我有一个在家里的小型服务器,安装了后缀。 这只是用于将cronjobs的结果和电子邮件从外部返回给其他一些脚本。 我使用ISP的邮件服务器作为中继主机。 最近我注意到邮件服务器是作为一个开放的中继。 我通过closures路由器上的传入端口25并重新configurationpostfix来只接受来自服务器的传出邮件来解决这个问题。 我已经从局域网外部检查了nmap,并尝试了各种开放中继工具,一切似乎都很好。 问题是,我仍然收到邮件试图发送。 我已经临时设置了中继主机到127.0.0.3(不存在),以阻止事情发送出去,并在我的服务器上设置了iptable防火墙规则,以防止出站端口25,所以没有什么实际上出去。 我以为队列可能还是满的,所以我做了: sudo postsuper -d ALL deferred sudo postsuper -d ALL 但是,邮件不断出现以下日志消息: Dec 1 12:04:56 server postfix / pickup [3267]:E18411FA4:uid = 33 from = Dec 1 12:04:56 server postfix / cleanup [3274]:E18411FA4:message-id = <20111201120456.E18411FA4@server> Dec 1 12:04:56 server postfix / qmgr [3268]:E18411FA4:from =,size = 15619,nrcpt = 1(队列激活) Dec […]
有时在我的日志报告中,我注意到在httpd下面有一个“尝试使用已知黑客行为”的部分,另外一个部分是关于多less个站点探测服务器的。 我有几个关于这些部分的问题: apache或logwatch是一个捡到并报告已知黑客的人吗? 哪个程序实际上知道这是一个已知的黑客? 是否有某个位置或参考点是其中一个程序正在使用的已知攻击列表? 日志能够报告攻击是否成功,或者我需要一个单独的软件来拾取这个? 当logwatch报告x个站点探测到服务器时,究竟意味着什么? 它是一个端口扫描吗? 漏洞扫描? 指纹? apache是向日志文件报告这个问题还是logging日志分析日志文件并计算出来?
有人指责我,我的Linux Ubuntu的机器可能是服务器攻击的来源。 他们的技术是用这个补丁的sshreplace原来的ssh,这样就消除了所有的sshd日志和debugging信息,同时允许任何用户帐户在提供特殊密码时login; 而且在某些情况下,他们在这个虚假的ssh2和原始的ssh之间build立了联系。 这解释了为什么,我发现ssh主机密钥已更改。 另外,他们在/ tmp /,/ var / tmp /,/dev/.lib1/和/ dev / shm /,/dev/.lib1/和/ dev / shm / ,/dev/.lib1/和/ dev / shm / 任何想法,如果这是可能的。 我没有其他的报告,我通过ssh连接至less十几台服务器。 如何检查Ubuntu中的嗅探器? 我如何检查我的ssh是否仍然有效?
我打算很快购买一台服务器。 我希望服务器尽可能安全,只有POP3,SMTP,SSH和HTTP打开。 我知道如何编写一个iptables脚本,只允许这些连接,并放弃一切,但我不知道如何防止攻击。 是否有任何示例脚本,尽可能地迎合尽可能多的不同的攻击(块和可选的日志)? 一个脚本,可以阻止DDoS攻击(SYN泛滥,ICMP泛滥等),端口扫描,蛮力攻击等。一切(或尽可能接近我们可以得到的)
我已经阅读了以下没有回答我的问题的post: – 我的linux服务器被黑客入侵 我如何知道如何以及何时完成? – 如何知道我的Linux服务器是否被黑客入侵? – 以及更多… 服务器设置是这样的: – Ubuntu服务器是在路由器(Cisco EA6500)之后,没有端口转发(启用了uPNP)。 – 最愚蠢的想法是有一个用户密码user称为user 。 今天,我进入了PHP的webeditor通过SSH连接,并没有接受密码。 我发现服务器可能已被黑客入侵。 我发现如下: – 所有的服务器文件时间戳更改为我上次的logindate(今天) – 有一个cronjob /dev/shm/- /.ICE-UNIX/update >/dev/null 2>&1 添加了星期五 – 在ubuntu启动时出现错误,提示“错误variablesROOT未设置” 我做了什么: – 通过恢复控制台恢复密码 – build立一个小型的防火墙 , 试图进入ssh。 问题: – 我如何知道改变了什么? – 如果没有ssh端口暴露,他们是怎么进来的? 后来编辑:他们已经完整的离开了日志,我发现他们通过SSHinput并更改了密码。 过去几周里有很多sshlogin尝试。 我已经重新安装了系统,移动了端口,安装了防火墙,我正在检查路由器。 它肯定有安全漏洞。 谢谢你们!
我最近被黑了。 黑客似乎将我的服务器上的任何网站redirect到一个假的病毒网站。 所以我删除了我的所有网站文件,黑客似乎消失了。 大约一个星期后,它又回来了 – 同一个。 我从来没有删除我的数据库,但也没有上传使用它们的网站。 没有任何网站链接到数据库,是否有可能支持黑客?
我们是客户的托pipe公司,从来没有问题。 现在,第二个客户网站在一周内被“黑客入侵”。 我们的密码应该是安全的,我们经常改变他们,而我认为有后门使用。 一个网站是一个老Joomla! 版。 (从2010年起)。 我们已经closures了,但现在我们已经收到了来自我们提供商的滥用邮件,因为另一个网站被“黑客入侵”。 这是一个WordPress的安装(很新的版本,也许2-3个月,据我所知,有一个nca.zip文件nca.zip被注入到根文件夹,并已被提取,所有的WordPress的文件仍然存在。 有谁知道如何防止这个?
FileZilla日志显示定期尝试使用字典关键字login,并且攻击者的IP在过去3天内保持不变。 除了拒绝这个IP地址,我能做些什么呢?
可能重复: 我的服务器被黑了应急 在进行某种黑客行为后,我的网站的主要URL现在redirect到一个假的防病毒页面。 我怎样才能删除这个东西?
我在oracle警报日志文件中得到以下错误。 ORA-32696:HTI:没有空闲插槽“原因:没有足够的内存操作:增加内存。 我有goggled这个错误,但找不到这个错误的确切原因,我该如何解决这个问题? 任何人都可以提供一些关于如何解决这个错误的细节? 谢谢