最近我检查了我的邮件日志,发现了很多这样的消息(一些密文已被截断): Feb 23 11:57:42 postfix/smtpd[32451]: initializing the server-side TLS engine Feb 23 11:57:42 postfix/smtpd[32451]: connect from unknown[176.103.49.30] Feb 23 11:57:42 postfix/smtpd[32451]: setting up TLS connection from unknown[176.103.49.30] Feb 23 11:57:42 postfix/smtpd[32451]: unknown[176.103.49.30]: TLS cipher list "ALL:+RC4:@STRENGTH" Feb 23 11:57:42 postfix/smtpd[32451]: SSL_accept:before/accept initialization Feb 23 11:57:42 postfix/smtpd[32451]: read from 7FD690FE02C0 [7FD6910804C0] (11 bytes => -1 (0xFFFFFFFFFFFFFFFF)) […]
我的Ubuntu 16.04有一个新的,最新的WordPress的安装(只有一个或两个插件)被黑。 我启动了一个新的服务器安装,以摆脱任何不良。 似乎没有什么事情发生,除了从我的域名到另一个域名有301redirect。 现在,即使在新的服务器安装之后,所有的东西都应该完全被删除后,我的域仍然被redirect到这个其他的域。 我知道301意味着永久的,但无论如何,让我的域名回来? 或者真的就像现在几个月一样? 还是保持那样?
我目前有一个中型网站,可能有一些安全缺陷。 这可能是正常的,我想。 你不能抓住一切。 问题是,我也有一些脚本小子,他们认为它的乐趣尝试日夜尝试破解我的网站,做谁知道什么。 可能是像删除数据库。 我有备份,但它仍然是内存和CPU的收费,我宁愿停下来。 有什么办法可以分析服务器日志,以便轻松找出哪些条目是由脚本小子造成的? 他们可能每分钟都会被多次点击确定,但是当我可以做一些有价值的事情时,通过挑选这些条目是一件痛苦的事情。
今天,我的Ubuntu盒子里发生了一些奇怪的事情:普通的(非root用户): 只要我login,我可以sudo不input我的密码(通常,我相信我总是必须键入我的密码sudo ?) 当我键入cd ~ ,它告诉我,我没有权限去/root 。 同样,我的bash提示符显示如下: user@host:/home/username而不是熟悉的user@host:~我习惯的。 似乎我的configuration文件似乎没有正确设置了,似乎一切都认为我的主目录是/root 。 由于之前的项目符号,我不能像运行screen那样做,因为它不能在/root目录中写入新的configuration文件。 知道/etc/passwd显示我的用户的home是/home/user而不是/root可能很有用。 我只是做了一个大的apt-get upgrade ,这是我的软件的新版本的正常行为? rkhunter报告了一些可疑的文件,但似乎已经有一段时间了,似乎是合法的(它们看起来是与请求跟踪器相关的文件)。 我可以发布rkhunter日志,如果这有助于任何人,并审慎。 而chkrootkit什么也没有出现。 也unhide似乎没有注意到任何东西。 rkhunter似乎只关心的是我的openssl , openssh , php , GnPG 。 但是做一个 sudo apt-get update; sudo apt-get upgrade; sudo apt-get dist-upgrade 给我没有包升级。 任何人有什么build议如何解决这个问题? 奖金指向任何人可以确定我的问题的原因。 更新 :如上所述,我的/etc/passwd显示我的主目录是正确的( /home/username ),但是当我echo $HOME时显示/root 。 这是输出: user@hostname:/home/user$ getent passwd $USER user:x:1000:1000:user,,,:/home/user:/bin/bash user@hostname:/home/user$ echo […]
Something(Someone)正在发送从我们的整个IP范围发送的UDP数据包。 这似乎是多播DNS。 我们的服务器主机提供了这个(我们的IP地址被屏蔽了XX): Jun 3 11:02:13 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=53 Jun 3 11:02:23 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=53 Jun 3 11:02:32 webserver kernel: Firewall: […]
我在朋友的networking服务器上find了一些已经被黑客加载的PHP脚本。 实际的代码被隐藏使用几层encryption如下。 他们有一个巨大的string分配给一个variables$str 。 然后他们使用下面这行来解密string并运行代码eval(gzinflate(str_rot13(base64_decode($str)))); 他们不能运行代码,因为有一个.htaccess文件阻止从该文件夹执行脚本,这是一个临时性的修复。 不过,我对这个脚本的解密内容感到好奇。 我想看看它在做什么,因为这可能会提供有关系统中可能存在的漏洞的线索。 我怎样才能安全地做到这一点,而不暴露系统的预期攻击? 我可以安全地把这个在运行在pc上的linux echo(gzinflate(str_rot13(base64_decode($str))));同时改变上面的语句echo(gzinflate(str_rot13(base64_decode($str)))); ?
我只是今天检查我的网站日志,发现有人访问我的网站上的几百个标准网站的列表,几乎每个第三或第四个网站开发的标准平台包含。 知识产权是相同的,这是在几分钟的时间内完成的,所以肯定有一些计划落后于此。 我有点担心,我脑子里有几个问题。 他这样做的实际意图是什么? 这是一个令人担忧的原因吗? 它可能提供给攻击者的可能的安全漏洞是什么? 如何避免这样的企图,我应该黑名单特定的IP? 请注意:我自己开发了这个网站,因此他列表中几乎98%的url都无法访问。 为了更好的理解,我正在提供日志的一部分(日志的第一行是他的第一个login页面,我在这里用XX.XX.XXX.XXX掩饰了他的IP地址): XX.XX.XXX.XXX / Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:16.0) Gecko/20100101 Firefox/16.0 XX.XX.XXX.XXX /Basket.aspx Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:16.0) Gecko/20100101 Firefox/16.0 XX.XX.XXX.XXX /Login.aspx Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:16.0) Gecko/20100101 Firefox/16.0 XX.XX.XXX.XXX /CFIDE/administrator/index.cfm Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:16.0) […]
我的服务器(CentOS)最近被一些encryption黑客入侵了。 他们encryption了我所有的文件,并要求赎金解密这些文件。 他们在所有文件夹中都保存了一条消息 你的个人文件被encryption! 使用为此计算机生成的唯一公钥RSA-2048生成encryption。 要解密文件,你需要获得私钥。 私钥的单个副本,允许解密位于Internet上的秘密服务器上的文件。 之后,没有人,永远不会恢复文件… 要获得这台计算机的私钥,这将自动解密文件,您需要支付1比特币(约240美元)。 没有密钥,你将永远无法得到你的原始文件… 现在,他们已经给我发送了解密密钥,我仍然可以有人请帮助我如何恢复我的文件? 他们利用的可能的漏洞是什么? 任何其他的技巧/指针,以避免未来的威胁? 提前致谢。 编辑:他们给我一个私人密钥的PHP脚本,我应该上传到服务器,并通过一个URL运行。 这是他们发给我的解密文件。
我有一个高端的专用服务器,将使用此主机大约3到4个客户端的网站。 我怎样才能给他们一个自定义的名称服务器地址? EG:1and1表示名称服务器必须是ns54.1and1.co.uk和ns55.1and1.co.uk 我可以设置ns1.mydomain.com和ns2.mydomain.com,然后将每个logging设置为ns54.1and1.co.uk和ns55.1and1.co.uk的实际IP地址? 上面的工作? 设置自定义名称服务器名称的最简单方法是什么? 谢谢!
可能重复: 我的服务器被黑了应急 我一直在devise一个asp.net网站.net framework 3.5所有的东西都是好的,直到我的网站突然黑屏它说中文组和其他文字的图片jpg他们把文件放到FTP服务器我删除他们,他们把他们再次我改变了所有的密码,他们再次这样做,我认为他们是一些脚本程序员,我可以通过删除方法无能为力,请帮助我。