年初,我在Linode安装了灯pipe。 这只是一个个人网站,通过IP地址访问,所以我怀疑其他人是否知道这一点。 最近,图标(位于网站的浏览器标签旁边)已经变成了这个页面。 我没有对网站做任何修改。 图标如何变化? 我怎么能找出有人已经黑客入侵我的网站?
我们有一个C#.NET Web应用程序,它使用几个GUID与一个客户端ID结合来识别我们的一些数据,这些数据被devise为可公开访问,但很难在其他有效的URL组合上发生。 该URL的格式为: /控制器/审查?GUID1 = XXXXXXXX-XXXXXXXX-XXXX-XXXXXXXXXX&GUID2 = XXXXXXXX-XXXXXXXX-XXXX-XXXXXXXXXX&clientID的= ABCD 这三个值在我们的数据库中形成了一个复合关键字,并且一切都很好。 但是,我们在错误日志logging应用程序中看到一些GUID不是GUID的exception条目。 事实上,“错误”的URL总是如下格式: /控制器/审查?GUID2 = XXXXXXXXXXXXXX-XXXX-XXXX-XXXXXXXXXXXXXX&clientID的= ABCDEF&GUID1 = XXXXXXXXXXXXXX-XXXX-XXXX-XXXXXXXXXXXXXX 所以,正如你所看到的那样,错误的GUID格式与正确的GUID 10-4-4-4-14的格式不同,而正确的格式是8-4-4-4-10。 另外,我们看到的clientID似乎是一个有效的clientID附加了两个额外的整数。 错误的GUID也不是hex的,URL params传入的顺序也是不正确的。 现在,这是真正的奇怪的一点。 当我们收到其中一个请求时,它总是来自一个GTT通讯拥有的networking,但它在地理上是多样的,一次是德国,另一个是美国。 另外,当我们收到错误的请求时,我们将其redirect到一个500状态的错误页面。 与初始GET请求相比,500错误页面的GET请求来自不同的IP地址,尽pipe它始终在该请求集合的同一个子网中。 在网上search了几个小时之后,我没有发现任何这样的事情。 请求看起来像他们是由一个机器人完成的,因为没有图像,CSS,JS文件被要求,他们都发生在“丛”。 任何关于这是什么的想法是好的,因为我现在完全没有想法。 我最好的猜测是某种使用VPN来掩盖其IP和地理位置的恶意机器人,但真正欺骗我的是为什么有人会试图破解一个URL,明确使用正确格式化的GUID与不符合标准的GUID类似的GUID不…
昨天我的博客(WordPress的)下降,当我login(SSH)到我的服务器有消息“系统重新启动所需”,我重新启动系统,一切恢复正常(我的意思是wordpress开始正常工作了)。 但是,当我试图通过SSH重新启动后访问我的服务器,我得到了“服务器标识更改”错误,并不得不修改knownhosts文件login。 而当我检查/var/log/auth.log ,我发现一个新的用户ubuntu和一个新的组lxd刚刚重新启动后,用户被添加到所有组创build。 这是当时/var/log/auth.log的片段: Aug 20 02:58:24 localhost sudo: pam_unix(sudo:session): session opened for user root by admin(uid=0) Aug 20 02:58:24 localhost sshd[12486]: pam_unix(sshd:session): session closed for user admin Aug 20 02:58:24 localhost sudo: pam_unix(sudo:session): session closed for user root Aug 20 02:58:24 localhost sshd[2425]: Received signal 15; terminating. Aug 20 02:58:33 localhost systemd-logind[1279]: New […]
我在Windows服务器上收到数千次黑客攻击,导致安全日志错误4625条目。 黑客正在使用随机IP,所以通常的RDPguard,Syspeace等工具无法正常工作。 端口3389在服务器上closures,所以我很惊讶持续的攻击。 我想弄清楚攻击者连接到本地端口的尝试,但是我发现的所有自动化工具只能看到IP。 而且默认的Windows服务器日志也只显示IP和远程端口,而不是本地端口。 我知道我可以手动查看Wireshark日志,但这是劳动密集型的。 我想find一个工具来监视login失败,并简单地确认与本地端口,所以我知道什么端口closures。 理想情况下,这不会产生巨大的日志或需要不断的监测; 该工具最好由不良login引起,并收集端口和服务信息。 有任何想法吗?
我认识到一个成功的黑客攻击尝试,有人pipe理某种方式来修改我的drupal安装下的文件,并注入JavaScript代码 被黑客入侵的文件是:jquery-1.9.1.min.js这是一个一般的JavaScript库文件,我下载更早(干净没有黑客代码) 我现在清理文件,但我想知道如何进来的人? 另一个非常奇怪的事情是,尽pipe代码最近被添加到文件中,但是文件的最后修改date是多年以来的完整版本,有人可以破解该网站,然后更改最后修改date以覆盖它们的轨道吗? 我的问题用简单的话说,我从哪里开始寻找find安全漏洞的线索?
我有一个小的networking(20个用户)在Windows Server 2003下运行ISA Server 2000.虽然我没有安全专家,但我感觉我对ISA Server有很好的理解。 据我所知,匿名出站访问被禁用,但这并不意味着可能configuration不正确。 这是我的问题: 为什么会在客户端会话下列出未知(匿名)IP? 没有一个IP属于networking。 WhoIs查询显示了来源国,如中国,加拿大和拉丁美洲。 我无法想象这是一件好事。 假设情况如此,对于某个人来说,连接(或捎带)一个人的networking有什么好处呢? 任何有识之士将不胜感激!
我检查了在mod-security中设置的核心规则,但是它没有包含与Brute-Force攻击相关的规则。 有没有人知道如何编写这种攻击的规则或现有的规则! 先谢谢了,
我的服务器去年被盗用,一个钓鱼网站被上传。 它在几天内被检测到并被移除。 一年后,我仍然获得了大量的stream量到我的服务器http://myipaddress/www.bankofamerica.com/的狡猾的url,这意味着我的日志文件很快就填满了。 处理这种不需要的stream量的最佳方法是什么? 一个空白的持有页面将意味着他们不会得到一个404错误,所以这个想法不会帮助。 此外,我的一个IP在被用于钓鱼攻击之后被列入黑名单。 我不使用这个IP所以最好做什么,我可以禁用它? 我应该禁用它吗? 就在人们的想法之后。
我们的服务器已被黑客攻击,我试图找出原因。 该服务器是为了SPAM的目的,它看起来像IIS正在使用发送电子邮件作为坏邮件和队列文件夹已满到突发。 发送的邮件已经把x-Mailer头设置为“The Bat!”,我可以检查的任何想法? 我已经检查了最常用的传入端口(0-1055和只有HTTP / HTTPS)是否打开。
有一个程序来恢复我的Gmail帐户中删除的电子邮件吗? 我已经检查了“垃圾”,他们走了。请帮助我。