我碰巧遇到了一个情况,那就是我作为一名程序员负责100多个系统。 我们运行的所有东西都是Linux(Debian,Ubuntu,Centos),很高兴我们的系统pipe理员把所有东西都与主厨一起设置,所以安全补丁可以快速应用。 我想知道如何才能跟踪新发现的漏洞花费最less的时间。 作为程序员,我是Gemnasium的粉丝, 他为我的项目中使用的ruby做了这样的工作。
我最近有一个审计报告在我的Windows Server 2008 R2和它的错误/漏洞失败:微软的asp.net ms-dos设备名称DoS www(443 / tcp)。 我还没有能够find任何解决scheme来解决这个漏洞,因为没有任何解决scheme,谷歌build议如何正确使用ISAPI筛选器来阻止所有来自使用msdos设备名称的URL的请求,因为审计报告中没有提到这样的特定string。 应该有一个string添加到ISAPI筛选器来阻止所有这样的请求来解决此漏洞? 任何快速的帮助将不胜感激! 问候
在我的Windows 8.1局域网由14台计算机组成,有几个服务器专用于非常特定的任务。 (例如,“保存服务器”负责运行每日批处理脚本,该脚本连接到各种客户端,并从那里将相关文件复制到其存储空间。) 要启动这样一台专用机器,所需要的只是操作员远程启动相关机器(通过按下原生应用程序中的命令button,通过本地家庭自动化系统提供电源)。 例如,选定的机器接收电源,按照UEFI设置启动,并自动执行其脚本(在某些机器上,例如在“Save Server”上),当所有机器完成时,还包含Shutdown命令。 通常情况下,这些机器的准备时间是每天15至120分钟。 为了在开机时运行批处理脚本,这些服务器没有默认用户的密码。 (如果有的话,一个人需要身体上出现在机器前面并input证书,这是不可行的。) 如果“保证”不存在内部威胁 ,那么密码的遗漏是否是一种可被外部利用的漏洞? 毕竟,“外部世界”首先需要通过我的互联网网关(强烈)密码保护。 (或者换句话说,Google等人如何处理他们的服务器农场?我无法想象,所有这些机器都是个人密码保护的。)
问候, 谷歌说,我从我的IP发来太多的电子邮件。 由于我从来没有使用这个smtp来发送电子邮件,我怀疑我的后缀是有点错误configuration,所以我有一个开放的中继 google LOG entry: Oct 8 06:29:29 domU-12-31-39-00-C1-66 postfix/smtp[15217]: 79B661A0CC: to=<[email protected]>, relay=alt1.gmail-smtp-in.l.google.com[209.85.219.30]:25, delay=423271, delays=423209/0.03/31/31, dsn=4.7.0, status=deferred (host alt1.gmail-smtp-in.l.google.com[209.85.219.30] said: 421-4.7.0 [174.129.96.42] Our system has detected an unusual amount of 421-4.7.0 unsolicited mail originating from your IP address. To protect our 421-4.7.0 users from spam, mail sent from your IP address has been temporarily […]
Beyondtrust.com近期发布了一份报告,声称除其他外,还有其他相当引人注目的事情:“通过消除pipe理权限减轻了90%的关键Microsoft Windows 7漏洞” 他们提供的其他有趣的“事实”说,这些也通过不作为本地pipe理员运行缓解: 2009年有100%的Microsoft Office漏洞报告 Internet Explorer的94%和IE 8漏洞的100%在2009年报告 但是,阅读报告的第一页左右,我看到这一行: 如果以下语句位于“安全公告”的“缓解因素”部分,则认为通过删除pipe理员权限可以缓解漏洞, – 与具有pipe理用户权限的用户相比,其帐户configuration为拥有较less用户权限的用户受到的影响要小。 对我来说可能听起来相当虚弱,所以我想知道这一切是多么的有效。 我不想说没有pipe理员权限就不安全,我想这是众所周知的。 我只是想知道这些统计数据是否会用作参数中的弹药,或者用来将这种变化(将用户作为本地pipe理员移除)出售给业务方? 思考? 链接到报告(pdf) [这应该是一个社区维基?]
请原谅我,如果这个问题之前已经问过,或是脱离主题。 我安装的过去几个安全补丁是从阅读新闻文章中发现的,这些文章公开讨论适用于我的服务器上的软件的安全漏洞。 以下是我从文章中读到的两个例子。 Apache修复了范围头部缺陷,再次 新的JBOSS蠕虫感染未修补的服务器 不用说,我不高兴的是我必须发现所有地方Slashdot上存在的这些漏洞。 我已经补丁了这些,但是我想要有一些简单的方法来通知,或者我可以轻松地search与我有关的野外已知漏洞的位置。 我已经在重大的负面时间运行,所以定期更新安全补丁是完全无疑的。 在实践中,我需要忽视“理论上的弱点”。 你们中的任何一个都有关于在哪里可以find这样的信息来源的良好信息? 如果是这样,那么当有补丁可用于您感兴趣的软件中的已知漏洞时,是否有这样的服务能够提醒您? 编辑: 不知道downvotes是关于什么,我不清楚? 我的问题是OT吗? 我只是想把它放在那里,我并不是暗指打破理论上的漏洞是一个坏主意或浪费时间。 我只是说出我现实的压抑现实,在一个可怕的经济体中为一家小公司工作,我希望能够完成6人的工作。 不像下个月那样制作工资单的现实比我没有时间处理的理论安全漏洞更可能是我公司的倒闭。
我们的网站服务器最近经常被黑客攻击,我可以保护它
可能重复: 这些奇怪的访问请求是什么? 我在access.log收到了很多这样的请求: 203.186.107.226 – – [16/Oct/2012:07:07:39 +0000] "\xfc\x8f\xd29g\xc7O\x9bM\vE\x9ek\xb5'\xd2;\xce\xcf\x81\x85\xaf\xc5}y\xb0\xa1A\xf2,\xccj-%s\xc4\xf1\xe2\xb0t\xcfo" 400 303 "-" "-" 203.186.107.226 – – [16/Oct/2012:07:08:11 +0000] "\xfbC\x16\xcc\xbb" 501 293 "-" "-" 203.186.107.226 – – [16/Oct/2012:07:08:43 +0000] "\xf6\xf5n\x7fa" 501 293 "-" "-" 203.186.107.226 – – [16/Oct/2012:07:09:05 +0000] "\xbb\xc7x\xfac\x88\x80" 501 295 "-" "-" 203.186.107.226 – – [16/Oct/2012:07:09:15 +0000] "\x82\x7f\x99\x9atx\xe6\xa8\xf5o3" 501 299 "-" "-" 203.186.107.226 – […]
我们最近有人联系我们的公司,指出我们有很多安全威胁可以用来利用我们的系统。 他们非常好,提供了我们现在正在研究的这些列表,但是由于我们没有特别指定安全的人,所以我正在研究这些以便更好地理解这些列表。 虽然他提供了很多,但其中一个例子如下。 我不明白的是GET中的这个URL是如何串在一起的? 在“publicservers.php”中,它只是回声数据(没有数据库连接/等),没有任何内容。 “/fonts/game-servers.php/reset.css”是如何被附加到这个文件来创build一个漏洞? Request GET /publicservers.php/fonts/game-servers.php/reset.css?1=null'%20UNION%20SELECT%208%2C%20table_name%2C%20'vega'%20FROM%20information_schema.tables%20WHERE%20table_name%20like'%25 Resource Content <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>403 Forbidden</title> </head><body> <h1>Forbidden</h1> <p>You don't have permission to access /publicservers.php/fonts/game-servers.php/reset.css on this server.</p> <p>Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.</p> </body></html> Discussion I have detected […]
我的情况是,我有一个网站通过Windows Server 2012 R2标准中的IIS设置使用Windows身份validation已被检测为易受到NTLMv1攻击,所以我期待禁用此function,只允许NTLMv2。 从我对这个话题的研究中,发现了很多有用的信息,比如“匿名login”和“NTLM V1”什么的禁用? 和https://markgamache.blogspot.co.nz/2013/01/ntlm-challenge-response-is-100-broken.html 从这些链接和像他们一样,通常给出的唯一答案是在名为LmCompatibilityLevel的HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa下具有registry值并对其进行调整。 我已经尝试将其设置为值5,即客户端只使用NTLMv2身份validation,如果服务器支持它们,则使用NTLMv2会话安全性。 域控制器拒绝LM和NTLM身份validation响应,但它接受NTLMv2。 但是,当我这样做时,似乎我仍然能够成功地连接到网站使用我的Windows凭据从另一台服务器,我已经设置LmCompatibilityLevel设置为0,应该只使用/允许LM / NTLM。 我检测到使用NTLMv1身份validation的方式是通过Windows安全日志。 Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: – Package Name (NTLM only): NTLM V1 Key Length: 128 当在连接之前在客户端服务器上将registry值设置为3或更高时,“包名称”值将变为NTLM V2。 我也将本地和组安全策略networking安全:LAN Manager身份validation级别更改为仅发送NTLMv2响应。 拒绝LM和NTLM,但我从我的testing中了解到,对于相同的设置,这些实质上是不同的接口。 有没有人经历过这个或知道是否有一个不同的设置我错过了,我需要改变?