由于处理上传的文件不安全,攻击者能够在我的服务器(CentOS 5.4)上运行php代码。这个问题已经得到解决,但是当他连接时,他似乎已经修改了一个由root拥有的文件(文件权限644 ),取而代之的是由apache用户拥有的。 有没有Apache或PHP漏洞可以启用这个? 为了响应请求更多信息的第一条评论 – 攻击者能够将file upload到我的服务器,并可能将用户发送到我的域中的恶意内容,这已经足够糟糕了。 但是,他/她也能够编辑文件。 这样做的结果是,我的网站被修改,把新用户注册的所有信息通过电子邮件发送到Gmail地址。 我不知道从哪里开始寻找,并正在请求帮助。 除了明显的目录权限(不允许file upload到php代码可能执行的目录;不要在用户的上传目录中执行php代码)我不知道要改变什么,以确保不会再发生。 这是我的理解,如果一个文件是由根拥有,没有其他用户可以改变它。 显然这不是事实。 如果是你的服务器,你会在哪里看?
请帮助我,我发现一个来自韩国的IP地址尝试通过把这个'/admin/Y-ivrrecording.php?php=info&ip=uname'像我的networking服务器上的文件名search一样。 我不知道任何理由和任何有关这方面的知识。 我尝试search谷歌有关它的信息,但我没有发现任何东西让我知道更多。 那么它是什么?用于什么? 对我的networking服务器有害吗?
我正在通过Apache日志,我认为一些访问日志似乎是可疑的…我不亲,只是做服务器pipe理作为业余爱好:)所以我想知道如果我应该采取一些步骤… 86.138.17.122 – – [20/May/2012:12:53:14 +0200] "\xcb\xaap\xdc\xf9\xba\xec\x0e\x11\xfa\x1d%\x1f\xe9L$\xff\xa6\xe8-\xd2\x11" 501 309 "-" "-" 218.246.22.178 – – [20/May/2012:14:49:22 +0200] "GET /phpMyAdmin/translators.html HTTP/1.1" 404 544 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]" 31.176.134.118 – – [21/May/2012:10:32:31 +0200] "\xbe" 501 288 "-" "-" 92.80.76.244 – – [20/May/2012:13:28:19 +0200] "-" 408 0 "-" "-" 我不知道最后一个,但前三个绝对看起来像有人正在探索我的服务器上不存在的软件。 […]
背景 我的一个网站最近是有条件的redirect攻击的目标。 PHP代码被添加到我的页面来redirect访问者。 .htaccess文件被编辑来redirect访问者。 我已经重新上传了我的网站,因此被盗用的PHP和.htaccess代码都被删除了。 我的网站大多是手写的PHP和静态的HTML内容。 我不使用页面评论或任何第三方库。 问题 删除受损的php和htaccess文件后,访问者仍然被重新定向。 访客仍然被redirect的原因是什么? 是否有任何工具来检查redirect发生在哪里/如何,所以我可以debugging的问题? 更新 – 问题固定 正如在评论中所build议的,我清除了我的Firefoxcaching,并解决了问题(无论如何)。 具有旧caching数据的访问者显然仍将被redirect。
我有一个非Xen的VPS(不完全知道这个软件是什么)。 过去一周,我们在一台(或部分)主机上经历了几次DDOS攻击,由于使用了比平时更多的带宽,整个服务器因为这个原因而被暂停。 我使用DIrectAdmin。 是否有自动化的工具来检测DDOS攻击,并在发生特殊次数的攻击时暂停主机? 我不想要一个工具,而不仅仅是监视(我已经findMRTG用于这个目的,并将尽快安装服务器) 请给我最好的解决scheme。
我知道有很多类似的问题,但是没有一个涉及到这个问题: 我发现客户端服务器脚本注入几乎所有的PHP文件,这实际上是在这里提到的脚本: https : //stackoverflow.com/questions/20658823/hacked-site-encrypted-code 。 现在我知道很难确定进入的地点,但是有一些事实我相信对于比我更适合的人来说也是有意义的。 情况 几乎所有的PHP文件都被感染了 有一个文件夹中有一些受感染的文件,但它没有任何权限的FTP用户,我正在使用上传文件到服务器 即使是不公开查看或由谷歌索引的文件被感染 在非索引文件夹中有一些文件被感染,有些则没有。 那些没有被感染的人很可能不会或很less被任何人呼叫 题 考虑到上述事实,是否有可能整个服务器被攻破(apache,…)或者它可能只是一个不安全的PHP脚本。 当只有PHP脚本被滥用时,甚至有可能看到这样的情况吗? 现在是否足够更新PHP脚本,删除病毒代码,并希望假设服务器本身没有受到威胁? (当然,更改SFTP帐户凭据) 编辑:关于它是一个重复的评论 正如我之前所说,我读了其他职位,我不需要知道一个行动的过程中,我只是好奇的PHP文件被修改的FTP文件夹不能被FTP用户写入, 如果这是可能的使用PHP脚本/ MYSQL漏洞,或者只有当攻击者有FTP传递或更深的服务器访问时。
今天早上我发现我的服务器(debian VPS,apache,webmin / virtualmin)里的电影,文件位于/var/log/roundcube/./,用户/组是www-data 我查看了我的日志(apache,proftp,auth),并没有发现奇怪的行。 rkhunter发现没有什么不好的。 我如何检查文件的历史logging(在隐藏文件夹中)或者用户在这个文件夹中上传电影的方式。 我想这是一个后门,但是当我扫描我的网站,我发现没有什么不好的。 我想我会切断我的网站一段时间,看看有没有新的电影文件夹,如果是的话,这意味着用户有ftp / ssh访问或后门不在我的var / www / 感谢提前
最近,有人通过进入用于AWS的电子邮件帐户并要求更改密码来入侵我的AWS账户。 之后,他们明显改变了电子邮件地址的密码。 亚马逊似乎相当无知,并坚持认为所有权的唯一方法是电子邮件地址,而不是任何types的个人或账单信息。 我怎样才能取回我的帐户?
我有一个即将到来的testing,看看过去几年,他们总是问一个类似的问题。 基本上可以通过设置如下所示的安全漏洞: PATH=".:/bin:/usr/bin" 我得到这个PATH决定当用户调用诸如“ls”之类的命令时要search可执行文件的绝对目录。 我只是不确定上面会导致什么样的行为。 看来它会首先检查“/ bin”目录的当前目录(基于“。”),然后进入绝对目录“/ usr / bin”(如果没有的话)。 问题是,如果一个叫做“ls”的用户和一个攻击者在当前目录下创build了一个“/ bin”,它可能包含一个ls版本,例如删除一堆文件。 这是正确的轨道还是我误解了PATH符号?
我正在开发一个使用Windows身份validation的ASP.NET应用程序。 我已经设置web.config文件拒绝所有未经身份validation的用户,并只允许来自某个angular色的用户。 使用Fiddler,我能够模糊我的会话ID,重播请求,并且仍然得到200 OK响应…显然没有任何重新协商。 我认为基于NTLM的身份validation凭据与底层的TCP连接相关联。 首先,这是真的吗? 这是一个真正的安全威胁? 如果是这样的话,那么为了承担另一个用户的身份,个人必须采取什么措施来劫持这样的连接呢?