配置ssh密钥

1
2
3
4
5

git>ssh-keygen -t rsa -C "xxxxx邮箱@qq.com"
Linux 系统：~/.ssh
Mac 系统：~/.ssh
Windows ：C:\Users\username\.ssh
最后把公钥id_rsa.pub的内容添加到 GitHub

常用命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

创建分支
git branch dev
git checkout dev

本地分支推送到远程
git push origin dev

删除分支
git branch -d <BranchName>

删除远程分支
git push origin --delete <BranchName>

查看远程分支
git remote -v

添加远程仓库（自己的远程仓库或上游仓库）
git remote add upstream  https://gitee.com/liqianglog/django-vue-admin.git
删除远程仓库
git remote remove upstream

将本地更新推送到远程分支
git add .
git commit -m "update"
git pull origin master
git pull origin master --rebase  //优化日志

# 关联 远程分支 Branch 'gh-pages' set up to track remote branch 'gh-pages' from 'origin'.
git pull简化拉取

git branch --set-upstream-to=origin/gh-pages gh-pages

台湾景色。

因需要批量对域名的端口进行扫描后进一步渗透，其他扫描工具域名和ip无法对应，测试起来比较麻烦，因此写了个工具将nmap的xml扫结果处理为csv，csv结果文件字段有：主机名,ip,端口,状态,协议,服务,版本,操作系统类型,其他信息。扫描结果清晰易于管理，方便进行下一步渗透测试。

0x00 前言

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。

针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些Linux服务器入侵排查的思路。

0x01 入侵排查思路

一、账号安全

基本使用：

1、用户信息文件/etc/passwd

1
2
3
4

root:x:0:0:root:/root:/bin/bash
account:password:UID:GID:GECOS:directory:shell
用户名：密码：用户ID：组ID：用户说明：家目录：登陆之后shell
注意：无密码只允许本机登陆，远程不允许登陆

客户让我帮忙找一个2018年网络安全宣传周的宣传视频，我用了爱剪辑进行编辑(专业软件pr没装上。。。)，自己研究了一个使用图片覆盖的方法把视频中的文字修改了，因为爱剪辑会带上首尾各6s的版权，网上查找资料后找到两种快速的方法进行切割。到此又学了一项技能。。。

工具

ffmpeg.exe

moviecat.py

1
2
3
4
5
6
7
8
9
10
11
12
13
14

# -*- coding: utf-8 -*-
# 切割视频首尾
# 先安装moviepy模块
# moviecat.py

from moviepy.editor import *

clip=VideoFileClip("test.mp4")

total = clip.duration

new_clip = clip.subclip(6,total-6)

new_clip.to_videofile("output.mp4")

由于安全运维需要，电脑需要长时间开机，方便在家中远程处理问题，但客户wifi和有线经常断线，重连即可，因此网上找了这个脚本改为支持py3，并支持有线，再也不怕断网了。一两年前的脚本了，现在收藏起来吧，需要的人拿走！

0x00 前言

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。

常见的应急响应事件分类：

web入侵：网页挂马、主页篡改、Webshell

系统入侵：病毒木马、勒索软件、远控后门

网络攻击：DDOS攻击、DNS劫持、ARP欺骗

17、18年安全高危漏洞频发，每天人工检查各个网站高危漏洞报告比较麻烦，我想到这个思路，与同事沟通后共同写了这个简单的脚本，每天定时爬取cnvd重大安全通报的漏洞，利用smtp服务器发邮件提醒！使用selenium webdriver 防止被反爬虫屏蔽。同理可后续可扩展其他网站。

nessus是一个漏洞扫描软件,可扫描web、主机等。其安装完成后会自动升级版本和插件库，在线升级会比较慢，可使用离线安装升级。

1.注册、下载、安装

注册Nessus家庭版激活码，获取软件下载链接
http://www.tenable.com/products/nessus-home
邮箱获取activation code，下载并安装，默认安装即可，安装到输入激活码时，按下面步骤在命令行中进行。

2.获取challenge code（机器码）

1
2
3
4
5
6
7

C:\Program Files\Tenable\Nessus>nessuscli fetch --challenge

Challenge code: d51cc6c47f41b8381d92b8261b50512b9974db8c

You can copy the challenge code above and paste it alongside your
Activation Code at:
https://plugins.nessus.org/v2/offline.php

3.获取nessus.license激活文件和all-2.0.tar.gz离线升级包

浏览器打开https://plugins.nessus.org/v2/offline.php，粘贴challenge code 和activation code（邮箱获取）到这里，提交跳转到一个结果页面获取到all-2.0.tar.gz离线升级包下载地址和nessus.license文件（最下面）。

4.开始激活

1
2
3

C:\Program Files\Tenable\Nessus>nessuscli fetch --register-offline nessus.licens
e
Your Activation Code has been registered properly - thank you.

5.开始升级

nessuscli update all-2.0.tar.gz

1. 背景

由于网络安全法要求信息系统运营单位的网络日志保留时间不低于6个月，在信息安全等级保护中也有相应要求，日志记录的保存也是执法检查部门近年的关注的重点，原因即是为了安全事件的事后追查，因此信息系统产生的各种日志必须进行安全的保存，规避违法违规风险，尽到作为信息系统运营单位安全保护责任。因本人在某政府单位驻场安全运维，该单位没有日志系统，因此我决定使用著名的ELK日志系统搭建了日志系统，用于收集全网日志，包括网络设备syslog、操作系统syslog、apahce、tomcat、iis、was、weblogic等。但ELK日志系统默认是没有认证功能的，默认情况下日志存储安全是无法保证的，ELK自身的漏洞也可能增加风险，很多人忽略了这一点，网上也没有文章强调认证。本文中我采用了nginx进行代理认证，安全认证也是本文的重点，写此文也是希望用自己的实验成果能帮到需要的人，提高安全管理人员安全意识。

2. 运行环境

windows 2008 R2 两台作为日志系统服务端， 安装Elasticsearch 5.6.9、Logstash 5.6.9、Nginx1.14.0、JDK1.8+。

centos 6.9 一台作为日志系统客户端，安装filebeat 5.6.9

3. 方案

filebeat：
作为客户端采集
网站A 网站B….的apache、tomcat、nginx等中间件log文件,并配置tags（用于区分日志类型）和fields:service（用于区分日志来源网站建立不同索引）参数，不使用logstash作为客户端的原因是logstash太占用资源了，还需要java环境。filebeat接收syslog和filebeat发来的日志在filter中根据tags类型格式化，在output中根据fields:service配置索引输出到Elasticsearch不同网站建立不同索引。客户端不会直接请求Elasticsearch的9200端口，确保安全。

Elasticsearch：
安装到windows服务器，作日志存储处理，所在服务器开启防火墙。