我前几天设置了nginx来从Ubuntu EC2实例提供服务,而今天我在浏览器中504之后遇到了504错误日志。 我在我的error.log发现了以下内容: … open() "/var/www/html/ip_json.php" failed (2: No such file or directory), client: 179.99.200.39, server: mydomain.com, request: "GET http://teddybrinkofski.com/ip_json.php HTTP /1.1", host: "www.teddybrinkofski.com", referrer: "none" … 请注意,我没有在这台服务器上的PHP( 特别是不是一个名为ip_json.php的文件),我不是(我也不以任何方式熟悉)teddybrinkofski.com。 这听起来对我来说是个坏消息, 可能妥协的证书? 但是,我也很可能在这个别的处女机器上做了些傻事。 无论如何,我不喜欢这个外域是在我的机器上。 ( grep的领域结果没有意义,但我可能不知道我应该找什么,所以我很高兴与您检讨的结果。) 无论如何,我感觉像我的服务器认为它应该从远程位置拉这个文件,这不太令人愉快。 欢迎大家的来访,如果我忘记了一些重要的事情,请告诉我。
我有Apache / PHP的设置完全是这样的: https : //wiki.apache.org/httpd/PHP-FPM 它包括所提到的ProxyPassMatch规则: ProxyPassMatch ^/(.*\.php)$ fcgi://127.0.0.1:9000/path/to/files/$1 这发送所有请求.php在它的代理,并最终服务的PHP就好了。 但是,我一直在尝试做一些访问控制,代理似乎优先。 我的文件夹结构是这样的: / <– PHP files /extra/ <– PHP files /css/ /img/ 应该有权访问根目录中的PHP文件,但我想限制访问extra目录。 我已经将这些行添加到我的主要configuration: <Directory "/extra"> Order deny,allow Deny from all </Directory> 但PHP文件仍然执行…当我把一个不同types的文件在文件夹中,它被成功阻止,所以指令工程。 我猜ProxyPassMatch规则是禁止它为PHP文件工作。 我已经尝试了一些东西,比如将ProxyPassMatch规则放在一个<Directory>块中(不起作用,因为你不能在这样的块中使用ProxyPassMatch )并用[P]标志replaceProxyPassMatch来写一个RewriteRule (类似于这个: Apache 2.4 + PHP-FPM + ProxyPassMatch ,但是没有被代理)。 我的问题几乎和这个一样: http : //www.gossamer-threads.com/lists/apache/users/417758 。 然而,它没有得到明确的答案。 让我感到困惑的是你需要有代理规则,但是当你把它放进去的时候,没有其他东西似乎很重要(.htaccess也不能工作了)。 此外,这提出了有关安全的问题。 所有带.php东西都没有受到我想象的访问规定的影响,直接进入系统的内部。 如何将PHP-FPM与Apache中正确的安全规则结合起来?
我们最近有人联系我们的公司,指出我们有很多安全威胁可以用来利用我们的系统。 他们非常好,提供了我们现在正在研究的这些列表,但是由于我们没有特别指定安全的人,所以我正在研究这些以便更好地理解这些列表。 虽然他提供了很多,但其中一个例子如下。 我不明白的是GET中的这个URL是如何串在一起的? 在“publicservers.php”中,它只是回声数据(没有数据库连接/等),没有任何内容。 “/fonts/game-servers.php/reset.css”是如何被附加到这个文件来创build一个漏洞? Request GET /publicservers.php/fonts/game-servers.php/reset.css?1=null'%20UNION%20SELECT%208%2C%20table_name%2C%20'vega'%20FROM%20information_schema.tables%20WHERE%20table_name%20like'%25 Resource Content <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>403 Forbidden</title> </head><body> <h1>Forbidden</h1> <p>You don't have permission to access /publicservers.php/fonts/game-servers.php/reset.css on this server.</p> <p>Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.</p> </body></html> Discussion I have detected […]
我在SuperUser上问了这个问题,之前没有意识到serverfault可能是一个更好的select。 我正在configuration运行Windows 7 SP1 Ultimate的计算机上的执行控制,只有一个硬盘和一个分区。 随着AppLocker来创build“默认规则”的选项。 在可执行规则组的情况下,如下所示: 允许所有人path%PROGRAMFILES%* 允许所有人path%WINDIR%* 允许BUILTIN \ Administratorspath* (没有例外。) 随着所有这些到位,“一切按预期工作”。 但是,如果前两条适用于“所有人”的规则被删除,事情就会出错。 现在,使用BUILTIN \ Administrators安全组中的帐户login将不再可能。 (如果该帐户以前已经login过,则可能需要重新启动计算机才能看到此问题,而且这不适用于仍然有效的BUILTIN \ Administrator帐户)。 当你尝试的时候会发生什么呢? 有一个延迟,当桌面应呈现屏幕变成空白。 然后,没有更多。 计算机不会变得没有响应,例如Ctrl + Alt + Delete仍然有效。 (如果我重新configurationAppLocker以明确允许%WINDIR%*的BUILTIN \ Administrators执行权限,或者为“Everyone”恢复该规则,则这些帐户可以再次login。) 根据MSDN : 星号(*)通配符可以在path字段中使用。 本身使用的星号(*)表示任何path。 与任何string值结合使用时,该规则仅限于文件path以及该path下的所有文件。 例如,%ProgramFiles%\ Internet Explorer *表示Internet Explorer文件夹中的所有文件和子文件夹将受规则的影响。 这对我来说意味着BUILTIN \ Administrators的默认规则应该完全重叠为“Everyone”创build的默认规则,在属于BUILTIN \ Administrators组的帐户的情况下使其成为冗余。 正如你所看到的,这似乎并非如此。 所以,我有两个问题: 为什么BUILTIN \ Administrators的默认规则本身不足以让属于这个组的帐户工作(即,它出了什么问题,以及因为这个问题而失败),以及; 什么是关于AppLockerconfiguration的工作pipe理帐户(不是BUILTIN \ Administrator)的最低权限configuration?
我正在转发一个端口到一个热泵的PLC /pipe理单元types的设备。 设备在端口80上接受来自局域网的本地连接。它在端口80上运行正常的网站进行pipe理。 当通过端口转发时,它根本不接受任何连接。 我的端口转发正在工作,因为我正在转发许多其他端口到其他设备/服务器。 什么让我感到痒的是,该设备不需要用户名和密码login到Web界面,并开始改变一些设置。 我想知道是否它的一个可能的安全function,丢弃不是来自局域网的数据包? 我努力了: TCP:1111 – > 80 UDP:1111 – > 80 (因为我没有排除疑难解答的选项,想知道是否可能有网站使用的一些辅助protocall运行) TCP:10556 – > 80 还尝试了所有以上 – 8080 我确实发了一封电子邮件给产品制造商,但不太希望得到答复。
我已经安装了modsecurity(2.8)。 因此,我制定了我的第一条规则来阻止垃圾邮件: SecRule REQUEST_HEADERS:Referer "buttons\-for\-website\.com" "phase:1,deny,status:403,id:666521134" 然后,当我在Firefox中伪造我的引用来testing,我的网站加载正常,但只要我刷新页面或转到另一个页面,然后只有我的IP被阻止。 我将它设置为阶段:1,但由于某种原因,它仍然允许处理请求并在加载之前对网页进行阻止。 有没有办法在服务页面之前立即阻止请求? 由于这个引用者会popup我的分析报告。 我认为阶段1假设在头部接收时阻止它。
我正在使用HP-A5120-24G-SI交换机,我正在问如何获取某个端口的端口安全模块的当前状态。 我可以使用查看当前设置 display port-security 输出: … GigabitEthernet1/0/2 is link-down Port mode is secure NeedToKnow mode is NeedToKnowWithMulticast Intrusion Protection mode is BlockMacAddress Max MAC address number is 1 Stored MAC address number is 1 Authorization is permitted … 你看,端口模式是安全的 , 入侵保护模式设置BlockMacAddress ,但我怎么能检查哪个MAC地址已被阻止在该接口? 我在问,因为在ProCurve交换机上,我可以简单地执行以下命令来显示状态: show interfaces brief IFACE_NUMBER 输出(对于iface 2): | Intrusion MDI Flow Bcast Port […]
问题: 我们的服务是使用一个合作伙伴服务电话的authentication。 它运行在作为networking服务帐户运行的IIS站点。 但是当我们以pipe理员身份(域帐户)运行testing代码时,服务调用将总是得到403错误(子状态代码是7:证书是必需的)。 我们已经validation: 将debugging器附加到我们发现该站点可以访问作为域帐户运行时的私钥的过程。 该证书位于域帐户的CURRENT_USER / MY证书存储区中。 证书授权链在证书库中是很好的。 这个证书的特殊之处在于它的根CA是一个公司内部的CA. 但是CA已经在信任根。 在IE中,如果我们直接访问一个https站点,这个证书不在popup列表中。 但它确实存在于IE选项 – 内容 – 证书 – 个人列表中。 问题: 似乎证书使用被某些安全设置(Windows或某些公司域策略)阻止,如何解决该问题?
我正在尝试使用Azurenetworking安全组创build一个简单的DMZ,使用梭子鱼WAF作为DMZ的公共入口点,但是我有一些麻烦,允许互联网stream量访问梭子鱼(然后被转发到我的内部负载平衡器为我的应用程序服务器)。 我应该如何使用SOURCE和DESTINATION IP前缀? 我努力了: 来源:0.0.0.0/0目的地: 梭子鱼的内部知识产权 来源:互联网目的地: 梭子鱼的内部知识产权 来源: 梭子鱼的公开知识产权目的地: 梭子鱼的内部知识产权 来源:0.0.0.0/0目的地: 梭子鱼的公开IP 我也尝试改变入口的优先级为100以及1000(其他都是900-500)。 我已经删除了虚拟机上梭子鱼的所有默认端点configuration(因为我发现这些似乎覆盖了networking安全组)。 当我没有安装networking安全组时,networking肯定能和梭子鱼一起工作,但是我想用networking安全组来确保我有一个“尽可能安全”的DMZ。 端点 Name | Type | Prty | Source IP | Port | Dest IP | Port | Protcl | Access DMZ NSG: Internet | Inbound | 100 | INTERNET | 443 | 10.106.164.20 | 443 | TCP | Allow […]
在我工作的公司里,有一个用户对电子邮件的使用不好,但为了certificate他在做什么,我们需要拦截所有收到的电子邮件给他,并从他那里发出所有的电子邮件,我是邮件服务器pipe理员,我有在Ubuntu上运行的sendmail。 是否有可能收到他的所有电子邮件,将其存储到另一个电子邮件帐户,然后通过sendmail将电子邮件发送给原始收件人? 例如,所有发送到[email protected]的电子邮件都必须存储在另一个帐户([email protected])上,然后交给他([email protected])。 所有来自[email protected]的电子邮件必须存储到另一个帐户([email protected]),然后发送给收件人。 我感谢您的帮助。 非常感谢。