服务器 Gind.cn

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器

我如何处理受损的服务器?

这是关于服务器安全的典型问题 – 响应违规事件(黑客) 也可以看看: 保护LAMP服务器的技巧 重新安装根妥协后? 规范版本 我怀疑我的一台或多台服务器受到黑客,病毒或其他机制的危害: 我的第一步是什么? 当我到达现场时,我应该断开服务器,保存“证据”,是否有其他初步考虑? 我怎样才能让服务恢复在线? 如何防止同样的事情再次发生? 有没有从这个事件中学习的最佳实践或方法? 如果我想共同制定一个事件响应计划,我会从哪里开始? 这应该是我的灾难恢复或业务连续性计划的一部分吗? 原始版本 2011.01.02 – 周日晚上9点30分我正在上class,因为我们的服务器已经被攻破,导致我们的供应商遭到DOS攻击。 访问互联网的服务器已经closures,这意味着超过5-600的客户端网站已经closures。 现在,这可能是一个FTP黑客,或者在某处代码的一些弱点。 我不知道,直到我到达那里。 我怎样才能快速追踪到这一点? 如果我没有尽快恢复服务器,我们会面临很多诉讼。 任何帮助表示赞赏。 我们正在运行Open SU​​SE 11.0。 2011.01.03 – 感谢大家的帮助。 幸运的是,我不是唯一负责这台服务器的人,只是最近的。 我们设法解决了这个问题,虽然它可能不适用于其他情况下的许多其他人。 我会详细介绍我们做了什么。 我们从networking上拔下了服务器。 在印度尼西亚的另一台服务器上正在执行(试图执行)拒绝服务攻击,有罪方也在那里。 我们首先试图确定服务器上的来源,考虑到我们在服务器上有超过500个站点,我们预计会有一段时间的出现。 但是,仍然使用SSH访问,我们运行了一个命令来查找攻击开始时编辑或创build的所有文件。 幸运的是,这个有问题的文件是在冬季假期创build的,这意味着当时在服务器上创build的文件并不多。 然后,我们能够识别ZenCart网站上传的图像文件夹中的有问题的文件。 经过短暂的rest后,我们得出的结论是,由于文件的位置,它必须通过一个file upload工具上传,而这个file upload工具并不安全。 经过一些Googlesearch之后,我们发现存在一个安全漏洞,允许在ZenCartpipe理面板中上传文件以获取唱片公司的照片。 (它从来没有真正使用过的部分),张贴这个表单只是上传了任何文件,没有检查文件的扩展名,甚至没有检查用户是否login。 这意味着可以上传任何文件,包括攻击的PHP文件。 我们在受感染的网站上使用ZenCart保护了这个漏洞,并删除了违规文件。 工作完成了,我在凌晨2点回家了 道德 – 始终为ZenCart或任何其他CMS系统应用安全补丁。 当安全更新发布时,整个世界都意识到了这个漏洞。 – 总是进行备份,并备份您的备份。 – […]

我们的安全审计员是一个白痴。 我如何给他他想要的信息?

我们服务器的安全审核员在两周内要求: 所有服务器上所有用户帐户的当前用户名和纯文本密码的列表 过去六个月的所有密码更改清单,再次以纯文本forms 过去六个月中“从远程设备添加到服务器的每个文件”列表 任何SSH密钥的公钥和私钥 每次用户更改密码时发送给他的电子邮件,其中包含明文密码 我们使用LDAP身份validation运行Red Hat Linux 5/6和CentOS 5。 据我所知,该名单上的所有内容都不可能或难以得到,但是如果我没有提供这些信息,我们将面临失去进入我们的支付平台,并在过渡时期损失收入,因为我们转向新的服务。 任何build议如何解决或伪造这些信息? 我能想到得到所有纯文本密码的唯一方法是让每个人重置密码并记下它们的设置。 这并不能解决过去六个月密码更改的问题,因为我无法追溯logging这类内容,logging所有远程文件也是如此。 获取所有公钥和私钥都是可能的(虽然令人讨厌),因为我们只有几个用户和计算机。 除非我错过了一个更简单的方法来做到这一点? 我多次向他解释说,他所要求的事情是不可能的。 针对我的疑虑,他回复了以下电子邮件: 我在安全审计方面有十多年的经验,并且对redhat安全方法有了充分的了解,所以我build议你检查一下你是否有可能做的事情。 你说没有公司可能有这方面的信息,但是我已经做了数以百计的审计,这些信息一应俱全。 所有[通用信用卡处理提供商]客户都必须符合我们的新安全政策,此审计旨在确保这些政策已正确实施。 *“新安全政策”是在我们审计前两周引入的,在政策变更之前不需要六个月的历史logging。 总之,我需要; 一种方法来“伪造”六个月的密码更改,并使其看起来有效 一种方法来“伪造”六个月的入站文件传输 一个简单的方法来收集所有使用的SSH公钥和私钥 如果我们的安全审计失败,我们将无法使用我们的卡处理平台(这是我们系统的一个关键部分),而在其他地方需要花费两个星期的时间。 我怎么拧? 更新1(星期六23日) 感谢所有的答复,这让我很欣慰,知道这不是标准的做法。 目前我正在计划我的电子邮件回复他解释情况。 正如你们许多人所指出的那样,我们必须遵守明确规定我们不应该有任何方式访问明文密码的PCI。 我写完后会发邮件。 不幸的是,我不认为他只是在考验我们。 这些东西现在都在公司的官方安全策略中。 不过,我已经把车轮开动起来,暂时离开它们进入Pay​​Pal。 更新2(星期六23日) 这是我草拟的电子邮件,任何build议添加/删除/更改的东西? 嗨[名字], 不幸的是,我们没有办法为您提供所需的一些信息,主要是纯文本密码,密码历史logging,SSH密钥和远程文件日志。 这些技术不仅在技术上是不可能的,而且能够提供这些信息既是违反PCI标准的,也是违反数据保护法的。 为了引用PCI要求, 8.4使用强大的encryption技术,在所有系统组件的传输和存储期间渲染所有密码不可读。 我可以为您提供我们的系统上使用的用户名和散列密码的列​​表,SSH公钥和授权主机文件的副本(这将为您提供足够的信息来确定唯一用户可以连接到我们的服务器的数量,以及encryption使用的方法),关于我们的密码安全要求和我们的LDAP服务器的信息,但是这些信息可能不会被取走。 我强烈build议您审核您的审核要求,因为目前我们无法通过此审核,同时仍然遵守PCI和数据保护法案。 问候, [我] 我将在公司的首席技术官和我们的客户经理工作,我希望首席技术官可以确认这些信息不可用。 我也将联系PCI安全标准委员会来解释他对我们的要求。 更新3(26日) 以下是我们交换的一些电子邮件。 RE:我的第一封电子邮件; 正如所解释的,这些信息应该在任何维护良好的系统上方便地提供给任何有能力的pipe理员 您无法提供这些信息会导致我相信您已经意识到您的系统中存在安全漏洞,并且无法准备好揭示这些漏洞。 […]