Questions tagged «hacking»

这是关于服务器安全性的规范问题 -响应违规事件（黑客攻击）， 另请参见： 保护LAMP服务器的提示 彻底破坏根源后重新安装？ 规范版本 我怀疑我的一台或多台服务器受到黑客，病毒或其他机制的破坏： 我的第一步是什么？当我到达现场时，应该断开服务器的连接，保留“证据”，还有其他初始注意事项吗？ 如何使服务恢复在线？ 如何防止同一件事再次发生？ 是否有最佳实践或方法可用于从此事件中学习？ 如果我想将突发事件响应计划放在一起，该从哪里开始呢？这应该是我的灾难恢复或业务连续性计划的一部分吗？ 原始版本 2011.01.02-我周日晚上9.30上班，因为我们的服务器已经受到某种程度的破坏，并导致对我们的提供程序的 DOS攻击。服务器对Internet的访问已关闭，这意味着我们有超过5-600个客户站点已关闭。现在，这可能是FTP hack或某个地方的代码弱点。我不确定直到到达那里。 如何快速追踪？如果我不尽快备份服务器，我们将进行大量诉讼。任何帮助表示赞赏。我们正在运行Open SU​​SE 11.0。 2011.01.03-感谢大家的帮助。幸运的是，我不是唯一负责此服务器的人员，最近的人。我们设法解决了这个问题，尽管它可能不适用于其他情况下的许多其他问题。我将详细说明我们的工作。 我们从网络上拔掉了服务器。它正在对印度尼西亚的另一台服务器进行（试图执行）拒绝服务攻击，并且有罪的一方也在那里。 考虑到我们服务器上有500多个站点，我们首先尝试确定这是从哪里来的服务器，我们希望在一段时间内会变得越来越亮。但是，在仍然使用SSH访问的情况下，我们运行了一条命令，以查找攻击开始时编辑或创建的所有文件。幸运的是，有问题的文件是在寒假期间创建的，这意味着当时在服务器上没有创建太多其他文件。 然后，我们可以识别出有问题的文件，该文件位于ZenCart网站的上载图像文件夹中。 短暂抽烟后，我们得出结论，由于文件的位置，该文​​件必须已通过不适当保护的文件上传工具进行了上传。经过一番谷歌搜索后，我们发现存在一个安全漏洞，该漏洞允许在ZenCart管理面板中上传文件以录制唱片公司的照片。（它从未真正使用过的部分），发布此表单只是上传了任何文件，它没有检查文件的扩展名，甚至没有检查用户是否已登录。 这意味着可以上传任何文件，包括用于攻击的PHP文件。我们在受感染的站点上使用ZenCart修复了该漏洞，并删除了有问题的文件。 这项工作完成了，我早上2点回到家 道德问题 –始终为此应用ZenCart或任何其他CMS系统的安全补丁。在发布安全更新时，全世界都已意识到该漏洞。-始终进行备份，并备份您的备份。-雇用或安排在这样的时间出现的人。为了防止任何人依赖于Server Fault上的紧急情况。

601 hacking  security 

在阅读了有关服务器受损的问题之后，我开始怀疑为什么人们似乎仍然相信他们可以使用检测/清除工具或仅通过修复用于破坏系统的漏洞来恢复受损的系统。 考虑到所有各种根工具包技术以及黑客可以做的其他事情，大多数专家建议您应该重新安装操作系统。 我希望能得到一个更好的主意，为什么越来越多的人不只是起飞和核弹从轨道系统。 我想谈谈以下几点。 是否存在格式/重新安装无法清除系统的情况？ 您认为在什么类型的条件下可以清洗系统，以及何时必须完全重新安装？ 您反对完全重新安装有什么理由？ 如果您选择不重新安装，那么您将使用哪种方法来确信自己已清洗并防止再次发生任何进一步的损坏。

58 hacking  security 

我遭到来自中国的具有相同IP的未遂黑客攻击。 我如何用诸如116.10.191。*之类的东西来阻止IP范围。 我正在运行Ubuntu Server 13.10。 我正在使用的当前行是： sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP 这只能让我一次阻止每个人，但是黑客每次都在更改IP。

47 ubuntu  iptables  ip  ip-address  hacking 

有人第二次向我帮助运行的网站添加了一段JavaScript。该javascript劫持了Google adsense，插入了自己的帐号，并在各处粘贴广告。 该代码始终附加在一个特定目录（第三方广告程序使用的一个目录）中，会影响该广告目录（大约20个左右）内多个目录中的多个文件，并在大致相同的夜晚插入时间。adsense帐户属于一个中文网站（位于下个月不到一个小时的小镇上。也许我应该半信半疑……开玩笑之类的），顺便说一下……这是有关信息该站点：http : //serversiders.com/fhr.com.cn 那么，他们如何将文本追加到这些文件？它与在文件上设置的权限有关（从755到644）？对于网络服务器用户（它位于MediaTemple上，因此应该是安全的，是吗？）？我的意思是，如果您有一个权限设置为777的文件，我仍然不能随便添加代码...他们可能会怎么做？ 这是为您带来观看乐趣的实际代码示例（而且您可以看到……不多。真正的窍门是他们如何将代码插入其中）： <script type="text/javascript"><!-- google_ad_client = "pub-5465156513898836"; /* 728x90_as */ google_ad_slot = "4840387765"; google_ad_width = 728; google_ad_height = 90; //--> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script> 既然有很多人提到过，这就是我检查过的内容（通过检查，我的意思是我环顾了文件修改时是否出现怪异现象，并且对文件进行了POST语句和目录遍历： access_log（除了正常（即过多）的MSN机器人流量之外，几乎没有其他时间） error_log（除了普通文件不存在外，无害文件的错误） ssl_log（仅此而已） messages_log（除了我之外，这里没有FTP访问权限） *更新：**好，解决了。来自中国的黑客实际上已经在我们的网站上放置了一个文件，使他们可以进行各种管理工作（数据库访问，删除和创建文件及目录，您可以命名，他们可以访问）。我们很幸运，他们没有做更具破坏性的事情。普通的Apache日志文件中没有任何内容，但是我在Web服务器日志分析器中找到了另一组日志文件，并且证据在那里。他们使用自己的管理员用户名和密码访问该文件，然后在服务器上编辑所需的内容。他们的文件已将“ apache”设置为用户，而我们网站上的所有其他文件均具有不同的用户名。现在，我需要弄清楚他们是如何将该文件实际添加到我们的系统中的。我怀疑这最终将归咎于我们的网络托管商（媒体圣殿），

40 security  php  hacking 

有什么迹象表明Linux服务器已被黑客入侵？是否有任何工具可以按计划生成并通过电子邮件发送审核报告？

36 linux  hacking  audit  security 

我的网站每天通过不同的IP尝试访问数千个点击： /php-myadmin/ /myadmin/ /mysql/ ...以及数千种其他变体。这些目录都不存在，我的服务器上甚至没有phpmyadmin。 我认为这些尝试都没有成功，但是它们肯定会浪费服务器资源并浪费带宽，因此，我想尽可能地阻止它们。我已经阻止了其中一些IP，但它们会不断使用新的IP，有什么办法可以更永久地防止这种情况发生？

35 web-server  hacking 

我不确定是否被黑客入侵。 我试图通过SSH登录，但它不接受我的密码。根登录已禁用，因此我进行了抢救并打开了根登录，并能够以根身份登录。以root用户身份，我尝试使用与以前登录时相同的密码更改受影响帐户的密码，并passwd回答“密码不变”。然后，我将密码更改为其他密码并能够登录，然后将密码更改回原始密码，然后我再次能够登录。 我检查auth.log了密码更改，但没有发现任何有用的信息。 我还扫描了病毒和rootkit，服务器返回了以下内容： ClamAV： "/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" RKHunter： "/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable Warning: Suspicious file types found in /dev:" 应当指出，我的服务器并不广为人知。我还更改了SSH端口并启用了两步验证。 我很担心自己被黑了，有人试图欺骗我，“一切都很好，不用担心”。

30 linux  ssh  security  hacking 

我有一台装有IIS6，SQL Server 2005，MySQL 5和PHP 4.3的Windows Server 2003 SP2计算机。这不是生产机器，而是通过域名公开给世界的。在计算机上启用了远程桌面，并且该计算机上有两个管理帐户处于活动状态。 今天早上，我发现该计算机已注销，并且登录文本框中仍然有一个未知的用户名。经过进一步调查，我发现已经创建了两个Windows用户，已卸载了防病毒软件，并将少量.exe文件放入了C：驱动器。 我想知道的是，我应该采取什么步骤来确保这种情况不再发生，并且我应该着重于确定进入途径的领域。我已经检查过netstat -a来查看哪些端口是打开的，那里什么都没有出现。我确实在MySQL的数据文件夹中找到了未知文件，我认为这可能是切入点，但不确定。 我非常感谢对服务器hack进行良好的事后剖析的步骤，以便将来避免这种情况。 调查后审查 经过一番调查，我想我发现了发生了什么。首先，在08年8月至09年10月期间，该机器未处于联机状态。在此期间，发现了一个安全漏洞MS08-067漏洞。“这是一个远程执行代码漏洞。成功利用此漏洞的攻击者可以远程完全控制受影响的系统。在基于Microsoft Windows 2000，Windows XP和Windows Server 2003的系统上，攻击者可以利用这种未经身份验证的RPC漏洞，可以运行任意代码。” 此漏洞已通过2008年10月发布的KB958644安全更新修复。 因为该计算机当时处于脱机状态，并且错过了此更新，所以我认为该漏洞在该计算机于09年10月重新联机后很快就被利用。我发现对bycnboy.exe程序的引用已被描述为后门程序，该程序随后在受感染的系统上造成了严重破坏。机器联机后不久，自动更新安装了该修补程序，从而关闭了对该系统进行远程控制的功能。由于后门现已关闭，我相信攻击者随后在计算机上创建了物理帐户，并能够再使用一周，直到我注意到发生了什么。 在积极地购买了恶意代码，.exes和.dlls，并删除了自托管网站和用户帐户后，该计算机现在又恢复了工作状态。在不久的将来，我将监视系统并查看服务器日志，以确定事件是否重复发生。 感谢您提供的信息和步骤。

29 windows-server-2003  security  hacking 

通过失败的恶意SSH尝试可以了解有关“用户”的哪些信息？ 输入的用户名（/var/log/secure） 输入密码（如果已配置，即使用PAM模块） 源IP地址（/var/log/secure） 是否有其他提取方法？无论是隐藏在日志文件中的信息，随机技巧还是来自第三方工具等。

24 linux  ssh  logging  pam  hacking 

我们的IT服务公司提议对网络进行重新配置，以内部使用IP范围10.10.150.1 – 10.10.150.254，因为他们声明使用制造商默认值192.168.1.x的当前IP方案“正在使其易于利用”。 这是真的？知道/不知道内部IP方案如何使网络更容易被利用？所有内部系统都位于SonicWall NAT和防火墙路由器的后面。

24 networking  tcpip  hacking 

我正在运行一个LAMP堆栈，没有安装phpMyAdmin（是）。在查看我的Apache服务器日志时，我注意到类似以下内容： 66.184.178.58 - - [16/Mar/2010:13:27:59 +0800] "GET / HTTP/1.1" 200 1170 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 200.78.247.148 - - [16/Mar/2010:15:26:05 +0800] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 506 "-" "-" 206.47.160.224 - - [16/Mar/2010:17:27:57 +0800] "GET / HTTP/1.1" 200 1170 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 190.220.14.195 - - …

18 apache-2.2  security  hacking 

自昨晚以来，印度德里的一些脚本小子一直在试图入侵我们的网站。他编写了一个浏览器脚本，该脚本以大量嵌套循环的形式向我们的服务器发出请求，在阳光下尝试一切。 他什么都没走，甚至没有超越我们的基本防御措施（但他正在填写我们的日志文件）。 我们403 Unauthorized几乎会在收到请求后立即将a发送回给他，但是我们阻止他的请求越快，他的脚本就会运行得越快。 我们想在发送回403响应之前引入某种“延迟”。时间越长越好。 问题：如何在不影响网站其余部分的情况下延迟黑客尝试？ 我假设他的线程上的Sleep（15000）对其他站点访问者来说是个坏消息。 仅仅给他一个新话题似乎太过分了。 还有其他发送延迟响应的方法吗？ 我们可以迫使他的浏览器等待多长时间？我想我不太在乎他是否403 Unauthorized出错或最终超时，因此我们甚至可以进行无限期/无限期的等待。

17 asp.net  hacking 

我的客户端有一台服务器正在遭受来自僵尸网络的暴力登录尝试。由于服务器和客户端的客户端多变，我们无法通过防火墙，端口更改或登录帐户名称更改轻松阻止尝试。 已经决定让它容易受到攻击，但是找到了一种确保密码安全的方法。管理层和其他一些顾问确定，最好的办法是安装密码轮换软件，以每十分钟轮换一次密码，并将新密码提供给需要登录的用户。 暴力尝试每秒发生两次。 我需要证明使用12至15个字符来实现强密码是一种更容易且免费的解决方案。我知道如何用数学来证明这一点，但我只是在写类似“我们的密码可能有x种可能的排列，攻击者每天只能尝试n次尝试，因此我们希望它们进行x /次。他们猜测我们的密码平均需要2n天。” 有更标准的“证明”吗？

16 security  password  hacking  brute-force-attacks 

其他管理员如何监视他们的服务器以检测任何未经授权的访问和/或黑客尝试？在较大的组织中，使人们陷入困境更容易，但是在较小的商店中，如何有效地监视服务器？ 我倾向于浏览服务器日志，以查找跳到我身上的任何东西，但是错过事情真的很容易。在一种情况下，我们被硬盘驱动器空间不足的问题提示：我们的服务器被当作FTP站点接管了-他们通过与FAT表搞混来隐藏文件方面做得很好。除非您知道文件夹的具体名称，否则它将不会在资源管理器，DOS或搜索文件时显示。 人们还使用其他哪些技术和/或工具？

16 hacking 

linux box被黑客入侵后，进行取证分析的主要步骤是什么？ 可以说这是一个通用的linux服务器mail / web / database / ftp / ssh / samba。它开始发送垃圾邮件，扫描其他系统。如何开始寻找黑客入侵的方式以及由谁负责？

15 linux  security  hacking  forensic-analysis