我已经注意到在我的linux / apache服务器日志中,运行muieblackcat的僵尸计算机会定期尝试访问我的服务器上所有forms的phpmyadmin.php。 这很有趣,因为我有一个面向公众的search引擎,而不是search引擎上市或SEO'd网站,其内容很less。 我有.htaccessconfiguration从我的URL去除.php扩展名,所以没有人有一个legitamate理由search除我以外的域名.php文件。 那么如何自动禁止那些请求.php文件的IP呢? 如果我能为自己添加一个例外,那将是一件好事。 但这并不重要。
我们有一个网站服务器(VM)托pipe几个网站。 其中一个应用程序具有部分内联网和部分公共部分。 (存档/ docflow =内联网,客户发票=公共) 这个networking服务器目前在我们的局域网中有IP(例如IP): 11.11.0.80/20 。 我们的网关指向一个MPLS路由器( 11.11.0.33/20 ),从那里我们的互联网stream量 到我们有中央互联网接入的主机。 让我来解释一下主机托pipe的情况。 我们通过一台思科设备(MPLS提供商)进来,通过这台设备,一根电缆连接到一台HP ProCurve交换机,以访问来自MPLS(MPLS,Internet,DMZ)的不同VLAN。 然后,将为每个VLANconfiguration的端口连接到Juniper SRX240,以创buildtrust / untrust / dmz区域并执行NAT。 DMZnetworkingIP为11.172.1.0/24并在交换机电缆所在的Juniper 11.172.1.0/24端口上进行configuration。 现在,我的问题是我应该如何独立访问托pipe网站的一部分到我的networking( 11.11.0.0/20 ),而另一部分可以从外部访问。 (443,21)? 我的第一个想法是添加第二个网卡到networking服务器虚拟机,并正确地在我的SRX设备上设置NAT /防火墙,并在networking服务器上为每个网卡configuration防火墙? 虽然这有效地在DMZ中造成了可能的违约。 我不是这些东西的专家,但我有基本的知识,需要一些专家的意见。 请问是否有不清楚的地方。 感谢您的时间! 斯坦尼
Dan Kaminsky描述了DNS服务器如何被欺骗性的DNS响应中毒[1]。 据我所知,问题是Kaminskyfind了一种解决DNS查询中大多数其他随机来源的方法,这样攻击者的主要障碍是在生成欺骗时猜测DNS查询ID(熵的16位)响应。 平均而言,攻击者可以在32K猜测内欺骗回应。 所以,推荐的缓解措施是随机化源端口,每个人都应用他们的补丁,一切都很好。 除了这个数字只是从32k到134m到4b之间。 当然,这不可能很快完成,但病人攻击者仍然可以这么做 – 事实上,伯特·休伯特(Bert Hubert)计算出在100周内发起攻击在6周内有50%的成功几率。 [2] 我没有足够的声誉发布更多的链接。 但是,我发现在tools.ietf.org,RFC5452以及Google上已经考虑了许多技术方法,例如draft-wijngaards-dnsext-resolver-side-mitigation-01和draft-vixie-dnsext-dns0x20-00公共DNS安全文档: DNS标签位0x20(即cAsE.gAmEs) 绑定做这个? 我不能相信绑定不会实现Vixie提出的东西 但是,攻击可能会迫使查询不能显着消失的域名。 例如。 “d293823。” RTT绑定,IPv4 / IPv6select,源地址随机化(来自wijngaards) 我不认为这会增加显着的熵,但如果绑定可以,我会这样做。 (来自wijngaards)推荐的NS / nameserver / A / AAAA的权限查询 这似乎是一个优雅的解决scheme。 不明白它的问题。 这可能不是大规模部署的首选解决scheme,但对我的网站似乎是合理的。 可以绑定吗? 攻击模式故障计数器 可以绑定吗? 但是,如果我在DNS服务器前有一个有状态的防火墙,那么DNS服务器的问题计数器将永远不会看到有错误的目标端口到达的欺骗性响应? 回退到TCP(特别是进入攻击模式后) 询问两次/三次(特别是进入攻击模式后) 删除重复的查询(来自Google公共DNS) 不幸的是,即使在最新版本的Bind中,我也没有看到任何configuration选项。 所以我想问问还有什么可以做的,以防止这种欺骗攻击风格,特别是当我运行绑定。 如果缓解措施仍然是一个概率性的事情,那么我希望把这个可能性与一百万年来成功的攻击结合起来。 [1] http://s3.amazonaws.com/dmk/DMK_BO2K8.ppt [2] http://ds9a.nl/har-presentation-bert-hubert-3.pdf slide 24。
我按照下面的信息,但是,在服务器上inputlogin提示时,奇怪地阻止我input密码: 要将系统configuration为在多次不正确的login尝试后locking帐户,并要求pipe理员使用pam_faillock.so来解锁帐户: 在/etc/pam.d/system-auth中的pam_env.so语句正下方添加以下行: auth [default = die] pam_faillock.so authfail deny = 3 unlock_time = 604800 fail_interval = 900 auth需要pam_faillock.so authsucc deny = 3 unlock_time = 604800 fail_interval = 900 在多次不正确的尝试之后locking用户帐户可防止直接的密码猜测攻击。 确保pipe理员参与解锁locking帐户,可以适当地关注这种情况。 我应该提到这是一个kickstart光盘上的后脚本的一部分,但不应该导致任何错误…任何想法? 我正在使用的确切线是: sed -i“/pam_fprintd.so/i auth [default = die] pam_faillock.so authfail deny = 3 unlock_time = 604800 fail_interval = 900 \ nauth required pam_faillock.so authsucc […]
我正在尝试确定哪些服务器和工作站等符合PCI规范。 PCI DSS SAQ-D规定任何“存储,处理或传输持卡人数据”的设备都在范围之内。 那么会计部门用来login银行网站的电脑如何查看完整的卡号呢? 电脑本身不存储,处理或传输持卡人数据。 这些会计电脑是否在范围之内?
最近的networking扫描发现了以下漏洞:Apache Struts s:a / s:url标记href元素XSS。 以下是有关此漏洞的更多信息的链接: http : //osvdb.org/show/osvdb/54122 我想补丁这个漏洞,但是我读过的所有东西都说你需要更新struts包。 但是,在我的情况下,这个包没有安装。 我有红帽企业Linux 5与Apache 2.2.3。 struts捆绑在那里? 我怎样才能解决这个问题?
代D: 这是构buildsecast-1.0.4.0-x86_64-ub12时出现的一个新问题,在之前的版本secast-1.0.1.0-x86_64-ub12中没有发生。 当secast作为服务运行(服务secast start)或者在守护进程模式(/ usr / local / secast / secast)下从命令行启动时,几秒钟后退出,没有任何明显的原因。 启动以前版本的secast时,它将按预期保持运行状态,直到通过用户操作明确closures为止。 在前台运行secast的最新版本(/ usr / local / secast / secast -f)时,这个问题并不明显。 这里是/ var / log / secast文件的内容(注意“General,Received shutdown request via HUP”),表示在守护进程模式下运行时的问题: 2014-06-25T15:14:43, 00000100, S, General, SecAst starting as daemon under process ID 2059 2014-06-25T15:14:43, 00001700, D, Database, Database manager thread started 2014-06-25T15:14:43, 00000100, D, General, […]
代D: 这是在观察到这个问题时的设置:Ubuntu 12.04.4服务器LTS上的secast-1.0.1.0-x86_64-ub12,带有Asterisk 11.10.2。 在离开seacast(build secast-1.0.1.0-x86_64-ub12)运行后,/ var / log / secast中捕获并观察到以下事件: Sun Jun 22 14:22:45 2014, 00001403, D, Asterisk, IP '' added to watch list Sun Jun 22 14:22:45 2014, 00000510, I, Asterisk, Detected potential intrustion attempt by username '%40102' at IP '' using protocol 'SIP' through security log '/var/log/asterisk/messages' Sun Jun 22 14:23:05 2014, […]
以下是我的nginxconfiguration文件。 它应该使/ inc和/ admin / inc内部,但我可以正常访问他们,就像行甚至不存在。 这不是给我一个外部的请求404应该。 我已经尝试过拒绝所有的 相反只是为了testing它是否匹配,但即使否认所有都没有解决。 我试过#nginx和几个系统pipe理员的朋友,我在这里提到。 server { listen 80; root /var/www; server_name localhost; location / { rewrite ^/((?i)sitemap-([^./]+)\.xml)$ /misc.php?google_seo_sitemap=$2; try_files $uri $uri/ /index.php$uri&$args; index index.php; } location /inc { internal; } location /admin { include inc/adminip; location /inc { internal; } location ~ \.php$ { include inc/php; } } error_page […]
我有这个设置: ________Company LAN_______ _________ . '| _________ | | .| BUNCH OF | | | Server1 |–> . | SECURITY | MyHost | |_________| .| |_________| . |__________________________ 我的主要目标是查看Server1发送的包。 Server1周期性地发送数据包到指定的target IP ,我可以改变。 如果我将MyHost设置为目标IP并使用Wireshark,则由于公司的防火墙,我将无法捕获任何内容。 出于这个原因,我需要一个运行嗅探器或公司以外的服务器,如下图所示: ________Company LAN_______ _________ _________ | _________ | | | | | BUNCH OF | | | Server1 |—>—| Server2 | | […]