来自: http : //seclists.org/fulldisclosure/2009/Jul/0388.html 如果我从http://news.ycombinator.com/item?id=723798的post中了解最好的话,那么Matasano的工作人员就可以使用sshd internet访问 – 为此提供的任何解决scheme(从编程的angular度来看)?
如果提供了运行Windows 2000或更新版本的计算机,并且没有密码,那么您使用什么方法以pipe理员权限访问,以便使用系统?
我现在有点吓坏了。 我正在使用最近委托的远程服务器进行SSH连接。 我以root身份执行此操作。 我已经安装了fail2ban,并在日志中有大量被禁止的IP。 上次login时,我注意到我的terminal真的很慢,然后我的互联网连接断开了。 当我在5分钟左右的时间内购买它时,我重新login到服务器并做了一个“who”,意识到有两个root用户login了。我想如果我的连接终止了,那么上一次会话的过程将会是停在服务器上? 当我第一次断开连接时,连接以“写入失败:断开的pipe道”结束。 我杀了与其他根的bash会议。 我不太了解ssh的安全性,但会话会被劫持吗? 有没有办法检查这个? 我需要通过ssh继续login,我应该采取哪些预防措施? 如果我以某种方式通过代理到达我的服务器(像中间人攻击的人),他们可以劫持我的SSH会话吗?
我正在运行一个LAMP堆栈,没有安装phpMyAdmin (是)。 通过我的Apache服务器日志,我注意到像这样的东西: 66.184.178.58 – – [16/Mar/2010:13:27:59 +0800] "GET / HTTP/1.1" 200 1170 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 200.78.247.148 – – [16/Mar/2010:15:26:05 +0800] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 506 "-" "-" 206.47.160.224 – – [16/Mar/2010:17:27:57 +0800] "GET / HTTP/1.1" 200 1170 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 190.220.14.195 – – [17/Mar/2010:01:28:02 +0800] "GET […]
可能重复: 我的服务器被黑了应急 Geeze,我很绝望! 几个小时前我们的生产数据库是SQL注入。 我知道我们在系统中有一些大的漏洞,因为我们inheritance了一个经典的ASP的网站,他的编程非常糟糕,没有安全感。 所以我们花了一些时间把它迁移到ASP.NET(第一个1.1,然后是2.0,现在是3.5)。 但是这是一个很大的项目,还有一些老的和不安全的代码。 我不会说谎,项目是一团糟,我讨厌它,但这是我们最重要的客户(我们只有2个年轻人,而不是一个大公司)。 所以我知道他们已经注入了一些js脚本引用到我的整个数据库……这可能是通过一个旧的页面使用连接的stringSQL查询,并直接扔到数据库(因为启动该项目的人说:“存储过程doesn不工作“…..所以他做了整个网站使用string连接,并直接扔到SQL没有做任何安全validation或任何东西。 当我们得到这个项目时,客户不想花时间重做那个老家伙的废话。 所以我们不得不导致蹩脚的和不安全的代码,并在开发新function时修复它,因为这是客户想要的…现在我们已经注入了sql,他们当然会变得疯狂。 所以…. **是否有任何方法来检查在过去的X小时内执行的旧的SQL查询? 就像SQL Profiler所做的那样(但当然我们没有在发生攻击时打开剖析器)? 有没有办法找出哪个页面是脆弱的? 请帮忙,有很多页面。 我不能手动search那些不知道哪一个是页面。 另外…可以有另一种方式,他们可以注入数据库? 像使用IIS请求或JS或什么?** 我有完整的远程桌面访问服务器的机器(它不是在托pipe环境),所以我可以访问每个文件,日志,无论在服务器上… 请帮忙! PS:对不起,我的英文不是很好,现在更糟的是我很紧张! 编辑 Windows 2003 Server SQL SERVER 2005 ASP .NET 3.5 他们正在投掷的脚本是以下 DECLARE @S NVARCHAR(4000);SET @S=CAST( AS NVARCHAR(4000));EXEC @S; 翻译成文本的是: DECLARE @T varchar(255), @C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects […]
我们的IT服务公司正在提出一种networking重新configuration,在内部使用IP范围10.10.150.1 – 10.10.150.254,因为它们使用制造商的默认值192.168.1.x声明当前的IPscheme是“使其易于开发”。 这是真的? 如何知道/不知道内部IPscheme使networking更易被利用? 所有内部系统位于SonicWALL NAT和防火墙路由器的后面。
我有一台安装有IIS6,SQL Server 2005,MySQL 5和PHP 4.3的Windows Server 2003 SP2计算机。 这不是一台生产机器,而是通过一个域名向世界展示。 机器上启用了远程桌面,并且两个pipe理帐户都处于活动状态。 今天早上,我发现机器已经注销,用一个不知名的用户名仍然在login文本框中。 经过进一步的调查,我发现已经创build了两个Windows用户,反病毒已经被卸载,一些.exe文件已经被放入C:驱动器。 我想知道的是,我应该采取哪些措施来确保这种情况不会再发生,我应该把重点放在确定进入的途径上。 我已经检查netstat -a来查看哪些端口是开放的,没有什么奇怪的。 我在MySQL的数据文件夹中find了未知的文件,我想这可能是入口点,但我不确定。 我真的很感谢这些步骤来进行一个服务器黑客的好后验,以便我可以在将来避免这种情况。 事后调查回顾 经过一番调查,我想我已经知道发生了什么事。 首先,机器在08年8月到09年10月期间没有上网。 在此期间,发现了一个安全漏洞,即MS08-067漏洞 。 “这是一个远程执行代码漏洞,成功利用此漏洞的攻击者可以完全控制受影响的系统,在基于Microsoft Windows 2000,Windows XP和Windows Server 2003的系统上,攻击者可以利用这个漏洞无法通过RPCvalidation,而且可能运行任意代码。“ 2008年10月发布的KB958644安全更新解决了这个问题。 由于该机器当时处于脱机状态而错过了此更新,因此我认为这个漏洞在09年10月重新上线后不久就被利用了。 我发现引用了一个名为bycnboy.exe的程序,这个程序被描述为后门程序 ,然后在受感染的系统上造成很大的破坏。 机器在线后不久,自动更新安装了补丁,closures了远程控制系统的能力。 因为后门现在已经closures了,我相信攻击者在机器上创build了物理账户,并且能够使用这台机器一个星期,直到我注意到发生了什么事情。 在恶意代码恶意代码,.exes和.dll,删除自己的托pipe网站和用户帐户后,机器现在再次处于工作状态。 在不久的将来,我将监控系统并审查服务器日志,以确定是否重复发生事件。 感谢您提供的信息和步骤。
我不确定我是否被黑客入侵。 我试图通过SSHlogin,它不会接受我的密码。 根login被禁用,所以我去抢救和转换根login,并能够以root身份login。 以root用户身份,我尝试使用与之前尝试login的密码相同的密码更改受影响的帐户的密码, passwd回答“密码不变”。 然后,我将密码更改为其他内容,并能够login,然后将密码更改回原始密码,我又能够login。 我检查了auth.log的密码更改,但没有发现任何有用的东西。 我也扫描病毒和rootkit,服务器返回这个: ClamAV的: "/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" RKHunter: "/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable Warning: Suspicious file types found in /dev:" 应该指出,我的服务器并不广为人知。 我也更改了SSH端口并启用了两步validation。 我担心我被黑客攻击,有人试图欺骗我,“一切都好,别担心”。