这是我的第一个。 我运行的其中一个网站最近受到攻击。 完全不是一个聪明的攻击 – 纯粹的蛮力 – 每一个页面和每一个非页面都可能触及每一个扩展。 垃圾数据发布到每个表单,并试图张贴到一些随机的URL也。 一小时内所有的请求,16000个请求。 我应该怎么做才能防止/提醒这种行为? 有没有办法限制一个给定的IP /客户端的请求/小时? 有一个地方,我应该报告用户? 他们似乎来自中国,并且留下了一封看似有效的电子邮件。
我有一台运行桌面Ubuntu发行版的家庭服务器。 我在我的crontab中find了这个 * * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1 而当在这个目录(用户名/是一个目录名后的空间)时,我发现很多脚本显然正在做一些他们不该做的事情。 在我擦除电脑并重新安装之前,我想找出是什么原因导致了安全漏洞以及何时完成。 所以我不再打开同一个洞。 我应该看什么日志文件? 我知道的只有在计算机上运行的服务器是sshd和lighttpd。 我应该做些什么来检测这样的事情是否再次发生?
我正在运行一个小型(基于Windows)的服务器。 当我检查日志时,我看到一个稳定的(不可思议的)密码猜测黑客行为。 我应该尝试向源IP地址的所有者报告这些尝试,还是现在认为这些尝试完全正常,没有人会打扰他们做任何事情呢?
最近(但也是一个反复出现的问题),我们看到了关于黑客和安全的3个有趣的线索: 我如何处理受损的服务器? 。 查找被黑客入侵的服务器如何被黑客入侵 文件权限问题 最后一个没有直接关系,但它强调了如何容易搞砸Web服务器pipe理。 由于有几件事情可以做到, 在发生不好的事情之前 ,我想就好的做法提出您的build议,以限制攻击的背面效应,以及如何在悲伤情况下做出反应。 这不仅仅是保证服务器和代码安全的问题,还包括审计,logging和应对措施。 你是否有任何良好的做法列表,或者你喜欢依靠软件或专家,不断分析您的Web服务器(或什么都没有)? 如果是的话,你可以分享你的名单和你的想法/意见吗? UPDATE 我收到了一些好的和有趣的反馈。 我想列出一个简单的列表,这样对于IT安全pipe理员而言,对于networking真人高手来说也是非常方便的。 即使每个人都给出了正确的答案,但我现在更喜欢Robert的那个,因为它是最简单,最清晰,最简洁的一个,因为它是最完整和最精确的。 但是没有人会考虑用户的观点和看法,我认为这是第一个必须考虑的问题。 用户在访问我的被黑网站时会怎么想,如果您拥有关于他们的明智数据,就会多得多。 这不仅仅是在哪里存储数据,而是如何让愤怒的用户平静下来。 数据,媒体,权威和竞争对手呢?
可能重复: 我的服务器被黑了应急 上周末我公司的网站遭到黑客入侵。 他们在星期五晚上做了最好的事情,所以我们只注意到星期一早上的攻击..有趣的是,我们最近从Windows切换到Linux,因为它应该是更稳定和安全的。 去搞清楚。 是的,我们把我们列入了Firefox和Chrome的黑名单。 由于我不是Linux专家,因此我正在寻求有关如何避免将来出现这种问题的build议。 你采取什么措施来保护你的系统? 看来我们的密码很弱,但是在login几次失败之后,Linux不应该阻止这个帐号? 他们尝试了20多种组合 除此之外,我正在寻找一种类似于pingdom但适用于安全性的工具(或服务)。 如果我的网站遭到黑客入侵,请提醒我。 是这样的事情吗? 黑客监视器? 🙂 另一件事,你如何通知你的客户这样的问题? 你是否忽略并希望没有人注意到? 解释发生了什么? *张贴匿名,以避免更多的不良曝光给我的公司,这已经不好了…
我的Ubuntu 10.10机器上的sshd二进制文件包含以下ascii图稿: ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists YOU WANNA . SMOKE MA SPLIFF ? dM ROLL ME MMr %d TIMES 4MMML . MMMMM. xf . MMMMM .MM- Mh.. MMMMMM .MMMM .MMM. .MMMMML. MMMMMh )MMMh. MMMMMM MMMMMMM 3MMMMx. MMMMMMf xnMMMMMM '*MMMMM MMMMMM. nMMMMMMP *MMMMMx MMMMM .MMMMMMM= *MMMMMh […]
问题: 如果一个虚拟机被破坏(被黑),我在同一个物理机器上运行的其他虚拟机有什么风险? 在同一台物理主机上运行的虚拟机之间有什么样的安全问题? 是否有(可以制定)这些(潜在的)弱点和/或问题的清单? 警告: 我知道很多虚拟化types/解决scheme存在,并可能有不同的弱点。 不过,我主要是在寻找关于虚拟化技术的一般安全问题,而不是一个特定的供应商错误。 请提供真实的事实,(严肃的)研究,有经验的问题或技术解释。 请明确点。 不要(只)发表你的意见。 例子: 两年前,我听说可能存在与MMU相关的安全问题(我认为是访问其他机器的主内存),但我不知道这是目前的实际威胁,还是只是一个理论研究学科。 编辑:我也发现这个“刷新+重新加载”攻击能够通过利用L3 CPUcaching,即使GnuPG在另一个虚拟机上运行,在同一台物理机器上检索GnuPG密钥。 GnuPG已经修补。
查看我的404日志,我注意到以下两个URL,这两个URL都发生过一次: /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ 和 /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 有问题的页面library.php需要一个具有六种不同可接受值的typevariables,然后是一个idvariables。 所以一个有效的URL可能是 library.php?type=Circle-K&id=Strange-Things-Are-Afoot 在用来查询数据库之前,所有的id都是通过mysql_real_escape_string运行的。 我是菜鸟,但在我看来,这两个链接都是对webroot的简单攻击? 1)除了404之外,如何最好地保护这些东西? 2)我应该对知识产权负责吗? 编辑:也只是注意到这一个 /library.php=http://www.basfalt.no/scripts/danger.txt 编辑2:所有3次攻击的侵犯性IP是216.97.231.15 ,这跟踪一个位于洛杉矶外面的名为Lunar Pages的ISP。 编辑3:我决定在当地时间星期五上午打电话给ISP,并与谁可以打电话讨论这个问题。 我会在24小时内发布结果。 编辑4:我最终给他们的pipe理员发了电子邮件,他们首先回应说“他们正在调查”,然后一天后“这个问题现在应该得到解决”。 没有进一步的细节,可悲的是。
破解其他人拥有的真实系统是否合乎道德? 不是为了盈利,而是为了testing您的安全知识并学习新的东西。 我只讲黑客攻击,对系统没有任何损害,只是certificate有一些安全漏洞。
据互联网风暴中心称 ,似乎有一个SSH零日漏洞。 这里有一些概念validation码和一些参考资料: http://secer.org/hacktools/0day-openssh-remote-exploit.html http://isc.sans.org/diary.html?storyid=6742 这似乎是一个严重的问题,所以每个Linux / Unix系统pipe理员都应该小心。 如果这个问题没有及时修补,我们如何保护自己? 或者你如何处理一般的零日漏洞? *我会在回复中发表我的build议。