2022年1月30日
检测Linux Rootkit入侵威胁——阿里云是基于行为特征如信号劫持或者文件隐藏,用户提权和网络隐藏,进程劫持等进行检测
摘要: 检测Linux Rootkit入侵威胁 更新时间:2020-12-22 13:37 https://help.aliyun.com/document_detail/194087.html 云安全中心企业版支持Linux Rootkit入侵威胁检测功能,帮助您及时发现资产是否被Rootkit入侵。 背 阅读全文
posted @ 2022-01-30 14:52 bonelee 阅读(195) 评论(0) 推荐(0) 编辑
Linux下基于内存分析的Rootkit检测方法——传统方法还是检查已知Rootkit组件默认安装路径上是否存在相应文件,并比对文件签名(signature)。这种检测方式显然过于粗糙,对修改过的/新的Rootkit基本无能为力
摘要: 原文地址:http://drops.wooyun.org/tips/4731 0x00 引言 某Linux服务器发现异常现象如下图,确定被植入Rootkit,但运维人员使用常规Rootkit检测方法无效,对此情况我们还可以做什么? 图1 被植入Rootkit的Linux服务器 所有暗链的html文件 阅读全文
posted @ 2022-01-30 14:45 bonelee 阅读(494) 评论(0) 推荐(0) 编辑
osquery 在主机侧用的还是离线(可以近实时)分析
摘要: 安全监控规则在文件secrity.conf中,可自行修改,其中包含主要几项,query、interval、removed。 query: 查询的SQL语句 interval: 查询间隔,单位时间为秒 removed: 是否生成减少的记录 如: "users": { "query" : "select 阅读全文
posted @ 2022-01-30 14:43 bonelee 阅读(47) 评论(0) 推荐(0) 编辑