这更多的是一个理论上的问题和要求的build议和指针,而不是关于特定软件的问题。 我有一个发行版的Linux机器(意思是我不太在意把什么放在那里atm),我打算把它放在一个地方,那里的位置不是很安全(长话短说),在那里是服务器被物理移除并打开数据提取的风险。 是否有一种方法可以让黑客尽其生命,即使他们可以select将硬盘驱动器拔出来,并基本上做他们想做的事情? 有问题的软件是一些locking的网站,用户文件,MySQL数据库等,所有漂亮的标准东西的LAMP机器。 所有想到的是encryption整个FS(没有问题添加更好的主轴和更多的CPU肌肉),但除此之外还有什么?
可能重复: 我的服务器被黑了应急 有一个文件,保持感染这个代码。 我无法弄清楚为什么。 所以我想logging谁上传或更改文件。 有没有办法logging谁上传或更改特定文件? PS:没有FTPlogin。 我们只使用SSH和Plesk。
我发现一些非常可疑的东西。 在Google链接之后连接到www.pulseexpress.com时,服务器会将您redirect到某个非常可疑的站点,并立即向您发送一个.exe文件: # host www.pulseexpress.com www.pulseexpress.com has address 173.236.189.124 # netcat 173.236.189.124 80 GET / HTTP/1.1 Host: www.pulseexpress.com User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:10.0.2) Gecko/20100101 Firefox/10.0.2 Iceweasel/10.0.2 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en-gb;q=0.8,en;q=0.6,de-de;q=0.4,de;q=0.2 Accept-Encoding: gzip, deflate DNT: 1 Connection: keep-alive Referer: http://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDEQFjAA&url=http%3A%2F%2Fwww.pulseexpress.com%2F&ei=JfhkT_SuGYf40gG85MW_CA&usg=AFQjCNGlomNN7JWxEG7DUzbJyqnVFYkj7w&sig2=i5xsJPgIs1sbD6gpDzJ7OQ HTTP/1.1 302 Moved Temporarily Date: Sat, 17 Mar 2012 20:53:40 GMT Server: Apache Location: http://www.fdvrerefrr.ezua.com/ […]
我在我的服务器上创build了一个用户john ,并将他添加到SVN组中,以便我们可以共享我们的代码,一切都看起来不错。 现在我想阻止这个用户通过SSH连接到控制台或shell。 在/etc/ssh/sshd_confing文件中添加以下/etc/ssh/sshd_confing行: Match User john ForceCommand svnserve -t 我想问问我的configuration是否足够安全? 通过SSH的SVN命令正常工作。 当他尝试连接时,他会得到: blueprint:~ john$ ssh john@91.***.***.96 -p **5 john@91.***.***.96's password: ( success ( 2 2 ( ) ( edit-pipeline svndiff1 absent-entries commit-revprops depth log-revprops partial-replay ) ) ) ^CConnection to 91.***.***.96 closed. blueprint:~ john$ 我有两个问题: 是这个吗? 有没有办法让john以某种方式login我的服务器? 在服务器上是否存在一个选项来返回给他一个不错的消息You do not have permission to login! […]
我刚刚看到这出现在我们的服务器日志中… / P / 2112 / FBA73F59E6F7E78CCFF29DD8BDF46ECCAE5B73145E023BFB207C971E835645245C62CA0296DA6CDA4E62613A9C10C0DADBA941D2AD68005E57EFDC84A8ECD0ADC37C0214AD76755E48D6D1BAABF 它会持续一段时间。 事实上,这只是一个这样的事件的不到10%,还有很多类似的事件。 由于我们的服务器上没有名为“/ P /”的文件夹,因此我怀疑有人企图进行破解。 有人认识到这一点吗? 顺便说一句,当时我正在查看日志的原因是我们的服务器刚刚崩溃,我不禁想知道它是否相关。 服务器是Apache / 2.0.54(Unix)PHP / 4.4.2 mod_ssl / 2.0.54 OpenSSL / 0.9.7a JRun / 4.0
所以上周,EC2上的一个实例停止了响应,我仍然不知道为什么,因为我不能再SSH进入,我怀疑被挂载到另一个驱动器的/ tmp /目录不能再被访问,原因不明。 我有一些非常重要的文件,我需要离开这台服务器… 我仍然能够在AWS控制台中取得日志,这里有一些非常相关的行(我仍然可以重新启动服务器): Welcome to CentOS release 5.4 (Final) Press 'I' to enter interactive startup. Cannot access the Hardware Clock via any known method. Use the –debug option to see the details of our search for an access method. Setting clock : Thu Dec 29 13:52:43 EST 2011 [ OK ] Starting udev: […]
我已经inheritance了一个受到威胁的Web服务器。 试图找出为什么Apache挂起和高服务器负载的原因,我发现perlbot 4.5 / tmp的几个副本。 我现在想弄清楚他们是如何进入机器的,所以我可以closures这个孔。 我一直在寻找各种扫描仪,nessus似乎不错,我在机器上和一个网站托pipe扫描。 但是有几百个网站,任何人都知道所有这些网站的内容,而且我是新来的,所以我真的不知道他们会做什么。 正在扫描每个网站的最佳select? 你会如何检查同一台机器上的这么多网站的问题? 编辑添加:我们正在擦拭一切,从后备恢复。 这是好的,但仍然让我们打开原来的漏洞。 用Nessus或Metasploit一次一个地扫描每个站点,试图弄清楚这个漏洞是什么? 编辑2:这是phpmyadmin。 即使这是我一旦注意到我们正在运行它就会升级的东西,但是我特别通过apache日志来发现问题。 nessus和metaspolit是整齐,但没有帮助。 (我可能不知道如何充分利用它们,我只是运行基本的自动扫描)。
大约4或5天前,一位客户回到我说,他们的网站被redirect到谷歌,雅虎等其他可疑的网站,但是当用户在浏览器地址中input网站的URL时,酒吧直接。 我尝试联系我的托pipe服务提供商,但他们一开始没有任何帮助,然后似乎永远找不到问题。 等着沮丧,我开始寻找发生了什么事。 在Google上search一些解决scheme之后,我发现我的.htaccess文件被黑客入侵了。 什么是: <Files *> Header set Cache-Control: "private, pre-check=0, post-check=0, max-age=0" Header set Expires: 0 Header set Pragma: no-cache </Files> 已经变成 <Files *> Header set Cache-Control: "private, pre-check=0, post-check=0, max-age=0" Header set Expires: 0 Header set Pragma: no-cache </Files> //several hundred empty lines later RewriteEngine On RewriteCond %{HTTP_REFERER} .*google.* [OR] RewriteCond %{HTTP_REFERER} […]
我有一个小型的游戏网站,有400名成员(约50人活跃)build立在MySQL数据库周围。 我是唯一的开发者,而且我是一个业余爱好者,所以我会公平地分享一些错误。 为了保护我自己,网站和我的成员的贡献,我有一个纯文本“我们遇到了错误”的消息,并自动给我发送PHP错误信息的服务器设置死硬。 当然,这在企业环境中永远不会工作,太过于沉重,但是我们的成员都很了解,因为我们一起发展了这个网站,而且我和他们中的大多数人都有私人关系。 他们也是一般技术性不善的老人,这意味着软弱的情况会让他们感到困惑。 该网站还使用PDO,无处不在。 / backstory完成 我今天早上醒来发了90封错误邮件。 exception! 所有这些都是在2分钟的时间内触发的……最不寻常的! 错误信息是类似的东西 PDOStatement::execute() expects parameter 1 to be array, string given 看了我的代码,没有外界的干涉是不可能的。 所以我去抢我的stream量日志,发现东京的IP 219.117.193.20正在锤击我的网站,请求如下: GET /search.php?type=basic%20AND%201%20=%201 第一个: GET /search.php?type=basic是有效的,并列在主导航栏中。 他(它?)正在追加的其他一切。 看起来像一个简单的Bobby Tables攻击。 所以这个进行了几分钟,100个电话,然后停了下来。 我向你们提出的问题是: 我是否应该打算对这个IP采取任何行动? 还是这只是知名度的代价,太频繁了呢? 你禁止IP? 子网? 你联系ISP吗? 只是好奇专业的服务器pipe理员在这种情况下做什么,我想它会发生得非常频繁…?
可能重复: 我的服务器被黑了应急 我不是服务器pipe理员,在“debugging”服务器方面经验不足。 但是从看我的日志文件,看起来好像我被黑客攻击了。 但我不知道该怎么办: – / 服务器types:VPS 操作系统:Linux 2.6.18 服务器:Centos 5 pipe理界面:Parallels Plesk 9 当前内存使用情况:1024个中的200个。 错误日志文件7月10日 [Sat Jul 09 15:37:38 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/web [Sat Jul 09 15:37:39 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/php-my-admin [Sat Jul 09 15:37:39 2011] [error] [client 72.46.146.130] File does not exist: […]