我运行了几个IIS Web服务器,一个在win server 2008 R2上,另一个在2003上。完全打补丁和最新的AV。 在没有NAT连接的情况下运行8个WAN IP 2003年的机器似乎突然间使用了很多带宽(ITRO每天1-2GB)的UPSTREAM。 这是愚蠢的,因为它只是举办3个非常低的带宽网站(比如说每天最多100页的请求) 看资源监视器,我看到什么似乎是一个几乎不变的连接到一个未知的IP地址(外部),所以我把它阻止在Windows防火墙。 2个小时后,我看到另一个不相关的IP绘制了很多带宽…(甚至不相似) 我怎样才能确切地找出哪个进程“喂”这个连接? 它提到了一个通用的svchost,运行了大约6个进程(尽pipe不是IIS),但是,就我所能缩小它而言。 编辑 – Aditional:我刚刚重新启动服务器,现在注意CPU和networking使用中的锯齿模式,对应于Winlogon和csrss ….
我正在写办公室的一些.VBS代码,允许某些文件扩展名在Windows7x32系统上没有警告对话框下载。 我写这个的系统是在一个分段的子网上的实验室里。 所有的networking访问都是通过代理服务器。 访问我的机器的唯一方法是通过互联网或从实验室的AD域内。 在编写和testing我的代码时,我发现了一个sorting的消息。 刷新registry来validation我的代码改变了一个dword ,而不是消息HELLO写入,并在dword值被称为注册的可见。 我拍了一个屏幕截图,然后编辑我的代码。 这同样奇怪的行为发生在我上次写的registry代码,除了在另一台内部服务器上。 我知道Windows系统存在远程registry访问。 一旦我回到办公室,我会马上阻止。 我想知道的是,我可以跟踪谁build立这种联系? 我将如何做到这一点? 我怀疑这是造成我在工作中遇到的其他“奇怪”行为的原因,比如我的input控制器主控失去了一个多小时的控制权,以及没有任何逻辑区域的突然失败的代码。 这些故障发生在有趣的时候,每当我要演示我的testing代码。 我知道这听起来很疯狂,但registry组件的知识使得这个可信。 一旦可以访问registry,整个系统就会受到影响。 这是在每个人都是域pipe理员的testingnetworking上,因此该组中的任何人都可以启用远程registry访问。 远程协助可以秘密启用吗? 任何帮助或理智检查表示赞赏。
我只是看我的Web服务器的日志文件,看到一些SSHD的日志条目。 我可以看到有人不断尝试通过ssh连接错误的用户名和密码。 我只是偶然看到这一点。 除了sshd日志,我还应该注意哪些其他程序/服务/日志可能的黑客行为。
我需要一些帮助,我的服务器提供商联系我告诉我我的服务器使用200mbit / s的带宽。 经过调查,我find了一个不应该在那里的用户进程..我发现过程如下: 26269 511 Nov27 ./stealth 58.22.68.253 53 775 511 Oct12 ./eggdrop -m botnick.conf 我知道eggdrop是IRC,我的问题是,我在哪里可以find这些进程的软件安装位置?
有没有人有经验在Linuxnetworking服务器(特别是CentOS)上运行反病毒软件,你有什么build议? 我有兴趣把它放在一个Web服务器上,作为检测和防止网站泄密的一种方法(比整个服务器还要妥协,尽pipe这样做也不错)。 尽pipe理想的情况是所有的网站都有完美的安全性,但由于事情并不十分完美,所以最好还是有一个安全措施。 在过去,我看到卡巴斯基在恶意JavaScript文件在Windows机器上运行时就会捕获恶意JavaScript文件,因为它们提供了支持CentOS的Linux产品,但是如果有更好的东西,我也会感兴趣,或者如果有人遇到不好的经历有了它,请分享。 我的意愿是一个大的商业支持,所以他们有资源和人员的时间,以保持最大的威胁,但如果有人已经尝试了ClamAV和一个或多个商业的,并认为ClamAV更好(或有其他的理由说ClamAV更好),我一定有兴趣知道。 谢谢!
我今天login到我的服务器,并在我的目录浏览窗口的顶部看到以下无法识别的代码: document.writeln(“”); var el = document.createElement(“iframe”); document.body.appendChild(el); el.id ='myname'; el.name ='myname'; el.style.width =“1px”; el.style.height =“1px”; el.scrolling =“auto”; el.frameBorder =“0”; el.src =“[作者编辑,未知url在这里]”; 我不认识的URL(我已经编辑出)。 此外,我的phpBB3留言板在顶部有一些phpBBdebugging和PHP通知,这些对我来说都是新的。 此外,论坛代码中的一些链接似乎已经被垃圾字符破坏了。 没有额外的内容被添加或删除,但这引起了我的一个主要关注。 我网站上的每个页面都受到Apachelogin提示的保护,我认为这是足够的保护。 我受到过攻击,还是在阴影中跳跃?
可能重复: 我的服务器被黑了应急 我的网站遭到黑客入侵,虚拟服务器上的所有网站也遭到黑客入侵。 我需要知道他们是怎么进来的 他们在所有index.php文件中更改的代码如下所示: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <title>hacked by jago-dz</title> <meta name="generator" content="Web Page Maker (unregistered version)"> <style type="text/css"> /*———-Text Styles———-*/ .ws6 {font-size: 8px;} .ws7 {font-size: 9.3px;} .ws8 {font-size: 11px;} .ws9 {font-size: 12px;} .ws10 {font-size: 13px;} .ws11 {font-size: 15px;} .ws12 {font-size: 16px;} .ws14 {font-size: 19px;} .ws16 {font-size: 21px;} […]
我在Windows Server 2008 R2上运行一个网站。 查看IIS日志,我注意到有一些IP地址反复请求某些URL(例如/mysql/phpmyadmin/main.php,/phpadmin/main.php),因为该网站是完全不存在的服务于ASP.NET。 他们显然在捕捞已知的漏洞。 我的问题是,有没有防火墙或其他工具(Windows内置或商业),允许我阻止多次请求某些URL的IP地址?
我有一个系统,我想尝试在启动时隐藏一些对话框。 我已经摆脱了login,欢迎屏幕和各种东西,但仍然有一些讨厌的对话,我似乎无法隐藏。 有“加载您的个人设置”对话框“应用您的个人设置”对话框。 有谁知道如何隐藏它们?
我所有的服务器都被黑客入侵,现在我已经准备好开始locking我的networking服务器了。 他们目前正在运行Ubuntu 12.04 nginx 1.27 PHP5-FPM PHP的5.4.14 MySQL 5.5 postgresql 9.1 Redis的 proftpd的 BIND9 SSH 我不知道他们是如何被黑客入侵的。 有什么build议来减less再次丢失我的服务器的机会?