linux入侵检测经验一则
素包子
今天在折腾64位linux localroot本地提权exp的时候,发现成功提权之后(具体哪个exp有兴趣的同学自己去验证),dmesg信息里会出现PPP generic driver version 2.4.2这条信息。如果你知道这个信息本应该在啥时候出现的话,就可以判断在一个生产系统里出现这个信息绝大多数是异常的。另外在提权失败的时候,还会有一些其他印迹。
HIDS的设计需要足够灵活以加入这个逻辑。
搞嘿嘿同学们也注意了,擦脚印得擦的干净些,清理dmesg的命令是dmesg -c,得到root之后才有权限 :)
没有相关文章
- 上一篇:Bo-Blog XSS跨站漏洞
- 下一篇:美印恶炒中国有30万网络军 鼓吹威胁论
相关文章
图文推荐
-
在CentOS6.x下安装Compiz——桌面立方体,特效种种
-
利用U盘安装windows7
-
sqlserver查询数据可编辑方法
-
Android RoboGuice使用指南(7):@Provides Methods
- 文章
- 推荐
- 热门新闻