我pipe理一个服务器上有很多的WordPress的安装。 search一个解决scheme,以防止暴力攻击高CPU,这使服务器一天几个小时无法使用。 这些是目标: Referer检测是不够的( 例子 )(已经尝试过这个解决scheme,但攻击我的黑客可以避开它并填充CPU)。 通过.htaccess对“wp-login.php”进行密码保护并不是一个好的解决scheme( 例子 )(公司要求)。
我有两个发球员。 服务器1运行Apache 2.2和mod_perl 2.0.4。 服务器2运行Apache 2.0和mod_perl 1.99。 他们有几乎相同的conf文件。 虚拟主机的perl部分如下所示: <Location / perl> SetHandler perl脚本 PerlResponseHandler ModPerl :: Registry 选项+ ExecCGI < / Location> 如果我把一个cgi脚本放在服务器2的指定perl目录下,并且被修改为644,我就无法通过网页浏览器访问这个文件。 我得到Forbidden为错误。 这是我所期望的行为。 我必须先把它调到755。 但是,如果我将保存脚本放在服务器1上cgi脚本的目录中,并将其更改为644,则服务器只执行脚本。 它似乎不关心文件的权限只是目录设置的内容。 所有的文件都拥有和分组在根目录下,并且apache在单独的用户下运行。 该目录是chmodded 755,也属于根目录。 我的问题是,有没有办法使行为相同,这是服务器1上的潜在安全风险? 还是有一个更好的方法,我应该这样做?
有一天,我在Debian服务器上设置了一个小脚本,在文件发生变化时向我发送电子邮件。 它看起来像这样: #!/bin/sh items=`find /var/www/vhosts -regex ".*/httpdocs/.*" -newer files_start -ls` if [ ! -z "$items" ] then touch files_start echo "$items" | mail -s "new file(s)" "[email protected]" fi 我不断得到一个神秘的长度为0的文本文件(可以通过PHP和vhost用户,而不是Apache)进行修改,每天修改2-3次,所以我使用以下规则设置了auditd。 auditctl -l LIST_RULES: exit,always watch=/var/www/vhosts/path/to/file.txt perm=rwa key=wh1 正如预期的那样,我testing了它, …comm="touch" exe="/bin/touch"… 在得到下一个电子邮件与新的MODdate后,我跑ausearch:没有新的比赛! 这怎么可能发生? —- —-更新 我通过其他方式发现,这个过程是PHP运行的,就像Apache调用的fastCGI一样。 PHP函数调用是: touch('path/to/file.txt'); 所以问题就变成了:fastCGI PHP如何通过auditd改变文件并逃脱检测? 这开始看起来像一个审计错误。
我希望有人能帮帮忙… 我想find一种方法来形象化安全组和他们的成员,并能够以简单的格式向用户展示讨论。 我在Excel中有一个简单的matrix,可以让用户针对组和文件夹显示用户。 我想要的是一个简单的方法来获取数据作为文本的AD或Windows资源pipe理器。 到目前为止,我已经去了Windows资源pipe理器,右键单击文件/文件夹>属性>安全性>编辑(权限); 然后截图应用于该文件夹的组页面。 然后,我将这些组inputExcel。 我做类似的工作,得到团体的成员。 如果有人知道我想要的是一种将信息提取为文本的方式:适用于文件夹或文件的组和组的成员 – 从AD或Windows资源pipe理器或任何地方。 我不是什么专家,所以你可能不得不贬低一点。 接下来的事情就是获得一个工具来显示我为一个组,它应用于什么文件和文件夹。 为了能够看到所有这些信息将是惊人的 – 我们目前严重依赖于某些员工的知识,因为我们不能提取的信息,以便能够可视化。 我们也应该理顺我们的团队。 类似的post我发现: 如何获取Windows服务器的用户组的login名的文本列表
最近几天我一直在学习如何设置var / www / permissions。 我明白常见的解决scheme是通过粘滞位将所有新文件夹的组所有者设置为apache。 给Apache一个特定用户所属的“admin”的辅助组,是如何的? 这似乎是更灵活的方法,因为这种方式与pipe理员上传的所有脚本阿帕奇将有写权限,而不是与其他,不太信任的用户。 这种方法有哪些安全漏洞? 在安全性方面,它是如何比较简单地使文件夹apache主组的所有者 – apache?
我一直试图通过Apache2 2.2.22来阻止在Ubuntu 13.04上访问WordPress wp-admin和wp-includes目录。 首先,我尝试使用.htaccess,由于某种原因,它不能正常工作,但在阅读Apache Docs时,他们build议不要。 所以我改变了他们的build议,把它放在conf文件的<directory>部分。 你能看到我在这里做错了吗? 防止访问目录的最佳方法是什么? 防止访问单个文件的最佳方法是什么? 如何让服务器执行防止.htaccess访问的规则以及防止访问vserver.conf下面列出的版本控制目录? 以下是我的vserver.conf文件。 <VirtualHost *:80> ServerAdmin [email protected] DocumentRoot /var/www/domain/ ServerName domain.com ServerAlias www.domain.com <Directory "/var/www/domain/"> # WordPress Permalink Configuration # BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # wp-include rules remove […]
我有一个环境,有一个防火墙,有一个安全的网段和一个DMZ段。 安全段中有一堆服务器 – 数据库服务器,QA服务器等和域控制器。 在DMZ中,有1个Web服务器向公众开放。 networkingpipe理员完全locking了防火墙。 没有入站,没有任何出站,除非另有说明。 我现在必须出示这份清单。 我知道有一些端口必须为我的应用程序开放,例如DMZ中的1433 – > secure segment等。但是我不知道操作系统可能需要的东西(windows 2008 r2)以及它的服务默认情况下运行,我们只是认为理所当然,因为通常我已经看到出站总是打开。 我可以想到一个列表,如DNS,NTP等,但我需要一个完整的列表。 任何人都可以给我一个基本的端口列表,这些端口应该是开放的,以便服务器正确运行,并且和那里的所有其他服务器一起玩。 我可以为应用程序添加我自己的端口。
我需要利用这个漏洞进行攻击,在互联网上我只能find这个漏洞的描述: Internet打印协议(IPP)中的整数溢出Windows 2000 SP4,XP SP2和SP3,Server 2003 SP1和SP2以及Server 2008上的Microsoft Internet Information Services(IIS)5.0到7.0中的ISAPI扩展允许远程authentication用户执行任意代码通过HTTP POST请求触发从Web服务器到攻击者操作的机器的出站IPP连接,即“IPP服务漏洞中的整数溢出”。 我不知道如何使这个http post。 其实我不需要完成攻击,我只需要这样做就可以显示snort规则正在工作。
我想重新订购新的Windows Server 2012盒上的密码套件,以帮助减轻我们客户的BEAST漏洞。 我去了Local Group Policy => Computer Configuration => Administrative Templates => Network => SSL Configuration Settings ,打开SSL Cypher套件顺序 ,启用它,并复制SSL Cypher套件文本框中的值。 我将它们粘贴到记事本中,重新sorting,然后复制+粘贴到SSL Cypher套件文本框中。 然而,尽pipe长度没有改变,但是盒子还不够长, 我将不得不放弃最后3个密码( SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA ),以使其适合。 我应该放弃他们吗? 其他想法?
我试图在Windows 2008 R2域控制器上运行一个exe作为计划任务。 当我尝试使用一个域pipe理员帐户尝试手动运行它时,EXE运行正常,但我不想将计划的任务作为域pipe理员运行,原因很明显。 由于我不能在域控制器上设置本地pipe理员,这不是一个选项。 我已经添加了用户应该运行的任务作为“作为批处理作业login”应用于域控制器的组策略,但我仍然收到错误。 我只是想使用常规的任务计划,而不是AT 。 这对我们仍然拥有的Windows Server 2003域控制器的情况很好,但他们正在出路。 所以我认为这不是脚本本身的问题。 至less我想知道,如果我有正确的设置,以允许特定的非域pipe理员用户在域控制器上运行脚本。 更新:用户作为服务器操作员组包含在AD中。 batch file仍然无法正常运行。