足以被用来窃取其身份的信息c、95%平均每人要记住四个口令,95都习惯使用相同的口令(在很多需要口令的地方)d、33%33的人选择将口令写下来,然后放到抽
12、屉或夹到文件里,口令防泄密措施主要可从以下三方面进行部署:,PART 3,安全措施,总体防护措施,运行数据加密措施,完善安全管理制度,数据备份与恢复,实施访问控制措施,标题文本预设,1,3,2,4,PC端防护措施,防火墙,加密重要文件,定期备份系统或重要文件,杀毒软件定期升级和杀毒,定期升级补丁,PPT模板下载: 行业PPT模板: 节日PPT模板: PPT素材下载: PPT图表下载: 优秀PPT下载: PPT教程: Word教程: Excel教程: 资料下载: PPT课件下载: 范文下载: 试卷下载: 教案下载: 字体下载:,THANK YOU FOR YOUR ATTENTION,2018.3,
