attacks – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

سپتامبر 26, 2018

حملات – محتویاتی که در واقع وجود ندارد

من سرور سرور nodejs که در زیر pm2 اجرا می شود (PM2 یک مدیر فرآیند است). و امروز از آبی، برنامه سقوط کرد و چند بار در 2-3 دقیقه دوباره راه اندازی شد. بنابراین من به logs pm2 نگاه کردم تا ببینم چرا، و من عجیب ترین اشتباهات را دیدم. مانند خطاهای دستورالعمل، و در کنار آنها، کد را مشاهده کردم که واقعا در اسکریپت نبود. به عنوان مثال از دست رفته semicolons، و یا { به جای ((19459004). یا خطاهای در ماژول های من استفاده می شود و غیره سپس بعد از 3 دقیقه همه چیز به طور طبیعی اجرا می شود.


 آیا این می تواند نشانه ای از هک سرور باشد؟ یا خرابی RAM یا چیز دیگری؟




		
		نوشته‌شده در سپتامبر 5, 2018
نرم افزارهای مخرب – (به معنای واقعی کلمه) سبک ترین راه برای اجرای یک سیستم امن دوم چیست؟
	


	
	
		

 هدف من این است که دو سیستم جداگانه داشته باشیم که یکی امن باشد حتی اگر دومین بدافزار باشد. رویکرد فعلی من این است که دو لپ تاپ جداگانه داشته باشیم و تنها راهی که این دو با یکدیگر ارتباط برقرار می کنند، ارسال پیام های متنی (بدون فایل) به یکدیگر از طریق ایمیل است – این نوع حداقل ارتباطات متن مبتنی بر ضرورت است. 
 من خیلی سفر می کنم و فکر می کنم که چگونه می توانم بسته خود را روشن کنم. 
 گزینه 1: از آنجایی که SSD را در لپ تاپ قدرتمند تر آسان است، می توانم به راحتی دو درایو SSD (یکی با سیستم امن و دیگری با سیستم امن تر) حمل کند. چیزی که من فکر می کنم می دانم: این دو درایو RAM و BIOS را به اشتراک می گذارند. آنها همچنین دستگاه های ورودی، صفحه نمایش و تعدادی از دیگر ماژول های سخت افزاری را به اشتراک می گذارند اما حدس می زنم که در اینجا کمتر مورد توجه است. آیا من چیزهای زیادی را در اینجا مشاهده کردم؟ 
 گزینه 2: همان گزینه 1 است، اما من می توانم از یک چوب USB به "سیستم عامل امن" بوت کنم، در حالی که هارد دیسک سخت تر هنوز وصل شده است. ارائه یک سطح از امنیت؟ 
 گزینه 3: همان گزینه 1، اما من همچنین می توانم RAM را نیز تعویض کنم. 
 گزینه 4: اجازه دهید یک تمشک برای استفاده از صفحه نمایش و دستگاه های ورودی لپ تاپ من بدون "گرفتن در تماس "با RAM، هارد دیسک و غیره از لپ تاپ من. آیا این امکان وجود دارد؟ 
 پرسش های من عبارتند از: 
 a) گزینه دیگری وجود دارد؟ کدام گزینه بهترین تعادل بین امنیت، صرفه جویی در وزن و حداقل (یک بار و در حال انجام) را فراهم می کند؟ 
 b) برای گزینه ای که پیشنهاد می کنید: سوراخ امنیتی باقی مانده چیست؟ چگونه حمله نادرست / دشوار می شود و چگونه سطح امنیتی را با امنیت پایه موجود مقایسه می کند ("سیستم امن" آنلاین است و ایمیل های مبتنی بر متن کمتر از سیستم امن دریافت می کند – نمی توانم این را تغییر دهم)؟ 

 
	


	



		
		نوشته‌شده در آگوست 17, 2018
تفاوت بین حمله سیل DNS و حمله تقویت کننده DNS
	


	
	
		

 DNS Flood 

 یک نوع حمله انکار سرویس توزیع شده (DDoS) در

  که مهاجم یک یا چند سیستم نام دامنه (DNS)

  سرورها متعلق به یک منطقه خاص، تلاش برای جلوگیری از حل و فصل

  سوابق منابع آن منطقه و مناطق زیر آن.

  Incapsula 

  DNS Flood 
 حمله DNS تقویت  

 در یک حمله تقویت DNS، تعداد زیادی از درخواست DNS ارسال می شود

  با یک آدرس آی پی جعلی به یک یا چند سرور DNS. بسته به

  در پیکربندی، این سرویس دهنده DNS یک پاسخ را به آدرس ارسال می کند

  آدرس IP که درخواست از آن ظاهر شد.

  SimpleDNS 

  DNS Diffusion DDoS Attack 
 اگرچه US Cert و CloudFlare هر دو تعاریف خوب دارند، احساس می کردم آنها ساده نیستند. با این حال، من آنها را به عنوان استناد به عنوان آنها شامل کارهای فنی. 
 حملات DNS سیل با استفاده از اتصالات پهنای باند بالا از دوربین های IP، جعبه های DVR و دیگر دستگاه های IOT به طور مستقیم غلبه سرورهای DNS از ارائه دهندگان عمده. حجم درخواست های دستگاه های IoT سرویس های ارائه دهنده DNS را کاهش می دهد و از دسترسی کاربران مشروع به سرورهای DNS ارائه دهنده جلوگیری می کند. 
 حملات انفجار DNS با حملات تقویت DNS متفاوت است. برخلاف سیل های DNS، حملات تقویت DNS، منعکس کننده و تقویت ترافیک از سرورهای DNS ناخواسته می شود تا منشأ حمله را پنهان کرده و اثربخشی آن را افزایش دهد. حملات تقویت DNS از دستگاههایی با اتصالات پهنای باند کوچکتر برای درخواست های متعدد به سرورهای DNS ناخواسته استفاده می کند. این دستگاه درخواست های کوچک زیادی را برای سوابق DNS بسیار بزرگ انجام می دهد، اما هنگام تهیه درخواست ها، مهاجم آدرس برگشت را به عنوان قربانی مورد نظر جعل می کند. این تقویت به مهاجم اجازه می دهد که اهداف بزرگتری را با منابع محدود حمله محدود کند. 

 
	


	



		
		نوشته‌شده در آگوست 1, 2018
حملات – می تواند کد جاوا اسکریپت در مرورگر توسط هکر تغییر یافته برای دسترسی به منابع غیر مجاز؟
	


	
	
		

 برنامه API Spring Boot در سمت سرور و برنامه VueJS در سمت سرویس گیرنده من وجود دارد. پس از ورود موفقیت آمیز، طرف سرور پاسخ JSON را ارسال می کند که شامل accountType با مقدار VIEW_GOLD یا VIEW_SILVER است، اگر accountType VIEW_GOLD باشد، کاربر برای مشاهده لیستی از شی GoldBar و به همین ترتیب مانند در این کد در سمت سرویس گیرنده VueJS: 
          اگر (response.data) {
             اگر (response.data.accountType === 'VIEW_GOLD') {

               $ this. $ router.replace ({name: 'GoldBars'})

             }
             else if (response.data.accountType === 'VIEW_SILVER') {

               $ this. $ router.replace ({name: 'SilverBars}}
            }

 سوال این است که آیا می توان یک دیدگاه هکر Goldbars زمانی که AccountType VIEW_SILVER با استفاده از مرورگر هکر مانند Tor


		
		نوشته‌شده در جولای 8, 2018
حملات – سیاهههای مربوط به Port Knock پیشنهاد می کند که دستگاه آسیب دیده است؟


 در دستگاه CentOS من، تمام پورت های من با قانون Iptables فیلتر می شوند: 
 DROP all - * 0.0.0.0/0 0.0.0.0/0

 بنابراین از اینترنت، هر وقفه بندر. 
 تنها راه برای ssh به دستگاه، این است که دنباله Port Knock را به صورت زیر انجام دهید: 
 6 xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 53853 recent: نام SET: طرف KNOCK1: منبع ماسک: 255.255.255.255 محدودیت: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 7 پیشوند "ssh port knocking 1"
7 xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 6663 recent: CHECK seconds: 15 name: KNOCK1 side: mask source: 255.255.255.255 recent: نام SET: KNOCK2 side: mask source : 255.255.255.255 حد: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 2"
8xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 96563 recent: CHECK seconds: 15 name: KNOCK2 side: mask source: 255.255.255.255 recent: نام SET: KNOCK3 side: mask source : 255.255.255.255 محدودیت: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 3"
9xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 77799 recent: CHECK seconds: 15 name: KNOCK3 side: mask source: 255.255.255.255 recent: نام SET: KNOCK4 side: mask source : 255.255.255.255 حد: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 4"
10 xx LOG tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: example 12263 recent: CHECK seconds: 15 name: KNOCK4 side: mask source: 255.255.255.255 recent: SET name: OPEN_SESAME side: mask source : 255.255.255.255 حد: avg 5 / min پشت سر هم 5 پرچم LOG 0 سطح 6 پیشوند "ssh port knocking 5"
11 x x ACCEPT tcp - * * 0.0.0.0/0 0.0.0.0/0 tcp dpt: مثال SSH REAL PORT وضعیت جدید، مربوط، ایجاد شده اخیر: CHECK ثانیه: 15 نام: OPEN_SESAME سمت: منبع ماسک: 255.255.255.255
12 x x ACCEPT همه - * * 0.0.0.0/0 0.0.0.0/0 دولت مرتبط، ایجاد شده

اکنون در سیاههها بررسی میشوند، هر بار من توالی بندر را تغییر میدهم، در logqlog log پیدا میکنم که یک تلاش برای آن پورت نمونه خاص دست کشیدن 1، دست کشیدن 2 … و غیره ساخته شده است. [19659002] kernel: ssh port knocking 1 IN = eth0 OUT = MAC = example MAC SRC = IP مهاجم همیشه همان DST = IP من LEN = 60 TOS = 0x00 PREC = 0x00 TTL = 48 ID = xxxx DF PROTO = TCP SPT = منبع DPT = ** هر کدام از من انتخاب کنید ** پنجره = 29200 RES = 0x00 SYN

هیچ پله ای برای هر پورت دیگر و هیچ پروب دیگر وجود ندارد.

به نظر می رسد که هر زمان که من آن را تغییر دهم، مهاجم متوجه دنباله می شود.

از آنجا که هیچ گونه ورودی دیگر برای هر گونه تلاش دیگر وجود ندارد، و نظارت بر tcpdump نشان می دهد هیچ پروب انجام نمی شود، ایمن است فرض کنید مهاجم می داند دنباله ای به دلیل دستگاه آسیب دیده است و او می شود اطلاعات هر زمان من آن را تغییر دهید؟