那些遇到过的问题

标签: botnet

如何通过rootkits/后门/僵尸网络等检查Linux服务器是否干净?

如果 Linux 服务器以极低的安全策略(r/w 匿名 Samba 文件夹、具有默认管理员密码的 Firebird 数据库服务器、没有防火墙等)暴露在互联网上一周,那么我如何确保系统是没有完全格式化和重新安装就不会受到损害,只能通过 SSH 远程访问它?

security linux ubuntu rootkit botnet

Iva*_*van
2010 07-09
9
推荐指数
2
解决办法
3万
查看次数

Linux 上的 Storm 僵尸网络?

我们有一位客户正在运行他在家中访问的办公室闭路电视系统。该系统在 NAT 防火墙后面的嵌入式 Linux 机器上运行,转发到端口 8080 以进行 Web 浏览器访问和 37777 端口以进行专有软件访问。

所有这一切都突然停止工作,一项小小的调查表明,发送到他的 IP 地址(在任一端口上)的 TCP SYN 数据包立即被包含“走开,我们不在家”消息的 RST 数据包终止。谷歌搜索这条消息会得到很多关于 Storm Botnet 的信息,这显然就是这样做的。

所以问题是,Storm Botnet 到底是如何劫持嵌入式 Linux 机器的。还是我完全错过了其他东西?

security firewall botnet

Mik*_*-UK
2009 06-24
5
推荐指数
1
解决办法
709
查看次数

阻止路由器上的端口 25 会削弱 Outlook 客户端吗?

我在一家小型 ISP 工作,我们在中心位置管理着大约 60 座带有 p2p 无线电和主要 cisco 路由器的建筑物。最近我们收到通知,一个网络钓鱼域与我们的一个 IP 相关联。在跟踪 IP 时,tracert 在命中跟踪目标之前沿着 20-60 台客户端机器跳跃。

如果我在路由器上阻止 SMTP 流量(端口 25),使用 Outlook 的人将无法发送电子邮件吗?或者这只会阻止我试图阻止的流量类型(我们网络上托管的垃圾邮件机器人)?

networking routing spam botnet

dem*_*min
lucky-day
5
推荐指数
1
解决办法
2124
查看次数

我的服务器被报告给主机滥用以执行 ddos​​ 攻击。我该怎么办?

我在服务器上没有看到任何可疑的东西(没有到远程 80 端口的 netstat 连接),但我不是专业的服务器管理员(我是一名铁杆软件开发人员)。请不要写明显的评论(聘请专业人士/公司) - 我们会在此问题解决后考虑。服务器在 Windows Server 2008 R2 下运行。我应该使用什么工具来分析这种情况?

这不是多个“如果我的服务器被黑了我该怎么办”的完全重复,因为我基本上需要提供证据证明我的服务器是干净的。

从一开始就采取了基本的安全措施(打开 Windows 防火墙,应用 Windows 更新补丁,启动并运行 Clamwin)。

botnet ddos

Nik*_*y R
2011 08-27
4
推荐指数
3
解决办法
2687
查看次数

如何拒绝 POST 到 nginx 中的 url

我的应用程序上的一些 SQL-heavy URL(例如/members)正在受到僵尸网络的攻击。所以我想禁止任何人发布到这些 URL,同时允许其他人获取它们。

我试着做一个这样的嵌套循环:

if ($request_uri ~ .*members^)  {

   if ($request_method = POST ) {
         return 444;
     }
}
Run Code Online (Sandbox Code Playgroud)

但是 nginx 不接受这一点。

我也试过这个指令 

location ~ "^/members$" {
    if ($request_method ~ ^(POST)$ ) {       
        return 444;
    }
}
Run Code Online (Sandbox Code Playgroud)

但是这个也否认GET。

所以一无所知,感谢您的帮助。

nginx web-server botnet

Jan*_*and
2015 03-12
4
推荐指数
1
解决办法
1万
查看次数

我的 httpd access_log 中有很多奇怪的请求,是不是我有病毒?

我有这样的 httpd 日志信息,这些信息会一直持续下去。首先,这是否意味着我有病毒?我的服务器是僵尸网络的一部分吗?我的服务器是 Linux Centos 5。

tail -f /var/log/httpd/access_log

另外我怎样才能阻止这种攻击?

如何确保我的服务器没有发出请求?

我可以添加哪些其他安全措施?

69.164.209.127 - - [14/Jun/2012:18:49:05 +0800] "GET http://69.164.209.127/82d8e94797c2079b53bb3d36157a699f HTTP/1.1" 404 309 "-" "Avant Browser - MSIE 7 (Win XP)|Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Avant Browser; Avant Browser; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)"
176.227.198.140 - - [14/Jun/2012:18:49:05 +0800] "GET http://www.google.com/search?as_q=monochrom+inurl:%3Fp%3D%2A%26option%3Dcom%5Fwordpress%26Itemid%3D%2A&num=100&hl=en&output=ie&filter=0 HTTP/1.0" 404 283 "http://www.google.com/search?as_q=monochrom+inurl:%3Fp%3D%2A%26option%3Dcom%5Fwordpress%26Itemid%3D%2A&num=100&hl=en&output=ie&filter=0" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)"
173.236.110.243 - - [14/Jun/2012:18:49:06 +0800] "CONNECT …
Run Code Online (Sandbox Code Playgroud)

linux centos malware botnet

Phi*_*hil
2013 07-22
3
推荐指数
1
解决办法
856
查看次数

使用 mod_rewrite 在 apache 中通过模式阻止来自机器人的请求。mod_rewrite 不起作用

我正在尝试通过glitter_calendarapache 上的模式阻止来自机器人的请求。

史前。我的服务器经常被机器人访问。请求 URI 是 ...glitter_calendar.. wordpress 返回 404。服务器甚至每周宕机一次。我尝试用 Fail2ban 阻止它们。没有成功。服务器负载不会下降,我的 iptables 块规则中不断出现新主机。

在我的.htaccess我试图通过模式添加阻止规则glitter_calendar

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{THE_REQUEST} ^.*(wpdffcontent)|(glitter_calendar)|(mp4:).* [NC]
RewriteRule ^(.*)$ - [F,L]
</IfModule>

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
Run Code Online (Sandbox Code Playgroud)

发现类似的问题。链接:

我的 mod 重写似乎不起作用。我在 wordpress 中找不到错误 404,而不是通过 …

mod-rewrite .htaccess botnet apache-2.2

Tom*_*gan
2021 02-15
3
推荐指数
1
解决办法
2443
查看次数

数据包泛洪,有什么办法处理吗?

我的机器每秒被数以千计的数据包淹没。它们不会占用太多带宽(1gbit 中的 60mbps),但它们会消耗负责处理网卡中断的 CPU,从而严重损坏系统。ksoftirqd 达到 100%,机器几乎无法访问。我该如何处理此类攻击 - 抛出大量随机数据包?有没有办法以某种方式调整处理服务器中断或将其分配到其他 CPU 上?

我的网卡用的是NAPI,linux内核是2.6.31.5

networking botnet ddos flooding

rfi*_*ire
lucky-day
2
推荐指数
1
解决办法
2645
查看次数

没有引用者时如何拒绝nginx中的请求?

在 nginx access.log 中,我看到很多行,例如:

1.2.3.4 - - [19/Oct/2014:22:48:11 -0400] "POST /someurl/suburl HTTP/1.1" 200 19967 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.11) Gecko/20071127 Firefox/2"
Run Code Online (Sandbox Code Playgroud)

它们之间唯一的共同点是“-”(我认为这意味着没有设置引用者)。

所以我尝试使用以下方法拒绝这些请求:

if ($http_referer ~ ^(-))
    {  return 444;
}
Run Code Online (Sandbox Code Playgroud)

但是,正如您在上面看到的,这不适用于 POST 请求。

nginx botnet deny

Jan*_*and
2014 10-20
2
推荐指数
1
解决办法
7773
查看次数

如何阻止当前在我的服务器上运行的恶意端口扫描程序?

我目前正在尝试清理和保护运行 pnscan 的服务器。这个 pnscan 实例是由最有可能使用我们的服务器作为端口扫描僵尸网络一部分的外部方安装的。它似乎能够将它的二进制文件写入/dev/shm 和/tmp。

这是“lsof | grep pnscan”的输出:

root@xxx.xxxx.xxx:/home/bitnami# lsof | grep pnscan
pnscan     9588     daemon  cwd       DIR    8,1      4096      647169 /tmp
pnscan     9588     daemon  rtd       DIR    8,1      4096      2      /
pnscan     9588     daemon  txt       REG    8,1      18468     647185 /tmp/pnscan
pnscan     9588     daemon  mem       REG    8,1      42572     418331 /lib/tls/i686/nosegneg/libnss_files-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1    1421892     418349 /lib/tls/i686/nosegneg/libc-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1      79676     418329 /lib/tls/i686/nosegneg/libnsl-2.11.1.so
pnscan     9588     daemon  mem       REG    8,1     117086     418343 /lib/tls/i686/nosegneg/libpthread-2.11.1.so
pnscan     9588 …
Run Code Online (Sandbox Code Playgroud)

security linux botnet

作者
2013 12-18
1
推荐指数
1
解决办法
1210
查看次数

标签 统计

botnet ×10

linux ×3

security ×3

ddos ×2

networking ×2

nginx ×2

.htaccess ×1

apache-2.2 ×1

centos ×1

deny ×1

firewall ×1

flooding ×1

malware ×1

mod-rewrite ×1

rootkit ×1

routing ×1

spam ×1

ubuntu ×1

web-server ×1