我发现一些非常可疑的东西。 在Google链接之后连接到www.pulseexpress.com时,服务器会将您redirect到某个非常可疑的站点,并立即向您发送一个.exe文件: # host www.pulseexpress.com www.pulseexpress.com has address 173.236.189.124 # netcat 173.236.189.124 80 GET / HTTP/1.1 Host: www.pulseexpress.com User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2 Iceweasel/10.0.2 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en-gb;q=0.8,en;q=0.6,de-de;q=0.4,de;q=0.2 Accept-Encoding: gzip, deflate DNT: 1 Connection: keep-alive Referer: http://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDEQFjAA&url=http%3A%2F%2Fwww.pulseexpress.com%2F&ei=JfhkT_SuGYf40gG85MW_CA&usg=AFQjCNGlomNN7JWxEG7DUzbJyqnVFYkj7w&sig2=i5xsJPgIs1sbD6gpDzJ7OQ HTTP/1.1 302 Moved Temporarily Date: Sat, 17 Mar 2012 20:53:40 GMT Server: Apache Location: http://www.fdvrerefrr.ezua.com/ […]
我们刚刚获得了我们的第一台Windows Server 2008 R2服务器。这将是一个文件服务器。 但是,我遇到了一个奇怪的问题,这似乎是UAC的结果。 当我尝试共享文件夹时,我将所有人组设置为共享权限上的“完全控制”。 然后,我设置NTFS权限,以便在格式化NTFS卷时不会从默认安全描述符inheritance,并select删除当前描述符,以便我可以设置自己的。 我进行了设置,以便本地pipe理员组具有完全控制权,域\ Domain Admins组具有完全控制权,并且用户拥有的SYSTEM具有完全控制权。 当我这样做,我失去了作为域pipe理员的文件夹的权限。 是什么导致了这种情况发生? 该计算机已join到域中,并且Domain Admins组是本地pipe理员组的一部分(不过这并不重要,因为我专门拥有NTFS权限的域pipe理员)。 这是默认的NTFS安全描述符的样子: 这就是修改后的安全性: 为什么会导致login的域pipe理员和任何其他域pipe理员失去访问? 在Windows Server 2003机器上没有看到此行为。 编辑 :我已经做了一些更多的testing,似乎只有该机器的login用户被拒绝访问,即使用户login是Domain Admins组的成员。 域pipe理员通过networking访问共享没有问题。 编辑2 :好,谢谢你下面的Zoredache,我能够走上正确的轨道,弄清楚发生了什么事情。 这确实是UAC,但不是Windows Server 2008 R2上的默认UAC设置。 实际上,我们有一个域范围的UAC组策略对象,它正在更改服务器上的默认设置。 这是默认设置: 这就是GPO上的设置: 由于GPO优先于本地安全,所以阻止我看到NTFS权限或访问该文件夹。 我已经通过简单地将新的UAC GPO和WMI过滤到服务器来解决这个问题。
目前我正在为我们公司研究双因素authentication系统的选项。 目前我正在研究基于证书的令牌与基于一次性密码(OTP)的令牌(RSA SecurID是最常见的)之间的优缺点。 最初它只会保护我们的VPN,但可能在后期包含其他服务。 据我了解,到目前为止,基于证书的令牌似乎比OTP令牌有许多优点。 它们支持其他用途,例如引导前身份validation,全盘encryption,电子邮件签名等。基于证书的令牌可以在现场configuration,不需要像RSA这样的人来制造他们订购。 我知道他们需要PKI,而不是每个人都愿意设置或维护,而OTP令牌则不需要。 尽pipe上面提到基于证书的令牌似乎是最好的select,但是我得到的印象 – 也许是错误的 – OTP令牌仍然更受欢迎。 简单的情况是,它们比基于证书的令牌更便宜和/或更简单? 我错过了什么吗? 我对利弊的评估是否正确? 你为什么要select一个在另一个,在什么情况下?
编辑1: 我们的环境是混合的,大多数OSX与几个Windows和Linux的盒子。 更重要的是,Android和苹果手机也将需要定期进行无线访问。 我们有一个可用于运行Freeradius的红帽子。 所有networking设备都是基于思科(ASA + Catalyst交换机+ Aironet 1140 AP) 感谢HopelessN00b的反馈,我目前正在考虑Freeradius + PEAP作为我的解决scheme。 我正在准备一个testing平台,让授权服务器端的东西感受一下。 现在我们正在使用wpa2 key + MAC地址过滤,其中包括通过WDS连接的2个Cisco Aironet 1140。 它工作正常,但每个人都有相同的WPA2密钥,并且每次添加某个人时都必须对两个APconfiguration进行编辑,这稍微耗费时间。 我们在办公室里只有2个AP和12-15个人,不需要与其他地点同步。 我们是一个混合的mac / windows / linux办公室。 你会推荐什么样的设置? 一切都已经configuration,当我到达那里,我看到在AP的运行configuration2引用到半径服务器,但引用的机器似乎并没有打开这些端口,所以我怀疑这些线路是无效的。 我对么? 这里是运行configuration的副本: 接入点1: service password-encryption ! hostname wap ! logging rate-limit console 9 enable secret 5 [redacted] ! aaa new-model ! ! aaa group server radius […]
我一直在试图强化Nagios(如果有这样的事情……),但是还没有发现什么东西太明确,甚至不知道该看甚么。 我非常谨慎地保持Nagios的运行,直到我对其潜在的安全漏洞以及如何最好地消除这些漏洞,或者至less加强它,以便减less潜在的问题。 据我所知,我目前已经禁用了Nagios,直到我能find方法加强它。 没有Nagios进程正在运行,并且我运行了chkconfig nagios off 。 我的configuration如下: CentOS 6.3 x64 Nagios Core 3.4.1 以下是我的问题: 还有什么我需要检查,以确保Nagios被禁用? 在默认configuration下运行Nagios有哪些可能的安全漏洞? 我可以采取什么措施来使Nagios变硬?
我们的服务器托pipe了一千多个站点,其中一些似乎被恶意脚本劫持。 这些脚本运行通常由合法用户集体执行的操作,在我们的服务器上造成严重的骚扰,并且经常要求我们重新启动以清除负载。 我们没有办法找出它们是什么。 最近这些攻击已经开始影响我们的日常运作。 我们的错误日志文件大小为70mb,其消息类似于以下内容: [timstamp] [error] [client xx.xxx.xx.xxx] File does not exist: /path/favicon.ico (File exists. This is the majority of all log entries) [timstamp] [error] [client xxx.xxx.xx.xxx] client denied by server configuration: /path/to/cron.php (This is my TOP concern) [timstamp] [error] [client xxx.xx.xx.xx] Directory index forbidden by Options directive: /another/path [timstamp] [error] [client xx.xx.xxx.xxx] ALERT […]
下面两个GPO选项有什么区别? NETWORK ACCESS : DO NOT ALLOW storage of credentials or .NET passports for network NETWORK ACCESS : DO NOT ALLOW storage of passwords and credentials for network authentications
是什么阻止通过命名pipe道攻击Postfix的伪造数据呢? 我在我的系统上看到,他们允许写访问其他。 我想知道是否打开Postfix到DoS或其他forms的攻击。 prw–w–w- 1 postfix postdrop 0 Nov 28 21:13 /var/spool/postfix/public/pickup prw–w–w- 1 postfix postdrop 0 Nov 28 21:13 /var/spool/postfix/public/qmgr 我检查了皮卡(8)和qmgr(8)手册页,并在这里和其他地方search,但未能提供任何答案。 我没有发现任何关于命名pipe道的信息:甚至没有写到通常写给他们的信息,更不用说他们如何获得保护。 单词pipe或fifo甚至不会出现在文档中。
我知道如何通过在/etc/pam.d/su添加相应的configuration行来为所有轮组用户启用su而无需密码。 我不想为所有车轮使用者启用此function,但仅限一个特定使用者。 我正在使用FreeBSD 8.1。 我该怎么做呢? 更新回应下面的评论 这是一个pfSense框。 底层操作系统是FreeBSD 8.1,但是像往常一样,pfSense缺less许多function,特别是整个端口集合。 我希望有一个特权用户(在wheel组中)能够调用su – 而不必键入root密码。 为所有使用PAM的车轮使用者启用此function非常简单。 我不知道正确的PAMconfiguration允许绕过一个特定用户的密码。 我受到公司政策的制约,我可以做多less改变。 这是一个运行,关键任务的机器,我不能冒这个意外地把它关掉。 我inheritance了这台机器的pipe理,但是对其configuration的彻底改变在目前是不可行或不允许的。 我有PAM; 我没有sudo。 我希望我做了,但是我没有。
大约25小时前,我从UptimeRobot(uptimerobot.com)收到一封电子邮件,告诉我,我的网站已经closures了。 我跑到我的服务器机房,在那里我的TP-Link路由器完全没有响应(甚至从局域网侧),路由器上的交通信号灯闪烁着不快的速度等。我收到一条“朋友”的消息,有人知道他是一个白痴,走上了一个聊天频道,告诉大家要攻击我。 在经过17个小时的stream量攻击之后(每秒大约15000个数据包),我将networking移动到一个新的WAN IP,这显然阻止了这个攻击。 据我所知,那些不愉快的人仍然在攻击旧知识产权。 我为这个地址分配给谁而感到不好。 无论如何,在我切换IP之后,路由器上的红绿灯仍然闪烁,但仍然没有响应。 我给了它和调制解调器都硬重启; 在他们回来后,红绿灯已经减慢到正常速度,路由器现在响应。 问题是,networking仍然感觉像是在受到攻击 – 每当我ping到google.com( 显然是 up),我都会得到大约50%的数据包丢失,往返时间大约需要100ms – 与正常的30ms左右相比。 我已经重新启动了路由器和调制解调器几次,以为可能它们仍然受到来自攻击stream量的“堵塞”。 但是这被certificate是不成功的。 局域网本身就很好 – 我在不同的节点之间得到0%的数据包丢失,延迟低至0.051毫秒,所以我推断内部networking没有任何东西可以引起问题。 有没有人知道这里发生了什么? 有可能是我们的ISPpipe道完全积压与攻击发送的stream量? 这对我来说没有任何意义,只是想知道有没有人经历过这样的事情。 提前致谢。 编辑: 以下是从外部pingnetworking后的一些输出,以防有人感兴趣: (IP被省略了,因为在那次攻击之后我是偏执狂) PING xxxx (xxxx): 56 data bytes 64 bytes from xxxx: icmp_seq=0 ttl=59 time=47.797 ms 64 bytes from xxxx: icmp_seq=1 ttl=59 time=47.103 ms 64 bytes from xxxx: icmp_seq=2 […]