有一个看起来像这样的apache日志条目,其实我有一堆随着时间的推移传播。 XXX.XXX.XXX.XXX – – [27/Apr/2012:14:39:52 -0500] "-" 408 – "-" "-" 这不是一个GET或POST,方法是“ – ”。 任何人看到这样的要求? 这不是来自渗透testing仪,但是从2012年4月起,直到包括今天在内,我都从其他IP获得。 我们与408失败了,只是想知道什么人可能试图和减号search不起作用。
我试图检测不良的机器人活动。 如果在robots.txt中不允许使用但是对普通用户开放的information.php more than 500 times in a day by same IP address请求more than 500 times in a day by same IP address ,那么我认为可以安全地将用户标记为bot 。 另外,如果我从IP地址获得more than 100 bad login requests ,我想将其标记为bot活动。 (尽pipe我认为在1次错误的login尝试后向用户提供validation码会更好,但基于IP的解决scheme比基于会话cookie的解决schemeIMO实现起来有点困难) 最后,我想阻止已标记为机器人活动的IP。 我怎么去做这一切?
我有我通过sudo visudo添加的以下sudoconfiguration条目: mark ALL = NOPASSWD: /usr/bin/lxc-ls* 我可以用我的用户很好的运行lxc-ls ,但是我不能追加任何参数而不要求我用sudo前缀。 $ whoami mark $ lxc-ls test-container $ lxc-ls –fancy lxc-ls: error: You must be root to access advanced container properties. Try running: sudo /usr/bin/lxc-ls 任何想法如何我可以编辑通过sudo visudo允许在命令后的任何参数? 我不想用sudo作为命令的前缀,因为我正在使用python库来执行命令,而且它对sudo前缀很有趣。 更新: 我已经尝试删除*但也没有工作: $ sudo grep '\-ls' /etc/sudoers mark ALL = NOPASSWD: /usr/bin/lxc-ls $ lxc-ls test-container $ lxc-ls –fancy … […]
我已经阅读了以下没有回答我的问题的post: – 我的linux服务器被黑客入侵 我如何知道如何以及何时完成? – 如何知道我的Linux服务器是否被黑客入侵? – 以及更多… 服务器设置是这样的: – Ubuntu服务器是在路由器(Cisco EA6500)之后,没有端口转发(启用了uPNP)。 – 最愚蠢的想法是有一个用户密码user称为user 。 今天,我进入了PHP的webeditor通过SSH连接,并没有接受密码。 我发现服务器可能已被黑客入侵。 我发现如下: – 所有的服务器文件时间戳更改为我上次的logindate(今天) – 有一个cronjob /dev/shm/- /.ICE-UNIX/update >/dev/null 2>&1 添加了星期五 – 在ubuntu启动时出现错误,提示“错误variablesROOT未设置” 我做了什么: – 通过恢复控制台恢复密码 – build立一个小型的防火墙 , 试图进入ssh。 问题: – 我如何知道改变了什么? – 如果没有ssh端口暴露,他们是怎么进来的? 后来编辑:他们已经完整的离开了日志,我发现他们通过SSHinput并更改了密码。 过去几周里有很多sshlogin尝试。 我已经重新安装了系统,移动了端口,安装了防火墙,我正在检查路由器。 它肯定有安全漏洞。 谢谢你们!
我注意到我的服务器日志,我收到来自圣安东尼奥一个IP的意外请求。 这是垃圾邮件吗? 他们访问phpMyAdmin,pipe理..等是这个垃圾邮件? 184.106.130.137 184.106.149.110 – [21/Nov/2010:16:56:36 +0000] "GET //phpMyAdmin/ HTTP/1.1" 404 345 "-" "Made by ZmEu @ WhiteHat Team – www.whitehat.ro" 130.137 184.106.149.110 – [21/Nov/2010:16:56:36 +0000] "GET //pma/ HTTP/1.1" 404 345 "-" "Made by ZmEu @ WhiteHat Team – www.whitehat.ro" 184.106.130.137 184.106.149.110 – [21/Nov/2010:16:56:36 +0000] "GET //admin/ HTTP/1.1" 404 345 "-" "Made by ZmEu […]
请考虑以下几点: 192-168-1-106:~ michael$ telnet <remote_server_ip> 25 Trying <remote_server_ip>… Connected to li*****.linode.com. Escape character is '^]'. 220 mindinscription.net ESMTP Postfix (Ubuntu) quit 221 2.0.0 Bye Connection closed by foreign host. 这很糟糕吗? 如何保护端口25免受恶意攻击? 我已经build立了一个防火墙,但不知道在这种情况下做什么。 基本上我想使用此服务器只发送电子邮件作为警报消息,没有收到任何外部电子邮件。 非常感谢提前的帮助。
我的卧室里有一台Ubuntu服务器。 它连接到互联网。 昨天早上5点,它正在用硬盘(我听说)做了一些密集的I / O 20分钟。 我没有计划任何cron工作,而且之前没有这样做。 它可能被黑客入侵了吗? 或者我是偏执狂…是ext4文件系统做日志更新? 你会做什么来收集更多的信息下一次可能发生。 也许是IDS或…? 它在防火墙后面。
有一个Windows 2008服务器,有一个本地用户帐户,有一个已知的密码 – 让它成为用户“虚拟”和密码“dummy1”。 该本地用户只属于“用户”组。 攻击者没有本地访问服务器。 如果攻击者知道本地用户的用户名和密码,可以远程滥用服务器吗?
我昨天在HP ProLiant 360 G4上build立了我的Debian服务器。 我从最低限度的服务开始,只运行SSH和Apache,所有这些都使用默认configuration的标准端口。 大约一个小时前,我注意到系统的奇怪行为。 延迟明显增加,我无法执行远程重新启动。 我设法在15分钟内closures服务器。 我一直在浏览日志,并在auth.logfind这些条目: 4月3日17:31:35 karel sshd [25941]:input_userauth_request:无效的用户takeuchi [preauth] 4月3日17:31:35 karel sshd [25941]:pam_unix(sshd:auth):check pass; 用户未知 4月3日17:31:35 karel sshd [25941]:pam_unix(sshd:auth):authentication失败; logname = uid = 0 euid = 0 tty = ssh ruser = rhost = rrcs-70-61-237-202.central.biz.rr.com Apr 3 17:31:37 karel sshd [25941]:无效用户takeuchi的密码失败,来自70.61.237.202端口53004 ssh2 4月3日17:31:37 karel sshd [25941]:收到断开从70.61.237.202:11:再见[preauth] 4月3日17:31:39 karel sshd [25943]:无效用户从70.61.237.202 […]
几个月前,我做了一个有点出色的实验,今天我们有一个使用以下技术的Intranet门户: JeasyUI phpgrid Kibana 那么,基于我们的testing,为什么我们需要使用apache? PS:我不是无效的Apache,这个问题只是为了好奇 :编辑 当我的意思是“我们”,我的意思是“我们”作为使用小型networking应用程序的小团队