15.12.13

ubuntu-1204 + ntopng-1.1

ntop是一套網路流量收集與分析的工具,今年大改版,稱為ntopng,ntopng的引擎是使用LuaJIT語言腳本,功能上保留了原來的一些常用的分析排序功能,改良比較大的是圖形介面的部份,有時候也不知是好還是不好,但是至少可以讓人簡單易懂,裝在CentOS的教學文很多,因為yum有支援,基於又沒有人把它裝在Ubuntu上的「中文」文章,就乾脆寫一篇吧。

http://www.ntop.org/products/ntop/ //原廠說明

沒有apt-get 套件安裝法,當然就要靠編譯了,所以寫了一個腳本方便安裝。

圖片取自原廠

























30.11.13

raspberry Pi + firefox OS

firefox OS「火狐OS」開發版本
開發者適用,安裝在基本的raspberry pi平台上

snort+server2008sp2+mssql2008sp3

snort的windows版本,稱為winsnort跟snort一樣,有固定的首頁跟論壇在說明,網路上的中文教學文都是在server2003平台下,官方後來的版本也有支援windows版本的Barnyard2,這要加入他們的論壇才可下載,輸入關鍵字「winsnort」就有了,但後來也沒有支援mssql2008了,但是前端有多種可搭配,這篇主要是說明server2008組合sql2008怎麼用,給微軟使用者看的。

20.10.13

18.10.13

Snort-web介面 Aanval-SAS-v7

Aanval是一套SIEM(Security Information and Event Management)"安全資訊與事件管理平台",支援IDS警報管理與LOG管理。
從單一傳感器到大規模的全球性佈署,提供免費的單一傳感器版本及全球性佈署的商業版。

SIEM的主要功能:
以SANS(A Practical Application of SIM/SEM/SIEM Automating Threat Identification)這篇報告敘述,分成下列4項:
  1. log整併:將事件記錄集中存放到伺服器上。
  2. 將威脅做關聯性連結:將多份記錄內容將以分類,辨識發動攻擊的行為。
  3. 突發事件管理(工作流程):一旦威脅發生,隨後該進行一些工作來因應,例如透過電子郵件或簡訊通知管理者、建立故障服務單(Trouble Ticket)、自動執行Script以回應狀況,以及記錄後續反應與調整的狀態。
  4. 產生報表:基於作業效率、工作績效、法規遵循等需求,你需要可自行隨意地分析或查詢相關的記錄,或執行證據鑑識的工作。

我是用免費版跟snort搭配來看看,介面大致上是這樣: 

17.10.13

raspberry pi 用HDMI-VGA轉接器,接電腦螢幕


Raspberry Pi 的螢幕解析度預設值為1080p,1920x1080,使用HDMI接頭,如果要接到一般的VGA電腦螢幕,就需要轉接器,但有轉接器,螢幕解析度小於1920x1080,就需要調整內部設定值了。


例如我要接一個14"的面板,解析度為1400x1050


















26.8.13

KFSensor ids and Honeypot system

Honeypot System 一般稱為蜜罐,裝有蜂蜜的罐子,誘捕愛吃蜂蜜的昆蟲,在資安領域引申為誘捕不法入侵者的系統,可模擬像MS-SQL,DHCP,DNS等服務,企圖混淆。還有叫捕蠅草跟豬籠草的,所以叫蜜罐也沒什特別。KFSensor是一套在windows平台下的Honeypot 系統,也有ids的規則警報功能,這當然不是開源碼軟體,分為免費的專業版與要錢的企業版,差別在於一個只能單機,另一個能佈署多台。

25.8.13

pdnsd ubuntu 12.04

Pdnsd是一個把DNS服務原本跑UDP 53 port 路徑的封包改成跑TCP 53 port 路徑的工具。
因為UDP與TCP有可靠性的差別,有暫存機制跟proxy的功能,可避免DNS汙染,中華電信與Google的DNS都支援TCP查詢。
googleg上一堆資料,有牆的地方比較多人用。

17.8.13

PHP程式碼靜態分析漏洞工具-RIPS

靜態分析指的是,程式在沒運作的狀態下,進行原始碼分析,檢測是否有漏洞,降低人工分析的時間,但是靜態分析在分析時會依照原始碼逐步分析,所以原始碼的長度跟分析時間成正比,而且有時候會分析不出問題,因為它無法分析函數或演算法運算後的結果,但它依然有它存在的必要性,就因為依照原始碼逐步分析,比較保守也比較保險,雖然有時問題並不是問題,但可透過人工審閱的方式進行修改。


RIPS是一套針對PHP程式碼漏洞做靜態分析的開源碼工具
http://sourceforge.net/projects/rips-scanner/
自動分析sql 注入
可分析的漏洞
Code Execution
Command Execution
Cross-Site Scripting
Header Injection
File Disclosure
File Inclusion
File Manipulation
LDAP Injection
SQL Injection
Unserialize with POP
XPath Injection




25.7.13

fwsnort "將snsort-rules轉成iptables規則的工具"

fwsnort跟psad是同個作者開發的,但是fwsnort是把snort的規則檔轉成iptables的規則檔,不一樣的功能,轉過去還是防火牆並沒有IPS的功能,可跟psad搭配使用。














Psad rsyslog ubuntu "Post Scan專用IPS"

Port Scan Attack Detector 簡稱PSAD,一個能偵測Post Scan的行為再加以封鎖的工具,作者把它歸類為NIPS,拿來當HIPS也可以,跟iptables防火牆搭配,藉由分析iptables的log,找出有問題的IP地址加以封鎖。



17.7.13

木馬檢測工具rkhunter and chkrootkit

敬告:這兩個工具版本都蠻舊了,更何況現在病毒跟木馬的界線也很模糊了。
病毒只會感染電腦,木馬只會開後門,所以病毒不會自己update,木馬不會複製本體囉!
這都端看開發者的思維,所以如果有需要裝,裝ClamAV或Comodo,三不五時更新特徵碼,還比較實在些。


15.7.13

kubuntu預設libreoffice不能用

為何安裝KDE後,預設的LibreOffice套件不能用,啟動後無反應。
算了,全部移除,來裝OpenOffice

移除
apt-get autoremove libreoffice
dpkg -P libreoffice-*

觀看套件有無安裝,這時候因該無任何套件
dpkg -l libreoffice-*

14.7.13

KDE專用的flash player 安裝

用KDE的桌面時,要用Chromium看youtube還要裝flash player,預設套件裡只支援火狐瀏覽器
所以要去Adobe抓套件來裝,其實不用,下指令
apt-get install flashplugin-installer
就幫你裝好了

13.7.13

Splunk上分析snort log的套件

splunk是個功能強大的分析資料平台,但它是個商業軟體,免費版的限制是每天最大500M的資料索引功能,個別用戶的管理機制,原廠支援。如果組織不夠大拿這個來分析log還真有點大才小用,但如果今天公司有用,你想把snort的log收集來管理,可加裝套件splunk for snort,使用後發現其實沒裝也沒差,因為用關鍵字也可以抓出資料,但要懂它的語法。好了略過...


17.6.13

mysql web管理 工具 mycheckpoint

一般要遠端觀看mysql的狀態,不是連進來打指令,都要裝個web-server才可輸出圖形介面
假如你不想裝web-server,又想遠端觀看圖表,mycheckpoint可以做到

25.5.13

Automatic Identification System(AIS)船用 and Automatic dependent surveillance-broadcast(ADS-B)飛航用

每個人因該都知道何謂GPS全球衛星定位系統,AIS與ADS-B跟GPS差不多
話說某天看到了這篇英文文章
"Spying on the Seven Seas with AIS"
有人從網路上買了個AIS接收器,價格約在300美元與2,000美元之間,裝到電腦上接收參數

slot_timeout: 6
sync_state: 0
true_heading: 511
sog: 0.10000000149
rot: -731.386474609
nav_status: 8
repeat_indicator: 0
raim: False
id: 1
slot_number: 816
spare: 0
cog: 151.699996948
timestamp: 21
y: 13.5758333206
x: 100.578536987
position_accuracy: 0
rot_over_range: True
mmsi: 567001310
special_manoeuvre: 0

21.5.13

電子前哨基金會-檢測ISP的連線數據工具 SWITZERLAND tools

我們常說網路無國界,是個自由開放的世界,其實你可能都被當地的ISP監控著,例如這次的馬來西亞的選舉,當地的ISP曾經一度對某些網站進行流量限制,或針對某些特定政治內容的 Youtube 的視頻進行屏蔽。澳洲政府曾經也想建立屬於自己的防火長城,曾經在2008年建立了一份網址的名單進行屏蔽,但這份名單最後被維基洩漏,導致計劃終止。關於P2P的下載方式,是否也被監控著?中國有防火長城,台灣網路比較自由,還是你還未觸犯到底線而已。

15.5.13

這是一份由公民實驗室所發佈的研究報告,針對 FinSpy木馬程式

 “For Their Eyes Only: The Commercialization of Digital Spying.”    
這是一份由公民實驗室所發佈的研究報告,針對 FinFisher , FinSpy木馬程式,可由上面連結下載,或搜尋關鍵字為;"the commercialization of digital spying" 的PDF檔
報告裡面有技術方面的詳細說明,我只粗略講講,配合安全研究的機構裡有F-Secure
和Kaspersky,所以對這一方面完全不懂的,可以確定它們家的防毒軟體可以找到,我不是打廣告。沒有監控的國家人民不用聽。

4.5.13

BKA kauft neuen Bundestrojaner für 147.000 Euro "BKA花了147,000歐元購買新型的聯邦木馬"

Das Bundesinnenministerium hat laut einem Zeitungsbericht einen Vertrag über einen neuen Bundestrojaner abgeschlossen. Die Spähsoftware werde aber weiterhin getestet und nicht eingesetzt.

Das Bundesinnenministerium gibt 147.000 Euro für die Beschaffung eines neuen Bundestrojaners aus. Das berichtet die Zeit. Demnach habe das Innenministerium einen Vertrag mit dem Münchner Unternehmen Elaman geschlossen. Für die knapp 150.000 Euro erhalte das Ministerium eine 12-monatige Lizenz des Schnüffelprogramms für bis zu zehn Rechner.

Ende März hatte die Piratenpartei eine Anzeige gegen das Bundeskriminalamt (BKA) wegen des Kauf des Späh-Trojaners FinFisher (auch FinSpy genannt) eingereicht, der von Eleman (dessen britischen Partner Gamma) stammt. Bisher hieß seitens des BKA, dass die Software nur gekauft worden sei, um sie zu testen. Die Zeit konnte vom Bundesinnenministerium in Erfahrung bringen, dass die Spähsoftware weiterhin getestet werde und nicht im Einsatz sei. Offenbar sind weitere Änderungen notwendig, weil bisher noch nicht alle Anforderungen erfüllt würden.

這是2013.05.03的報導
德國政府花了將近15萬歐元,共花了147000歐元跟英國Gamma購買這套FinFisher木馬,給德國聯邦刑事警察局(BKA)使用,當然他們對一般民眾都說只限於刑事偵查

駭客在監控你?,是國家在監控你吧



3.5.13

Spyware used by governments poses as Firefox, and Mozilla is angry "政府使用間諜軟體偽裝成Firefox瀏覽器,Mozilla發怒"


Mozilla has sent a cease-and-desist letter to a company that sells spyware allegedly disguised as the Firefox browser to governments. The action follows a report by Citizen Lab, which identifies 36 countries (including the US) hosting command and control servers for FinFisher, a type of surveillance software. Also known as FinSpy, the software is sold by UK-based Gamma International to governments, which use it in criminal investigations and allegedly for spying on dissidents.

How to Test the Validity or Authenticity of a Website "怎樣測試網站的有效性和真實性"

















登入之前,請確保該網站是正確的。

2.5.13

Free Antivirus Apps for Linux "適用於Linux的免費防毒軟體"

很多人都覺得,其實不需要安裝防毒軟體在Linux上,對。
因為,以惡意軟體的感染困難度來說Linux比Windows少很多。此外,Linux的用戶通常都使用系統內的套件資料庫來取得軟體,而不是在網際網路上尋找,所以不太可能遇到惡意軟體。

其實,這個觀念並不是完全正確的,Linux並不是不會感染惡意軟體,只是它的機率比較低,但它仍有可能被感染。

決大部份是為了避免成為Windows系統惡意軟體的載具,你可能在瀏覽網頁時,下載到某些東西,但它並不會對你的Linux系統造成損害,因為它是專門為Windows所設計的惡意軟體,但是,你可能讓它透過USB隨身碟,或電子郵件,或以其他方式與Windows用戶分享,導致它感染。

29.4.13

New Apache backdoor serving Blackhole exploit kit

A new sophisticated and stealthy Apache backdoor meant to drive traffic to malicious websites serving Blackhole exploit kit widely has been detected by Sucuri recently. Researchers claimed that this backdoor affecting hundreds of web servers right now.

26.4.13

comodo firewall v6.1 新增功能

科摩多網路安全套裝(英語:Comodo Internet Security,簡稱:CIS),由科摩多集團研發, 是一款執行於視窗平台的網路安全套件。它提供了反惡意軟體的保護功能、個人防火牆和基於主機的入侵防禦系統(HIPS)被稱為Defense+。作為Defense+的一部分,4.0以及更高的版本都包含了隔離未知應用程式的沙盒功能。

25.4.13

no apport report written because maxreports is reached already ubuntu


no apport report written because maxreports is reached already 
已安裝的 post-installation script 傳回了錯誤退出狀態

一般使用APT安裝軟體時,會遇到上面這些錯誤訊息,幾乎都是軟體相依性的問題

20.3.13

樹莓派 raspberry pi usb 有線網路卡

樹莓派(Raspberry Pi),最讓人詬病的就是週邊的支援,當初要找usb有線網路卡時發現網路上的資料幾乎都是usb無線網路卡,所以找官方的技術支援文件,這份技術支援文件,是不是太舊了,這裡面的usb有線網路卡大都找不到了...

15.3.13

Snort補Barnyard2套件,"將寫入資料庫的部分獨立出來"

Barnyard是處理Snort unified file format的程式,可讓Snort專注於抓取及分析封包,無須浪費資源
於處理LOG,目前最新版是Barnyard2-1-12,但環境是Snort 2.9.2所以不需要用到太新版的

環境是以這篇文為例子Ubutu12.04+Snort 2.9.2+mysql (一)

12.3.13

使用snmpv3協議在MRTG時,會出現snmpv3 libraries not found snmpv3 disabled

MRTG可以支援snmpv3嗎?試試看
如出現WARNING: SNMP V3 libraries not found, SNMP V3 disabled. Falling back to V2c.
請安裝apt-get -y install libnet-snmp-perl libcrypt-hcesha-perl libcrypt-des-perl libdigest-hmac-perl
但在設定的過程中一直出現錯誤訊息snmpv3 libraries not found snmpv3 disabled
研究了一下,沒成功,但至少了解snmpv1 and v2c and v3 各版的指令運用,記一下

10.3.13

SNMP V3 windows 7 server 2008 r2 無支援

目前市場用windows的用戶,主流還是windows 7為主,server的用戶,還是以 server 2008 r2 為主,但這些系統內,所內建的SNMP協定,皆是SNMPv1和SNMPv2c,想使用SNMPv3需透過第三方程式來支援,例如開放原始碼的
NET-SNMP,NET-SNMP支持許多UNIX發行版,也支持微軟的Windows,當然windows XP 與 server 2003 r2 也都可以安裝

請勿開啟控制台的snmp功能

3.3.13

SNMPv3設定

在Ubuntu底下設定SNMPv3 , 用的是net-snmp的指令
SNMP這個協定 , 一般用來監測網路設備 , 以方便管理
一般大眾用的都是V1 ,V2的版本 , 這兩個版本並無加密機制
如果有人惡意在捕捉網路封包 , 區網架構將會有洩密之虞
所以後來改進的第三版 , 加入了認證、隱私和存取控制的機制

28.2.13

23.2.13

COMODO Firewall V6 + 官方測試軟體CLI 介紹

其實windows的環境很多漏洞 , 所以才會要你用linux
防毒軟體... 這東東可以打趴一堆防毒軟體
昨天在windows環境下測試某些東東時 , 下載來裝 ,
我無言了...
這不會改為全自動了吧 , 不可以微調了嗎?
首頁怎麼沒有流量跟警告...我還是比較喜歡以前的首頁
現在的首頁 , 特別凸顯虛擬的功能 , 有虛擬網頁瀏覽器 , 虛擬桌面

21.2.13

Ulogd web介面 iptablelog-v0.9

Ulog 跟 iptables log analyzer的差異
Ulog會直接寫入資料庫
iptables log analyzer會先寫入syslog再寫入資料庫
apt-get install  ulogd ulogd-mysql                    //安裝
你可以安裝 mysql 或 mariaDB

在Ubuntu 12.04上安裝mariaDB 10.0"瑪莉亞資料庫"


19.2.13

將Isc-dhcp-server增加IPv6的配送(更新)

環境為Ubuntu 12.04 server
安裝
apt-get install isc-dhcp-server

vi /etc/default/isc-dhcp-server

INTERFACES="eth1"      //看你要用哪張網卡去配送ipv6的ip

有這兩個啟動檔
#/etc/init.d/isc-dhcp-server
#/etc/init.d/isc-dhcp-server6
但設定檔只有
#/etc/dhcp/dhcpd.conf

所以來建一個設定檔給ipv6用

Snort-web介面 BASE

這套件以前名稱是BASE , 現在改為ACIDBASE
系統要先有LAMP "Linux + Apache + MySQL + PHP"架構,加上Snort
在Ubuntu12.04下,安裝套件
apt-get install apache2 php5

安裝                    //網路上的參考文件很多,所以講重點

15.2.13

在Ubuntu 12.04上安裝mariaDB 10.0" or "mariaDB 5.5"瑪莉亞資料庫"

引用維基的資料
MariaDBMySQL的一個分支,主要由社區在維護,採用GPL授權許可。開發這個分支的原因之一是:Oracle公司收購了MySQL後,有將MySQL閉源的風險,因此社區採用分支的方式來避開這個風險。

MariaDB的目的是完全兼容MySQL,包括API和命令行,使之能輕鬆成為MySQL的代替品。在存儲引擎方面,使用XtraDB來代替MySQL的InnoDB

MariaDB由MySQL的創始人Michael Widenius主導開發,他早前曾以10億美元的價格,將自己創建的公司MySQL AB賣給了SUN,此後,隨著SUN被Oracle收購,MySQL的所有權也落入Oracle的手中。

Ubuntu.1204 + Ulogd 紀錄iptables的log

apt-get install mysql-server ulogd ulogd-mysql                    //安裝

mysql -u root -p                                            //進入資料庫
create database ulogd;                                   //建立ulogd資料庫

cd  /usr/share/doc/ulogd/                                   //切換到資料表的目錄
mysql -u root -p ulogd < mysql.table                    //匯入資料表

vi /etc/ulogd.conf                                               //編輯ulogd.conf

21.1.13

建構一台Botnet-IDS(單純分析殭屍網路"Botnet")

教育學術網路系統安全與惡意程式偵測技術研發建置計畫
教育部的一個計畫 , 建構一台Botnet-IDS(單純在分析殭屍網路Botnet)
這要架在內部與其他功能的IDS搭配
教育部的snort.conf是Windows的
所以要稍微修改一下snort.conf

架設平台___Ubuntu12.04 + Snort2.8.5.2

5.1.13

Raspberry Pi 的教育手冊

The manual is released under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 unported licence, which is a complicated way of saying that it’s free for you to download, copy, adapt and use – you just can’t sell it.

You’ll find chapters here on Scratch, Python, interfacing, and the command line. There’s a group at Oracle which is currently working with us on a faster Java virtual machine (JVM) for the Pi, and once that work’s done, chapters on Greenfoot and Geogebra will also be made available – we hope that’ll be very soon.

We want to say an enormous thank you to the whole CAS team, especially Andrew Hague, who corralled everything (and everyone) together as well as editing much of the document and writing a couple of the chapters. Thanks also to the team at Publicis Blueprint (beware! This link autoplays some video), who did more copy-editorial, production and typesetting work, all on a volunteer basis. Thank you to Graham Hastings, Michael Kölling, Ben Croston, Adrian Oldknow and Clive Beale, who wrote chapters of the manual; thank you to Bruce Nightingale, Brian Starkey and Alan Holt for the digital content. And thank you to the army of CAS members who worked so hard on reviewing and proofreading everything. Everybody who worked on this manual gave freely of their own time to make it happen, and we’re very, very grateful to you all.

The manual itself? It’s brilliant, and we think you’ll find it really useful. Head over to the Pi Store from your Raspberry Pi’s desktop to download a copy directly to your Pi, or, if you don’t have a Raspberry Pi, download it here.

2.1.13

卡巴斯基實驗室針對2013年的資安預測


Security forecast for 2013

The end of the year is traditionally a time for reflection – for taking stock of our lives and looking to the future. So we’d like to offer you our forecast for the year ahead, looking at the key issues that we believe are likely to dominate the security landscape in 2013. Of course, the future is always rooted in the present, so our security retrospective, outlining the key trends of 2012, is a good starting-point.

1.1.13

Ubuntu1204 + Bro-IDS 2.1

apt-get install                                           //安裝相關套件
libncurses5-dev 
g++ 
gcc 
bison 
flex 
libmagic-dev 
libgeoip-dev 
libssl-dev 
build-essential 
python-dev 
libpcap-dev 
cmake 
swig2.0 
libssl0.9.8 
make

下載Bro-IDS安裝
wget http://www.bro-ids.org/downloads/release/bro-2.1.tar.gz           //下載
tar zxvf bro-2.1.tar.gz                                        //解壓縮
cd bro-2.1                                                         //切換目錄
./configure                                                         //編譯
make
make install                                                      //安裝

/usr/local/bro                                                   //安裝預設目錄

/usr/local/bro/bin/broctl                                   //執行broctl
[BroControl] > install                                      // 產生預設腳本
[BroControl] > start                                        //啟動






CentOS 6.3 + Firestorm NIDS 0.5.4 //模組,rules更新

rpm -q libpcap                                                       //-q 查看 libpcap版本 //-e 移除 libpcap版本
rpm -e libpcap                      //firestorm-0.5.4支援libpcap-0.6.2版,如不對請重新安裝
rpm -ivh
ftp://ftp.pbone.net/mirror/archive.download.redhat.com/pub/redhat/linux/7.3/en/os/i386/RedHat/RPMS/libpcap-0.6.2-12.i386.rpm                                        
//安裝libpcap-0.6.2-12.i386.rpm  
rpm -ivh  http://www.scaramanga.co.uk/firestorm/v0.5.4/firestorm-0.5.4-1.i386.rpm
//安裝firestorm-0.5.4-1.i386.rpm
find / -name firestorm                                           //查看系統內的firestorm相關資料夾

下載snortrules-snapshot-2945.tar.gz
解壓縮後,將so_rules/precompiled/RHEL-6.0/i386/2.9.4.5/裡面全部的.so都複製到
/usr/lib/firestorm/protocols/
將rules裡面的全部.rules都複製到                          
/var/lib/firestorm/snort-rules/
編輯/etc/firestorm.conf
將新規則打入到最後一行  

/etc/rc.d/init.d/firestorm restart    //重新啟動