有谁知道如何定义一系列的IP黑名单在cPHulk暴力攻击设置? 我受到来自IPS 103.26.193 *和103.26.194 *的轰炸。 我谷歌search,并找不到在IP范围的具体说明或设置 步骤1 – input带星号(*)的范围: 第2步 – 更新黑名单(失败): 按照下面的@rholmes的答案,并使用这些设置来阻止外国黑客: 1.0.0.0/8 10.0.0.0/8 103.0.0.0/8 105.0.0.0/8 108.0.0.0/8 109.0.0.0/8 11.0.0.0/8 111.0.0.0/8 112.0.0.0/8 113.0.0.0/8 114.0.0.0/8 115.0.0.0/8 116.0.0.0/8 117.0.0.0/8 118.0.0.0/8 119.0.0.0/8 12.0.0.0/8 120.0.0.0/8 121.0.0.0/8 122.0.0.0/8 123.0.0.0/8 124.0.0.0/8 125.0.0.0/8 13.0.0.0/8 132.0.0.0/8 14.0.0.0/8 141.0.0.0/8 147.0.0.0/8 15.0.0.0/8 16.0.0.0/8 17.0.0.0/8 173.0.0.0/8 175.0.0.0/8 176.0.0.0/8 177.0.0.0/8 178.0.0.0/8 18.0.0.0/8 180.0.0.0/8 181.0.0.0/8 182.0.0.0/8 183.0.0.0/8 186.0.0.0/8 […]
我的Web服务器(apache2)不断受到恶意机器人的攻击,要求这样的URL: /blog/tag/pnphpbb2//index.php?name=PNphpBB2&file=posting&mode=quote/index.php?name=PNphpBB2&file=viewtopic&p=34004/viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&highlight=../../../../../../../../../../../../../etc/passwd%00 HTTP Response 301 //index.php?name=PNphpBB2&file=posting&mode=quote/index.php?name=PNphpBB2&file=viewtopic&p=34004/viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&highlight=../../../../../../../../../../../../../etc/passwd%00 HTTP Response 200 /wiki/index.php/Main:Some_Wiki_Pagename//index.php?name=PNphpBB2&file=posting&mode=quote/index.php?name=PNphpBB2&file=viewtopic&p=34004/viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&highlight=../../../../../../../../../../../../../etc/passwd%00 HTTP Response 200 /wiki/index.php//index.php?name=PNphpBB2&file=posting&mode=quote/index.php?name=PNphpBB2&file=viewtopic&p=34004/viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&highlight=../../../../../../../../../../../../../etc/passwd%00 HTTP Response 200 /blog/2009/01/title-of-post-here//index.php?name=PNphpBB2&file=posting&mode=quote/index.php?name=PNphpBB2&file=viewtopic&p=34004/viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&highlight=../../../../../../../../../../../../../etc/passwd%00 HTTP Response 301 我想要一个夜间的cron进程来find任何主机请求一个“恶意”的URL,并将它们添加到一个相当于hosts.deny的HTTP。 我会想象会有一组定义恶意URL的正则expression式,以及可能的一些Apache插件来轻松地拒绝主机(而不必每天晚上执行httpd重启)。 有这样的事情吗?
用户开始抱怨networking速度慢,所以我启动了Wireshark。 做了一些检查,发现许多PC发送类似于以下内容的数据包:(截图) http://imgur.com/45VlI.png 我模糊了用户名,计算机名称和域名的文本(因为它匹配互联网域名)。 计算机垃圾邮件试图暴力破解密码的Active Directory服务器。 它将以pipe理员身份开始,并按字母顺序排列在用户列表中。 物理上去PCfind附近没有人,这种行为是通过networking传播,所以它似乎是某种病毒。 扫描已经被恶意软件发送到服务器的计算机,超级反间谍软件和BitDefender(这是客户端的防病毒软件)不会产生任何结果。 这是一个有大约2500台PC的企业networking,所以重build不是一个有利的select。 我的下一步是联系BitDefender,看看他们能提供什么帮助。 有没有人看到这样的事情,或有什么想法可能是什么?
我有一个Windows Server 2008 R2系统,每天在Windows日志的安全部分显示数千个4625login失败错误,并且logintypes8(NetworkCleartext)。 在“源networking地址”中没有列出尝试访问系统的IP地址,所以用于阻止IP失败的脚本通常无法find它们。 这些login尝试可能来自哪些服务? 以下是其中一个例子: An account failed to log on. Subject: Security ID: SYSTEM Account Name: server-name$ Account Domain: example Logon ID: 0x3e7 Logon Type: 8 Account For Which Logon Failed: Security ID: NULL SID Account Name: Administrator Account Domain: Failure Information: Failure Reason: Unknown user name or bad password. Status: 0xc000006d […]
我今天正在和一个合作伙伴合作,我需要使用scp将file upload到我的服务器。 我在服务器的SSHconfiguration中closures了密码,所以我希望他们使用公钥authentication。 我在服务器上为它们生成了密钥对,并给了它们私钥并将公钥放在适当的authorized_keys文件中。 在他们解决了一堆问题之后,他们终于find了一个更有经验的系统pipe理员,他责备我这样处理关键的一代。 他说,通过给他们一个在我的系统上生成的私钥,我使他们能够对在同一台服务器上生成的其他密钥进行暴力攻击。 我甚至问他: “所以如果我有一个服务器上的帐户,我可以用密码login,但我想自动化一些东西,我在该系统上生成一个密钥对,然后给我一个强制其他的攻击媒介用户的密钥?“ 他说是的 我从来没有听说过,这是真的吗? 任何人都可以指出我对这次袭击的讨论吗?
我想select社区的大脑关于Linux服务器安全,特别是暴力攻击和使用fail2ban vs定制iptables 。 这里有一些类似的问题,但是没有一个能够让我满意。 总之,我试图确定最好的解决scheme,以保护暴露在互联网(运行通常的服务,SSH,网页,邮件)的Linux服务器,从暴力攻击。 我有一个体面的服务器安全处理,即通过不允许root或密码login,更改默认端口,确保软件是最新的,检查日志文件,只允许某些主机访问服务器和利用安全性lockingssh审计工具,如Lynis ( https://cisofy.com/lynis/ ),一般安全合规性,所以这个问题不一定就是这样,尽pipeinput和build议总是受欢迎的 。 我的问题是我应该使用哪种解决scheme(fail2ban或iptables),我应该如何configuration它,还是应该使用两者的组合来抵御暴力攻击? 关于这个主题有一个有趣的回应( Denyhosts vs fail2ban vs iptables-防止暴力login的最好方法? )。 对我个人而言,最有趣的答案是( https://serverfault.com/a/128964),iptables 路由发生在内核中 ,而fail2ban则使用用户模式工具来parsing日志文件。 Fail2ban当然使用iptables,但是它仍然需要parsing日志文件并匹配模式,直到执行一个动作。 那么使用iptables并使用限速 ( https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/ )在一段时间内从IP上删除请求的时间,在特定的时间内连接尝试过多,而不pipe它尝试连接的协议是什么? 如果是这样,那么有一些有趣的想法使用drop vs reject这些包( http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject ),对此有什么想法? Fail2ban允许自定义configuration的forms,能够编写自定义“ 规则 ”的服务,可能无法在默认configuration中解决。 它很容易安装和设置,function强大,但如果我试图实现的所有服务/协议超过一个x数量的两个失败的访问尝试是“ 阻止 ”从服务器的IP是一个矫枉过正的时间? 这里的目标是打开每日logging报告,而不必滚动浏览尝试失败的连接到服务器的页面。 感谢您花时间。
我需要打开MySQLd的networking连接,但是每当我这样做的时候,服务器就会被强行遗忘。 一些意味着密码猜测脚本开始在服务器上敲击,在端口3306上打开连接,并永久尝试随机密码。 我怎样才能阻止这种情况发生? 对于SSH,我使用了denyhosts,效果很好。 有没有办法让denyhosts与MySQLd一起工作? 我也考虑过改变MySQL运行的端口,但这不是理想的,只是一个解决scheme(如果他们发现新的端口呢?) 有没有人有任何其他的想法? 如果它变得不同,我在FreeBSD 6.x上运行MySQL 5.x。
我试图设置iptables规则,只允许3分钟的IP每分钟通过SSH连接到servir,并放弃所有的连接,以防止SSH攻击; 但似乎我做错了什么! -A INPUT -p tcp -m tcp –dport 22 -m state –state NEW -m recent –set –name DEFAULT –rsource -A INPUT -p tcp -m tcp –dport 22 -m state –state NEW -m recent –update –seconds 60 –hitcount 3 –name DEFAULT –rsource -j DROP -A INPUT -p tcp -m state –state NEW –dport 22 -j […]
我最近收到了一个build议我的密码超过20个字符的build议。 用于encryption的algorithm是具有256位主键的AES。 如何安全的,比方说,8字符密码反对暴力破解encryption文件的暴力攻击? 我知道这在大多数网站上被认为是一个很好的密码大小。 其中一个原因是,他们可以在3次左右后停止攻击。
我们运行社区产品。 英国有个人(一个小小的PoS小孩)在过去6个月里骚扰我们的网站。 他的日常任务是创build一个新帐户,发布一堆非法/煽动性内容,让人崛起,然后在几个小时内被pipe理员删除。 然后重复。 每当他创build一个新帐户(使用代理或其他类似的工具),他的IP地址就会改变。 唯一的共同点是顶级92.xxx我们已经尝试联系英国当局…虽然他们有兴趣,他们还没有提供任何可操作的。 同时,这种骚扰每天继续。 任何人都有如何杀死这个经验? 我很聪明地结束了这件事,希望以前处理过的人能够提供一些指导。 Thx提前。