使用chkrootkit系統安全工具

張貼者： yugu | 於 晚上10:39:00 |

一個好用的安全性檢查工具 chkrootkit 執行它可快速檢查可疑的程序、後門、rootkit...等等，是一個非常有效率的安全管理工具。

至於如何執行它，我們通常就在終端機輸入像是這樣：
$sudo chkrootkit
可檢查可疑的二進位檔
$sudo chkrootkit -x |more
路徑內的系統命令
$sudo chkrootkit -x |egrep'^'

當發現系統已中rootkit木馬，這時就很難處理，因系統已無法信任得重新安裝系統。

更多的chkrootkit使用說明、訊息以及用法，在chkrootkit官方網站README這個網頁。

關於CEH認證的延伸

張貼者： yugu | 於 凌晨3:27:00 |

ibm BlackICE 防火牆 有需要的可以去看看 限微軟
http://www.iss.net/blackice/update_center/index.html

ISS Bookstore
http://xforce.iss.net/xforce/bookstore/

Penetration Testing
http://www.mile2.com/Certified_Penetration_Testing_Specialist_CPTS.html

台灣在2004年已有一人取得國際級OPST證照，而且謹此一位
http://www.isecom.org/verify_people/

Ethical Hacking: Security Testing and Certified Ethical Hacker
http://www.infosecinstitute.com/courses/ethical_hacking_training.html
http://www.infosecinstitute.com/courses/advanced_ethical_hacking_training.html
http://www.sans.org/training/description.php?tid=243&portal=9344cfd719cfd521d0989f10a2d12045
好贊的上課內容阿

關於CEH國際認證
http://www.intenseschool.com/boot_camp/network_security/professional_hacking
http://www.securityuniversity.net/classes_CEH.php

Foundstone now McAfee 限微軟
http://www.foundstone.com/us/resources-free-tools.asp

以上連結來源
http://www.networkintrusion.co.uk/hacking.htm
http://www.linux-sec.net/hacking_tools.gwif.html

UNIX真的安全嗎？

張貼者： yugu | 於 晚上11:56:00 |

說真的英文不好在study過程中，挫折非常大，資料及一大堆的文件雖然都有，但往往因為英文閱讀能力不足產生無力感，只能望而卻步阿。

如果是一般的網頁文件可以透過翻譯工具進行翻譯，但如果是一些應用程式、配置檔、說明文件等，非得把它寫下來或者把它複製進行翻譯，才得已消化吸收，似乎語言也磨了許多使用者寶貴的時間，筆者抑是如此。

這幾天閱讀新買的書，書名是《UNIX與INTERNET安全防護-系統篇》由台灣歐萊禮出版。自認是一位非常初學的unix使用者，閱讀此書有非常大的收穫，由簡單的概念漸漸變得複雜，而複雜的概念正是在說明使用者與使用者之間，排除使用者之外有個天神，它權利無比大，它就住在你的系統裡，當你需要它的時候下個su、sudo、passwd就可與它相見，但你得小心翼翼的操作命令，且切換使用者請記得有位root的存在，操作不當都可能因此把系統搞壞搞砸阿！

談到這個系統安全簡單的說，關鍵還是在於使用者。舉個例子：小熊買了一台bmw m3來駕駛，小熊非常了解bmw m3的一些性能及優點，因此他認為這台車非常安全且非常快；但另一位開了一台向別人借來的賓士溜溜，大家都知道賓士很安全，但駕駛者本身並不清楚車況認為賓士安全結構比bmw好上太多，所以它開很快也不怕撞車。

以上故事純屬虛構，比喻的不好請見諒：（

有經驗的使用者絕不會忘了設嚴謹的密碼、更不會笨到每個帳戶、密碼都同一個，除非你電腦裡的機密資料都無關痛癢。

總之，在這本書裡簡單的部份在簡介、使用者的責任、策略方針、密碼。小弟只讀完以上內容，接著就開始動腦的時間囉！

也因為這本書，才曉得微軟公司當初是因為unix標準不一，讓許多廠商猶豫不決，這時微軟及一家某公司合併了兩者的優點產生第三版unix叫Xenix。

note
帳號管理-passwd文件在/etc/passwd
通常只有root擁有uid為0的帳戶，如果看到其他不認識的使用者名稱uid是0時，你就得懷疑系統已遭入侵。

如何學習linux操作系統？下載各命令的說明文件，打開套件管理程式點選文件。
各個linux發行版本命令不盡相同，因此學習最有效的方法就是都可通用的，而應用方面我們需要查看該命令或套件的說明檔，假如沒有我們可以下載並安裝它，通常這類幫助文件位在檔案系統中的/usr/share/doc位置。

建立一個test帳號的環境，需要注意到的地方及權限安全的操作流程。
line feed 換列字元
uulink 切斷目錄中檔案與inode號碼間連線。 注意：請小心使用

延伸閱讀
UNIX Tutorial
http://www.tech-faq.com/unix-tutorials.shtml

張貼者： yugu | 於 凌晨3:36:00 |

Continuation study
The First Ten Steps to Securing a UNIX Host
http://people.arsc.edu/~lforbes/cug/HHPaper.html
http://www.linux-sec.net/hacking_tools.gwif.html
http://wiki.linuxquestions.org/wiki/Security

$lastlog -b 6
顯示過去6天以來系統login資訊

freecdb
可以自己建立一個屬於自己的搜尋引擎、用戶端的個人資料庫套件

如果遇到不能更新套件時，可使用文字命令
sudo apt-get -f -y upgrade
意思就是遇到錯誤也繼續升級

sudo apt-get -f -y dist-upgrade
遇到錯誤也繼續版本升級

sudo dpkg --configure -a

MS06-001駭客實作-01
http://tw.youtube.com/watch?v=DT7SUka7J-s

Hacker TV
http://www.youtube.com/watch?v=QgMOSB5yg_4

Pizza Party (Unix)
http://www.youtube.com/watch?v=x7pPajOvQGo
這是真的嗎？還是噱頭？

LPI - Exam Emulation
http://www.linux-praxis.de/lpisim/lpi.html

有道德駭客 （新聞）

張貼者： yugu | 於 晚上10:20:00 |

暫且不談電腦使用的技術問題，衝網的過程中發現此一有趣的新聞，新聞來源源自中時電子報

一位通過國際電子商務協會ＣＥＨ（Certificate Ethic Hacker，有道德駭客）認證考試的國內電腦工程師表示

小弟實在「班門弄斧」註1 頭一次見識到國內擁有如此人才，如不是看了這個新聞還真....
假如真的可以報名參加網軍，我想門檻也有一定的程度，zuso的ik大大應該會很有興趣才是。

註：
「班門弄斧」一詞是小弟特別翻《每日一辭》查成語，只有這句成語比較接近小弟突然想不起來的成語表態。班門弄斧的意思就是說「對著專門家誇示自己本領的人，都譏笑他是班門弄斧」。而另一種相反的方法也可以這樣用：有時拿出自己作品向別人求教的時候，也可引用這一句成語，作為自謙的說話。

我好像中LKM

張貼者： yugu | 於 晚上10:21:00 |

Bastille Hardening Assessment Report
http://bastille-linux.sourceforge.net/Reporting/assessment-report.html
簡介：bastille 系統安全管理套件對話式的全英文需要英文能力較好的幫忙翻一下，否則真的不會設定。
相關文件
http://www.friendschat.idv.tw/xoops/modules/weblog/details.php?blog_id=58

偵測 Hack入侵...不可不知的小技巧 !!!
http://phorum.study-area.org/viewtopic.php?t=8454

rootkit 自我檢查法
http://linux.tnc.edu.tw/techdoc/check-rootkit-by-u-self.htm

sudo chkrootkit時發現：
Checking `lkm'... You have 1 process hidden for readdir command
You have 1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `wted'... chkwtmp: nothing deleted
Checking `z2'... chklastlog: nothing deleted
相關文件
http://linux.ccidnet.com/art/302/20070208/1020351_1.html
http://www.linuxpk.com/35887.html

回想過去的使用經驗有幾點是可能感染的預測但不敢確定，因前陣子有重灌過os包括灌了windows但沒網路，灌windows主要是釐清usb的問題。灌好ubuntu後（有連網）緊接著就是幾小時的系統更新，在此步驟我卻沒有去建立系統指紋加固系統安全，再來是我真的不知道也不確定不需要的服務及port關閉的流程及確認的動作，然後膽顫心驚的連網了，看到更新圖示後就是好幾個小時的更新，途中利用時間開firefox只瀏覽安全的adds瀏覽擴充元件的網站，下載xpi擴充及google的xpi。

也許是沒做好系統加固上的保安，但我也已經很小心了。另外一點也懷疑是否nvidia-glx驅動的問題，或者前些時候安裝了某自動套件的升級包（程式名忘了怎麼拼）那個時候它要我輸了密碼我就覺得很困惑，以上是我中毒感言請勿以身試法。

URI安全性弱點

張貼者： yugu | 於 晚上7:36:00 |

about browser URI（Uniform Resource Identifier）安全性弱點，如未修補此漏洞，攻擊者可藉由超連結來存取您的電腦。

在IE瀏覽器上開發者為了讓使用者方便，可以直接在網址列上輸入應用程式名例如輸入aim:goim 或者pidgin:go等等，如沒修補此漏洞的話可以很輕鬆的在瀏覽器上直接呼叫應用程式或者是未知的應用程式，這樣一來它並不會詢問使用者是否要開啟。

firefox 使用者過去曾有修補的包以可解決這種問題，當你使用firefox瀏覽時，在網址列同樣輸入aim:goim 它至少會詢問你如何處理是否要開啟？

via solidot

建構安全的linux作業系統概要

張貼者： yugu | 於 晚上7:47:00 |

一次linux肉雞入侵檢測
http://xsec.org/index.php?module=Releases&act=view&type=3&id=25

讓你的linux桌面更安全
http://xsec.org/index.php?module=Releases&act=view&type=3&id=28
使用pax

ip tunnel
http://vtun.sourceforge.net/

目標：
建構安全的linux作業系統，但範圍太廣＝ ＝
配置嚴謹的SELinux

todo：
rfc文件太厚且都是e文，需規劃一些時間大略看完。
了解系統及套件的作業方式，但需要很多時間XD

firewalls相關配置工具

張貼者： yugu | 於 下午2:18:00 |

firewalls相關配置工具「shorewall」套件，這是幫助文件，這是套件簡介說明

感覺很難，e文又這麼破 唉

http://wiki.debian.org/Firewalls

tripwire系統稽核工具

張貼者： yugu | 於 上午11:44:00 |

tripwire 簡易安裝指南
http://www.rtfiber.com.tw/~changyj/linuxtips/html/tripwire-easy.html
系統稽核工具

Tripwire安裝
http://blog.longwin.com.tw/archives/000005.html

Tripwire 系統指紋比對系統！
http://www.adj.idv.tw/phpBB2/viewtopic.php?p=189&sid=88053850eb56956b56f49cc4348734fe


Learning Notes：
ubuntu套件管理程式搜尋tripwire，安裝過程設置密碼分別為：
site pass phrase（加密twpol.txt及twcfd.txt用）;
另一個密碼選項是local pass phrase（加密指紋資料庫用）
兩個密碼選項共輸入兩次加以確認。

twcfg.txt：可用來設定tripwire工作環境
twpol.txt：指定tripwire對哪些檔案進行監控

DBFILE為指紋資料庫檔名
REPORTFILE為檢測報告檔

以下以root終端為例，或者也可以使用sudo方式
#tripwire m i /*建立指紋資料庫*/
#tripwire -m c --interactive /*檢查並更新指紋*/

rm [file] /*是移除檔案命令*/

張貼者： yugu | 於 晚上11:19:00 |

Building Kernel (Debian)
http://tw.myblog.yahoo.com/zuso-cfc/article?mid=53&prev=55&next=38&l=f&fid=5
如何編譯內核？

Linux的NAT架設
http://tw.myblog.yahoo.com/zuso-cfc/article?mid=33&prev=36&next=13&l=f&fid=5
需兩張網卡

irc頻道的玩法
http://www.chatkey.com/help/irc_train.htm
一些命令的使用

關於密碼的設置
http://www.chatkey.com/help/irc_password.htm
數位資料防護的基本

IRC
http://zh.wikipedia.org/w/index.php?title=IRC&oldid=4375967
今日wiki

關於User Agent

張貼者： yugu | 於 晚上11:38:00 |

Resolution : 800*5000

Domain Name 你家就是我家

ISP Unknown

Location 火星

Language 火星文

Operating System Unknown

Browser Unknown

Javascript Unknown

如果可以這樣的話真是太屌了 xd

哈，終於得到了驚人的發現。

當我們在網路上衝浪必定會在網際網路上留下身份，而這個身份就與匿名瀏覽有所牴觸。站長們如果都有在使用計數器多少會觀察使用者瀏覽情形，因此某些使用者或許較注重隱私，但我們該從何處著手？

user agent（使用者代理人）是其中一種方法，畢竟它顯示的包括使用者os、瀏覽器規格、國家等等資訊，如果還不懂什麼是user agent可以拜訪wiki的解釋，非常詳盡該有的統統有了，因此我不在詳述。

在此順便推薦firefox 擴充元件user agent switcher。

相關連結

使用Rootkit Hunter掃毒

張貼者： yugu | 於 上午10:22:00 |

使用Rootkit Hunter掃毒
顧名思義它可以掃不容易被發覺的rootkit問題檔。
操作環境：Ubuntu 6.10edgy distribution
開啟apt套件管理 搜尋「rkhunter」
接下來您知道怎麼做了....

安裝完後開啟root終端機輸入並啟動Rootkit Hunter來掃描整個作業系統（基本）。

rkhunter [參數]
--checkall ＃或-c都可，是檢查整個系統且測試
--help ＃或-h都可，詢問指令的意思

via here

linux下防木馬套件

張貼者： yugu | 於 凌晨2:53:00 |

linux下防木馬套件
Moblock
安裝方法
作業系統ubuntu 6.10edgy
因相依性問題需要下載以下兩樣套件
libnfnetlink0_0.0.16_i386.deb（需註冊）
libnetfilter-queue1_0.0.12-0dapper1.1_i386.deb（需註冊）
以上這兩個打包手動下載回來安裝即可

然後才是下載Moblock且安裝它
打開apt套件管理程式 設定-套件庫-加入第三方
或者
把以下來源新增到/etc/apt/sources.list
deb http://moblock-deb.sourceforge.net/debian unstable main
deb-src http://moblock-deb.sourceforge.net/debian unstable main
讓它重新讀取後關閉它，於是在命令列新增gpg驗證鍵入
gpg --keyserver subkeys.pgp.net --recv DEDA0559
gpg --export --armor DEDA0559 | sudo apt-key add -
如此就可以安裝，接著終端機輸入
sudo apt-get update
sudo apt-get install moblock-nfq



參考：
防木馬軟體？at ubuntu 正體中文站討論串
Moblock (peerguardian linux alternative)at us ubuntu forums

後記：啟動它後，blogger（本格）就不能瀏覽了也許是google ads的關係吧！

個人隱私匿名化

張貼者： yugu | 於 晚上9:04:00 |

當我們的電腦連上網路時，很多時候我們根本不知道自個兒主機資訊被顯示出來！而主機資訊包括非常多的訊息：瀏覽器、電腦系統規格、Host Name、Javascript、IP Address、Cookies、螢幕解析、CPU class、所在城市等等，如果我們再加以細分可以追溯到許多資訊。

在分享的web2.0網路時代，我們得更加保護自身隱私。

您或許不想把自己的全名、住家地址、聯絡電話、所在地等等通通免費提供給陌生人吧！再說，這些隱私被你看光光時，不就像是「赤裸羔羊」？！

也許blogging更加加速人們對資訊安全的認知，或許也不在乎？反正網路是虛擬的？

在網路上有openid、電子錢包等重度個人隱私的資料，如使用不甚很容易把隱私給洩漏出去。

網路如同道路一般通往世界各地電腦，只需要一條網路線、一台電腦就可與世界搭上線（hello word）而IP Address如同你家地址。

那麼我們應該如何匿名化？工具很多只是會用與不會用的分別罷了，匿名化的工具舉例來說有tor、proxy，再搭配使用一些firefox add-ons來管理瀏覽行為。

另外，使用tor的好處是其網路匿名功能包含SOCKS v5，這是一般proxy所沒有的，真要讓tor安全的發揮匿名功效，所有通訊協定是需要更改的，當然開網頁的速度及一些功能是需要犧牲的。

另外還有一個好處就是可以看一般人看不到的網頁內容。

關於tor的下載安裝
ubuntu使用者可以打開「synaptic套件管理程式」搜尋tor執行套用即可，安裝過程它會一併幫你設定組態，如果搜尋不到表示沒有套件來源。

5/29更新 相關網頁（via here，and here）

延伸閱讀：
．有關網路攝影機的隱私
．無止盡的學習過程
．Ubuntu安全設定？

Zero-Day Attack

張貼者： yugu | 於 清晨5:48:00 |

兩則關於零時差攻擊:於大砲開講、資安之眼的報導.