我收到一封来自 ISP 的电子邮件,称我的服务器多次尝试通过 ssh 访问另一台服务器。我在孔机上进行了多次扫描,但没有发现任何结果。
知道如何删除恶意软件并确定如何解决安全问题吗?
我从来不明白 Ubuntu 如何管理 Apache 版本,所以问题是:Ubuntu 20.04.03 LTS 是否容易受到 CVE-2021-41773(一种将 URL 映射到预期文档根目录之外的文件的路径遍历攻击)的攻击? 有关该漏洞的更多信息:
最近升级到 Ubuntu 22.04,激活我的 eduroam WiFi 连接时遇到一些问题。具体来说,我在系统日志中收到以下消息:
Mai 04 11:42:11 sliver wpa_supplicant[687]: TLS: Certificate verification failed, error 68 (CA signature digest algorithm too weak) depth 0 for '/C=DK/ST=Denmark/O=Aalborg Universitet/OU=IT Services/CN=wifi.aau.dk'
目前,我只能在不使用证书时激活 eduroam 连接。用 来看openssl x509 ...,证书似乎仍在使用 SHA-1。
这是由证书颁发者(即我大学的 IT ppl)解决的问题,还是更新到 22.04 时出现的问题?
我的网站似乎有一些恶意访问者,并且经常使我的网站崩溃。我现在正在跟踪他们在我的网站上所做的事情。在我的日志中,我发现他们正在通过我的网站访问以下路径:
/cgi-bin/luci
/cgi-bin/luci/admin
/Display/chan/IB61I7MYA
/Visu/ens/events
/v2sA
/fw6I
/includ
/viwwwsogou
/is-bin
/AVuP
/PPsJ
/zMLUH93A
... and more
我没有在我的网站上设置或创建这些路径和页面。他们为什么要通过我的网站访问这些路径?他们想做什么?我的服务器被攻击了吗?我怎样才能确定并阻止这种情况发生?
顺便说一句,我的网站是一个 Node.js 应用程序。我的实时服务器正在运行 Ubuntu:
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 22.04.3 LTS
Release: 22.04
Codename: jammy
我的服务器上还运行着 Apache 和 Node.js。
有任何想法吗?
我倾向于偏执,并且有一段时间我的日志文件中的消息往往让我接近理智的边缘。有人可以在我的 auth.log 文件中解释以下内容,表明名为 dnsmasq 的用户在我的计算机中更改了他们的密码。我意识到这可能是一个愚蠢的问题,但这种事情已经持续了好几年,每次我看到类似的事情时,我都会变得焦虑和害怕有人在监视我。谁能放下我的恐惧?
discover-healing-honey sudo: pam_unix(sudo:session): session closed for user root
May 15 16:51:20 discover-healing-honey polkitd(authority=local): Registered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session2 (system bus name :1.55 [/usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1], object path /org/gnome/PolicyKit1/AuthenticationAgent, locale en_US.UTF-8)
May 15 16:55:39 discover-healing-honey useradd[16831]: new user: name=dnsmasq, UID=115, GID=65534, home=/var/lib/misc, shell=/bin/false
May 15 16:55:39 discover-healing-honey usermod[16836]: change user 'dnsmasq' password
May 15 16:55:39 discover-healing-honey chage[16841]: changed password expiry for dnsmasq
May 15 16:55:39 discover-healing-honey chfn[16844]: changed user 'dnsmasq' information
May 15 16:56:02 discover-healing-honey polkit-agent-helper-1[16995]: pam_ecryptfs: pam_sm_authenticate: …我正在看电影,突然我被注销了。当我重新登录时,Team Viewer 立即启动,尽管它不在启动程序中。
我迅速打开终端并发出命令sudo last,但没有显示任何可疑内容。最后但并非最不重要的一点是,没有进行任何更新??。
任何的想法?
我注意到一些从互联网下载的文件默认具有执行权限(例如 Tor、Bit-torrent、Sync 等)。
因此,权限信息存储在文件本身中,而不是存储在计算机上。
这是否意味着黑客有可能制造病毒并设置执行权限?
如果是这样,黑客就可以诱骗用户执行病毒。
从这个角度来看,Linux 上的安全性并不比 Windows 好。
有人可以向我清楚地解释这一点吗?
我在此线程中读到,在默认情况下启用 root 权限的情况下运行 SSH 守护程序是恶意软件感染的潜在路径:
如何检查 SSH 守护进程是否已启用,如果是这种情况,我该如何永久禁用它?我想我根本不需要它,因为我运行 Ubuntu 的计算机没有用作服务器。
对于 ubuntu 12.04 bash 脚本,我曾经能够运行如下示例的命令来覆盖文件:
sudo echo 'line1
line2
line3' > /etc/some/config/file.conf
从 Ubuntu 14.04 开始,我现在必须将其分解以获得与这样的相同行为:
sudo echo 'line1
line2
line3' | sudo tee /etc/some/config/file.conf
我猜这是一个额外的安全措施?有没有办法回到旧的行为?
更新
正如一些人正确指出的那样,这种行为在 Ubuntu 12.04 和 Ubuntu 14.04 中是一致的。我相信我很困惑,但是因为如果在用 sudo 调用的 bash 脚本中运行命令,那么它执行得很好,但是,将命令粘贴到 CLI 中,会导致权限被拒绝。我在比较苹果和橙子。
security ×10
apache2 ×2
networking ×2
server ×2
ssl ×2
12.04 ×1
22.04 ×1
bash ×1
certificates ×1
log ×1
logout ×1
malware ×1
nodejs ×1
openssl ×1
permissions ×1
ssh ×1
teamviewer ×1
wireless ×1