發生好几次電腦大量封包的傳輸

netflow的值都在几萬甚至几十萬

以往的做法都是先把ip block掉

等user自己來反應

但醬沒辦法在事發的當時撈到相關資料

到底是那個程式造成的

最近找到

LiveTcpUdpWatch

這個工具

就可以在 eset protect 上直接派送到電腦上執行並傳回資料

馬上就可以知道是那支程式造成的 資料撈回來後再把ip block掉

相當方便

程式如下

curl -o %temp%\LiveTcpUdpWatch.exe http://10.0.0.1/LiveTcpUdpWatch.exe

%temp%\LiveTcpUdpWatch.exe /CaptureTime 300000 /scomma "%temp%\tcpudp.csv"

ping -n 310 localhost > NUL

curl -u id:passwd -T "%TEMP%\tcpudp.csv" ftp://10.0.0.2/

https://www.nirsoft.net/utils/live_tcp_udp_watch.html

https://www.nirsoft.net 這個站裡的工具都很好用

一直有user反應收信時間會delay的問題

因為之前把greylist打開

目前的想法是分成上下班時段

上班關掉 下班再打開

試一段時間看看

指令如下

/usr/bin/pmgsh set /config/mail -greylist 0

/usr/bin/pmgsh set /config/mail -greylist 1

https://pmg.proxmox.com/pmg-docs/pmgsh.1.html

為了要測試siem

需要起 snmptrap

找了二個方法

第一個方法是直接用 zabbix_trap_receiver.pl

但有問題起不來

https://zhuanlan.zhihu.com/p/426390981

第二個方法是直接改 /etc/snmp/snmptrapd.conf

內容如下

# Example configuration file for snmptrapd

#

# No traps are handled by default, you must edit this file!

#

disableAuthorization yes

authCommunity   log,execute,net public

[snmp] logOption s 2

[snmp] logOption f /tmp/snmptrapd-direct.log

format2 %V\n% Agent Address: %A \n Agent Hostname: %B \n Date: %H - %J - %K - %L - %M - %Y \n Enterprise OID: %N \n Trap Type: %W \n Trap Sub-Type: %q \n Community/Infosec Context: %P \n Uptime: %T \n Description: %W \n PDU Attribute/Value Pair Array:\n%v \n -------------- \n

systemctl restart snmptrapd

醬就可以了

今天要在一台新安裝的win11 上要更新winget時出現以下訊息

C:\Windows\System32>powershell add-appxpackage %temp%\Microsoft.DesktopAppInstaller_8wekyb3d8bbwe.msixbundle            add-appxpackage : 部署失敗，HRESULT 為: 0x80073CF3, 套件無法進行更新、相依性或衝突驗證。                                Windows 無法安裝套件Microsoft.DesktopAppInstaller_1.22.10661.0_x64__8wekyb3d8bbwe，因為此套件相依于找不到的架構。提供由 "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US"發行的架構"Microsoft.UI.Xaml.2.8"、中 性或x64處理器架構與最低版本8.2310.30001.0，以及要安裝的此套件。

注意: 如需其他資訊，請在事件記錄檔中尋找 [ActivityId] 1c4c5989-76a7-0000-05e8-511ca776da01，或使用命令列 Get-AppPackage

Log -ActivityID 1c4c5989-76a7-0000-05e8-511ca776da01

位於 線路:1 字元:1

+ add-appxpackage C:\Users\aaa\AppData\Local\Temp\Microsoft.DesktopApp ...

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    + CategoryInfo          : WriteError: (C:\Users\aaa\A...bbwe.msixbundle:String) [Add-AppxPackage], IOException

    + FullyQualifiedErrorId : DeploymentError,Microsoft.Windows.Appx.PackageManager.Commands.AddAppxPackageCommand

原因是因為沒有安裝 Microsoft.UI.Xaml.2.8

到github上去找最新版

https://github.com/microsoft/microsoft-ui-xaml/releases

目前是 2.8.6

下載安裝完再更新winget就沒問題了

今天撈 attack map 時出現以下訊息

這個plugin使用的方法要被官方終止支援了

官方提供了 geomap來取代使用

試了半天

圖就是出不來

後來才找到問題

fotmat這裡一定要選 Table

不然在右方的選項會找不到值

fortiet 如何在命令列踢掉 vpn user

首先列出目前所有連線 找出相對應的 index id

FG60F # execute vpn sslvpn list 

SSL-VPN Login Users:

 Index User Group Auth Type Timeout Auth-Timeout From HTTP in/out HTTPS in/out Two-factor Auth

 1  a1234  sslvpn-group-full-tunnel 16(1) 295 28501 192.168.12.12 0/0 0/0 0

SSL-VPN sessions:

 Index User Group Source IP Duration I/O Bytes Tunnel/Dest IP 

 1  a1234  sslvpn-group-full-tunnel 192.168.12.12  299 324697/1609215 172.17.0.51

執行以下指令刪除要踢掉的 id

FG60F # execute vpn sslvpn del-tunnel 1

如何使用 sshpass在sudo時自動輸入密碼

範例如下

sshpass -p "passwd" ssh user@10.0.0.1 "echo passwd | sudo -S apt -y upgrade"