我们有一些安全组织,其中有相当多的规则。 为了适应微小的差异,不必重新创build许多安全组的相同规则,是否可以复制安全组作为起点,或使用inheritance等?
我们的业务是YouGotaGift.com,一个网上商店的礼品卡,两天前有人创build了一个名为YoGotaGift.com(你错过了你 )的网站,并发送了一个邮件活动,许多人在网站上有一个促销,当你去到网站(作为专业的IT人员)会立即将其识别为一个骗局网站,很多人不会,所以他们会在该网站上进行交易,他们将不会收到任何他们支付的费用。 所以我们切换到恐慌模式试图弄清楚该怎么做,而我作为CTO做的是: 向网站报告了PayPal(网站上唯一可用的付款方式),但显然需要很长时间,许多有争议的交易才能closures网站。 向域名注册公司报告了网站,他们合作,但停止网站需要法院或ICANN的法律命令。 向主机公司报告网站,没有回应。 检查了WHOIS数据,他们复制了我们的公司信息,并在邮政编码和电话号码中更改了两位数字,这是无效的。 向迪拜当地的警方报告了这个网站,但同时也花费了大量的时间和调查来封锁一个网站。 发送一封电子邮件给我们的客户群,告诉他们知道,并且总是检查他们是否在我们的HTTPS网站上,并在购买时检查域名。 我主要担心的是,很多报告他们收到邮件的人(超过10人)在我们的邮件列表中,所以我害怕有人从我们的服务器中获得一些信息,所以我: 检查系统访问日志以确保没有人访问我们的SSH。 检查数据库访问日志以确保没有人尝试访问我们的数据库。 检查防火墙日志以确保没有人以任何方式访问服务器。 之后,我的顾虑转移到我们用来发送电子邮件活动的邮件软件上,我们之前使用过MailChimp ,我不认为他们会访问它,但是现在我们使用了Sendy ,而且我担心他们访问了它,我检查了网站论坛,发现有人用Sendy报告了一个漏洞,而且在我们的邮件列表中注册的很多邮件都没有收到来自欺诈网站的电子邮件,所以我觉得有一点舒服。没有人得到我们的数据。 所以我的问题是 : 我还能做些什么来确保没有人获得我们的邮件列表或数据? 我还能做些什么来报告,也许拿下的网站? 当您怀疑未经授权访问您的服务器或数据时是否有恐慌模式列表? 你怎么能防止这样的未来事件?
在研究防止CryptoLocker的方法的同时,我看到一篇论坛post,build议使用组策略对象 (GPO)和/或防病毒软件阻止在以下位置的运行访问: %应用程序数据% %LOCALAPPDATA% %TEMP% %用户资料% 压缩的档案 显然,任何写在论坛上的东西都应该谨慎对待。 不过,我确实看到了这样做的好处,主要是因为恶意软件喜欢在这些位置执行操作。 当然,这也会影响到合法的程序。 阻止对这些位置的运行访问有什么缺点? 有什么优势?
我们的网站经常受到来自中国IP地址的机器人的攻击,试图利用我们的系统。 虽然他们的攻击certificate是不成功的,但是他们却是我们服务器资源的不断stream失。 这些攻击的例子看起来如此: 2010-07-23 15:56:22 58.223.238.6 48681 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.4/scripts/setup.php 400 – Hostname – 2010-07-23 15:56:23 58.223.238.6 48713 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.5/scripts/setup.php 400 – Hostname – 2010-07-23 15:56:23 58.223.238.6 48738 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.6/scripts/setup.php 400 – Hostname – 2010-07-23 15:56:24 58.223.238.6 48761 xxx.xx.xx.xx 80 HTTP/1.1 GET /phpMyAdmin-2.6.7/scripts/setup.php 400 – Hostname – […]
TL; DR 我很确定我们的小networking已经被某种蠕虫病毒感染了。 但是,这似乎只是困扰我们的Windows XP机器。 Windows 7的机器和Linux(好,是)电脑似乎不受影响。 反病毒扫描没有显示任何内容,但是我们的域名服务器在各种有效和无效的用户帐户(尤其是pipe理员)上logging了数千次失败的login尝试。 我怎样才能阻止这种身份不明的蠕虫传播? 症状 我们的一些Windows XP用户报告了类似的问题,尽pipe不完全相同。 他们都经历了软件启动的随机关机/重启。 在其中一台电脑上popup一个对话框,直到系统重启,显然是由NT-AUTHORITY \ SYSTEM启动的,并且与RPC调用有关。 这个对话特别与详细描述早期的RPC利用蠕虫的文章中描述的完全一样。 当两台计算机重新启动时,他们在login提示符(他们是域计算机)回来,但列出的用户名是'pipe理员',即使他们没有以pipe理员身份login。 在运行域的Windows Server 2003计算机上,我注意到来自各种源的数千次login尝试。 他们尝试了所有不同的login名,包括pipe理员,pipe理员,用户,服务器,所有者等。 一些日志列出了IP,有些则没有。 那些有源IP地址(对于失败的login),其中两个对应于两个Windows XP机器遇到重新启动。 就在昨天,我注意到来自外部IP地址的一系列失败的login尝试。 traceroute显示外部IP地址来自加拿大ISP。 我们不应该有从那里的连接(有我们有VPN用户虽然)。 所以我仍然不确定来自foriegn IP的login尝试是怎么回事。 似乎很明显,某些恶意软件在这些计算机上,它所做的一部分工作是尝试枚举域帐户上的密码以获得访问权限。 我到目前为止做了什么 在意识到发生了什么之后,我的第一步是确保每个人都在运行最新的反病毒并进行扫描。 在受影响的计算机中,其中一个是过期的防病毒客户端,另外两个是当前版本的Norton,两个系统的全面扫描都没有任何结果。 服务器本身定期运行最新的反病毒,并没有显示任何感染。 所以基于Windows NT的计算机有3/4具有最新的反病毒,但是它没有检测到任何东西。 不过,我确信有一些事情正在发生,主要performance在各种账户的数千次失败的login尝试。 我也注意到,我们的主文件共享的根目录具有相当开放的权限,所以我只是将它限制在正常用户的读取+执行。 pipe理员当然有完整的权限。 我也要让用户更新他们的密码(强大的),我将重命名为pipe理员在服务器上,并更改其密码。 我已经把networking中的机器拿走了,一个正在被一个新的机器所取代,但是我知道这些东西可以通过networking传播,所以我仍然需要深入到底。 此外,服务器有一个只有某些端口打开的NAT /防火墙设置。 我还没有完全调查一些端口打开的Windows相关的服务,因为我是从Linux的背景。 怎么办? 所以所有的现代和最新的反病毒都没有发现任何东西,但我绝对相信这些电脑有某种病毒。 我将其基于XP机器的随机重启/不稳定性,以及来自这些机器的数千次login尝试。 我打算做的是在受影响的机器上备份用户文件,然后重新安装Windows并重新格式化驱动器。 我也正在采取一些措施来确保可能用于传播到其他机器的公共文件共享。 了解这一切,我能做些什么来确保这个蠕虫不在networking的其他地方,我该如何阻止它蔓延? 我知道这是一个旷日持久的问题,但是我在这里已经深入了解并且可以使用一些指针。 感谢您的期待!
是否值得运行fail2ban , sshdfilter或类似的工具,黑名单IP地址尝试和无法login? 我看到它认为这是一个“安全”的服务器上的安全剧场。 不过,我觉得这可能使脚本小子移动到列表中的下一个服务器。 假设我的服务器是“妥善保护”的,我并不担心暴力攻击会真正成功 – 这些工具是否简单地保持我的日志文件清洁,还是我在阻止暴力攻击方面获得任何有价值的好处? 更新 :关于蛮力猜测密码的评论很多 – 我提到我并不担心这一点。 也许我应该更具体一些,并询问fail2ban是否对仅允许基于密钥的sshlogin的服务器有任何好处。
我不知道SELinux在哪里被使用,以及从攻击者那里可以节省多less。 我已经浏览了SELinux的网站,阅读了一些基本的内容,但是仍然没有得到关于SELinux的线索。 对于提供SSH shell的Linux系统,Apache前端,基于angular色的web应用,MySQL DB,memcached,几乎所有的系统都是密码保护的,那么为什么我们需要SELinux?
我最近在我的DrayTek Vigor 2830路由器中发现了一个DoS防御设置,默认情况下它是禁用的。 我正在这个networking上运行一个非常小的服务器,我非常认真地让服务器24/7全天候运行。 我有点不确定DoS防御能否给我带来任何问题。 我还没有经历任何DoS攻击,但我想避免可能的攻击。 是否有任何理由不启用DoS防御设置?
据互联网风暴中心称 ,似乎有一个SSH零日漏洞。 这里有一些概念validation码和一些参考资料: http://secer.org/hacktools/0day-openssh-remote-exploit.html http://isc.sans.org/diary.html?storyid=6742 这似乎是一个严重的问题,所以每个Linux / Unix系统pipe理员都应该小心。 如果这个问题没有及时修补,我们如何保护自己? 或者你如何处理一般的零日漏洞? *我会在回复中发表我的build议。
乍一看这似乎是一个愚蠢(或邪恶)的问题,但请允许我详细说明… 我们已经在公司networking和代理上实施了各种措施,以防止某些文件types下载到公司机器上。 当点击下载这些文件时,大多数文件,甚至与exe的内部压缩文件被阻止。 但一些“进取”用户仍然设法下载工作。 例如,我站在某人(不了解我或我工作的部门)的后面,在我们眼前改变了以“.exe”结尾的URL到“.exe?”,并且浏览器去了马上就下载了“未知”文件types。 从那时起,我们已经堵住了这个漏洞,但是我想知道是否有人知道任何绕过networking安全和检查软件的恶意文件下载方式。 或者,如果你知道一些你可以发誓的商业软件是防弹的,那么我们可以试用一段时间。 任何帮助赞赏…