监控软件监控到服务器存在异常的访问请求，故对此服务器进行安全检查。

通过提供的材料发现内网机器对某公网网站存在异常的访问请求，网络环境存在着异常的网络数据的访问情况。针对其服务器进行综合分析发现了病毒文件两例，内网扫描器两例，通过以上的发现证实服务器已被黑客入侵。

在ES集群上做一个NFS，并挂载：

首先说一下关于文件的命令：ls more cat less head touch rm rmdir cd mkdir等等 对于一些文件我们希望它只有特定的用户可以访问，其他用户不可以访问，或者一个文件只能拥有着可以操作其他用户就不能操作这个时候我们应该怎么办?在linux系统中，对于文件和文件夹有一个s、t、i、a的权限，可以帮助我们做到这些；

在linux服务器随处可见的网络环境中，网络运维人员保障Linux安全就成了必要条件。当然现在有很多的硬件防火墙以及WAF，但是那不是小资企业可以hold住的，本文从软件以及服务配置方面简单总结Linux安全防护。

Java反序列化漏洞由来已久，在WebLogic和JBoss等著名服务器上都曝出存在此漏洞。FoxGlove Security安全团队的breenmachine给出了详细的分析，但没有给出更近一步的利用方式。前段时间rebeyond在不需要连接公网的情况下使用RMI的方式在WebLogic上实现了文本文件上传和命令执行，但没有实现二进制文件上传。我通过使用Socket的方式实现了二进制文件上传和命令执行，同时也实现了RMI方式的二进制文件。

在linux中有5个用于审计的命令：

• last：这个命令可用于查看我们系统的成功登录、关机、重启等情况；这个命令就是将/var/log/wtmp文件格式化输出。
• lastb：这个命令用于查看登录失败的情况；这个命令就是将/var/log/btmp文件格式化输出。
• lastlog：这个命令用于查看用户上一次的登录情况；这个命令就是将/var/log/lastlog文件格式化输出。
• who：这个命令用户查看当前登录系统的情况；这个命令就是将/var/log/utmp文件格式化输出。
• w：与who命令一致。

前段时间，卡巴斯基捕获到Winnti网络犯罪组织在Windows下进行APT攻击的通用工具——HDD Rootkit。近期，腾讯反病毒实验室在Linux系统下也捕获到同类工具。Winnti组织利用HDD Rootkit在Windows和Linux系统下进行持续而隐蔽的APT攻击。经分析发现，HDD Rootkit先是篡改系统的引导区，然后在进入Linux系统前利用自带的Ext文件系统解析模块，将隐藏在硬盘深处的后门文件解密出来后加入到开机启动脚本或系统服务里。目前受攻击的系统有Centos和Ubuntu。

最近也在研究ossec报警规则，还没研究的很透彻，暂时不是这篇文章的内容。ossec中文资料还是比较少，外文文献比较多。之前看到drops的两篇文章分享http://drops.wooyun.org/tips/2821，http://drops.wooyun.org/tips/636，看到评论都说批量部署是个坑，比较麻烦。现在说下我的方案，如何批量安装部署客户端。对大家有帮助，可以解决大家在批量部署过程遇到的问题。

alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1)

• alert：表示如果此条规则被触发则告警
• tcp：协议类型
• ip地址：源/目的IP地址
• any/80：端口号
• ->：方向操作符，还有<>双向。
• msg：在告警和包日志中打印消息
• sid：Snort规则id …

NFS（Network File System）：是FreeBSD支持的文件系统中的一种，它允许网络中的计算机之间通过TCP/IP网络共享资源；

NFS配置：（声明：以下NFS实验是在RedHat7上完成）

tomcat是一个开源Web服务器，基于Tomcat的Web运行效率高，可以在一般的硬件平台上流畅运行，因此，颇受Web站长的青睐。不过，在默认配置下其存在一定的安全隐患，可被恶意攻击。

运维安全是企业安全保障的基石，不同于Web安全、移动安全或者业务安全，运维安全环节出现问题往往会比较严重。

一方面，运维出现的安全漏洞自身危害比较严重。运维服务位于底层，涉及到服务器，网络设备，基础应用等，一旦出现安全问题，直接影响到服务器的安全；另一方面，一个运维漏洞的出现，通常反映了一个企业的安全规范、流程或者是这些规范、流程的执行出现了问题，这种情况下，可能很多服务器都存在这类安全问题，也有可能这个服务还存在其他的运维安全问题。

Sybase的全称又叫：SAP Sybase Adaptive Server Enterprise（简称ASE或Sybase ASE），继承于MSSQL的原始代码，和MSSQL血缘很近。Sybase是一种关系型数据库系统，是一种典型的UNIX或WindowsNT平台上客户机/服务器环境下的大型数据库系统。它以PowerBuilder为开发工具，以SAP Sybase SQL Anywhere为客户端。目前新版是ASE 15.7.x，命名从12.5.5直接到15.0.0（跳过中间的13、14），本次测试的是12.5.2，其中12.5是12大版本中最稳定的版本。

工作过程中，尤其是应急的时候，碰到客户windows域控被入侵的相关安全事件时，往往会需要分析windows安全日志，此类日志往往非常的大；此时，高效分析windows安全日志，提取出我们想要的有用信息，就显得尤为关键，这里给大家推荐一款我常用的windows日志分析工具，logparser，目前版本是2.2。

好久没写文章了,正好吃完饭回来习惯性的翻翻twitter,一篇文章写的真是行云流水不翻译来真是可惜。
废话不多说，这篇文章是一个针对恶意软件"Linux/XOR.DDoS" 感染事件分析，该恶意软件试图感染真正的linux服务器。原文：http://blog.malwaremustdie.org/2015/06/mmd-0033-2015-linuxxorddos-infection_23.html