我在我的服务器上安装了OSSEC,并且已经收到类似以下的报告: Jan 11 19:27:03爸爸sshd [14459]:pam_unix(sshd:auth):authentication失败; logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 58.215.184.93 user = root Jan 11 19:26:54爸爸sshd [14457]:pam_unix(sshd:auth):authentication失败; logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 58.215.184.93 user = root 每封电子邮件重复约10次。 到目前为止,没有一天,OSSEC的这些电子邮件中没有3封或4封。 当然,我最初的情绪有点愤怒,“他们怎么敢试图侵入我的箱子!” 但是我想这就是现在“净”的状态。 有一天我也有人尝试与用户斌 我也收到了这个消息: Jan 12 […]
我正在设置GFI LAN Guard进行漏洞扫描和补丁pipe理。 我必须得到的第一件事情是让LG清点networking上的所有客户端。 为了确保成功运行,我需要允许某些stream量通过客户端的Windows防火墙。 我们不想完全禁用FW,只允许特定的LGstream量通过。 我已经创build了允许所需stream量通过的GPO,但是它包含一些潜在的敏感服务,如文件和打印,WMI以及打开端口135.我想弄清楚的是如何限制此GPO对于源自或前往LG服务器的IP地址的stream量生效。 这可能吗?
我期待为大多数互联网提供“正在进行中的工作”页面,同时允许从一些特定的testingIP地址访问站点本身。 这是可以与IIS 7? 你会怎么做呢?
由于安全原因,我在远程VPS上创build了一个用户,仅用于SSH隧道。 我的本地PC遇到了许多令我感到害怕的事情,因为我需要离开SSH会话。 所以,我想locking这个用户(在服务器上),以便其他人不能做任何事情,除了SSH隧道(即使密码被盗用)。 有了这个用户,我只想login(使用密码)和SSH隧道..只是没有更多! 你能帮忙吗?
是否有任何恶意软件/安全扫描器,可以分析Apache错误和访问日志,并告诉我,如果我有我的服务器上的潜在风险,或者如果有未经授权的访问等?
可能重复: 我的服务器被黑了应急 首先一些背景信息。 我们讨论的服务器运行的是CentOS 5.6,端口22上的SSH可以通过互联网访问(坏,我们知道),端口8080上的Apache可以通过互联网和MySQL访问,无法访问通过互联网。 前几天这个testing服务器被黑了,由于一个非常简单的密码(是的,你会发现它遍布互联网,坏…),所以我们改变了它。 当然,这次我们input了一个真正的密码,这是你在互联网上找不到的东西。 到目前为止,每个人都没有问题。 我们扫描了rootkit,删除了脚本小子已经下载的一些东西(他们使用SSHlogin),好吧,有点像通常你会做的事情。 不过,今天我们看到被黑客入侵的服务器正在使用这么多的stream量,我们只能检查一切是否正常。 所以,我们使用SSHlogin,我们看到了什么? 是的:“从xxx.xxx.xxx.xxx上次login2月21日22:08”。 也就是说,在更改密码之前,与用于login系统的IP相同。 但是,这次脚本小子安装了一些恶意软件。 他们显然创造了一些帐户,一个被称为甲骨文 。 它包含文件夹.mozilla其中包含文件夹lala 。 打开该文件夹,我们看到了脚本小子使用真正不安全的密码帐户下载的相同内容。尝试执行ps -x ,我们看到了zmeu进程正在运行。 而不仅仅是一个,想像一个50左右。 现在来一些问题:-) 那些剧本小子是怎么login的? 没有SSH密钥上传和密码更改。 但是,他们确实设法login,毕竟… “zmeu”是做什么的? 看起来这是与phpmyadmin有关,但我们不使用phpmyadmin。 我们已经停止了所有的“zmeu”进程,删除了文件和帐户并重启了服务器。 networking完全没有了 只要这个黑客入侵的服务器连接到networking,一切都很慢。 看起来像已经通过删除zmeu进程已经修复。
这是我最近设置的rkhunter输出,所以我每天早上都会得到这个报告,可能somone请解释一下,如果我有一个严重的问题在这里(我知道httpd,openssl,PHP和sshd不是最新的,但所有其他命令,我不知道不明白 – 我是否有违规行为,有人用他们自己的文件replace了他们的文件 – 例如“/ usr / bin / whatis”) Warning: Checking for prerequisites [ Warning ] The file of stored file properties (rkhunter.dat) does not exist, and should be created. To do this type in 'rkhunter –propupd'. Warning: WARNING! It is the users responsibility to ensure that when the '–propupd' option is used, all […]
我们的环境包括一个2003年的活动目录与XP和Windows 7客户端约50%的分裂。 我们的安全政策指出,默认情况下,每个人的桌面应locking在2小时的屏幕保护程序。 对于选定的用户,该策略声明他们的桌面在闲置15分钟后应该locking。 我们通过创build一个GPO并将其链接到Organization OU来应用2小时策略。 这适用于所有客户。 安全筛选已将GPO应用于所有已通过身份validation的用户。 对于15分钟的屏幕保护锁,我们有相同的GPO并将其链接到域,但是这次通过安全筛选我们只将它应用到特定的安全组。 此GPO无法正常工作。 目前,我们正在对如何实施或修复屏保locking的15分钟GPO进行空白。
我有一个MySQL 5.5的VPS,因为明显的安全原因,它只在本地主机上进行监听。 我已经build立从我自己的机器到该VPS的VPN连接,我成功连接。 将所有MySQL数据库的访问权限授予连接到VPN的任何人,如同本地主机请求一样,最好的办法是什么? 我可能会用很傻的方式问这个问题,所以如果你不明白我的意思,我会详细说明。 编辑:VPS是Linux(Cent OS 5.6),如果有帮助。 MySQL正在侦听3306.我目前已经将来自我的IP的所有连接转发到机器的公共地址上的端口3306到127.0.0.1:3306。 但这不是很方便,因为我倾向于旅行,当我不在家的时候,这种方法就失败了。
我正在使用Jira,我试图改变一个新的注册用户所属的默认组。