所以昨天我发现我的服务器是通过 h00lyshit 漏洞获得的。到目前为止,我删除了所有可能与漏洞利用相关的文件。我还删除了 .ssh 中的所有 ssh 密钥~/.ssh/authorized_keys。我将 root 密码更改为 25 个随机字符密码并更改了 mysql 密码。
此外,我认为攻击者来自意大利,由于我只需要从我的国家访问,我阻止了除我自己国家以外的所有 ip 范围,这有帮助吗?
你们有什么好的建议我该怎么做吗?我打算通过 ssh 禁用 root(我应该早点完成,我知道:()。有没有办法检查他是否可以再次访问我的服务器?
幸运的是,也没有损坏,哦,如果有人感兴趣,我正在运行带有 2.6.26 内核的 Debian Lenny。
PS:是的,我的第一个问题:D
由于有一个针对 Apache 字节范围实现的有效漏洞(CVE-2011-3192,请参见此处),我想禁用它,直到我的发行版(Debian、Ubuntu)随附官方补丁。这些网站都是没有大量下载的“普通”网站。除了无法恢复下载之外,禁用该功能还有什么缺点吗?
PS。:我通过mod_headers使用以下行启用和取消设置范围标题来禁用该功能:
RequestHeader unset Range
我发现当地学校的网站安装了一个 Perl 日历 - 这是几年前的,它已经很久没有使用了,但谷歌已经将它编入索引(我就是这样找到的)并且它充满了伟哥链接等等.. . 程序是由 Matt Kruse 编写的,这里是漏洞利用的详细信息:http : //www.securiteam.com/exploits/5IP040A1QI.html
我已经让学校删除它,但我认为他们也安装了 MySQL,我知道在旧版本中存在一些开箱即用的管理工具/登录漏洞。据我所知,他们还安装了 PHPBB 等...
学校只是使用一些便宜的共享主机;我得到的 HTTP 响应标头是:
Apache/1.3.29 (Unix) (Red-Hat/Linux) Chili!Soft-ASP/3.6.2 mod_ssl/2.8.14 OpenSSL/0.9.6b PHP/4.4.9 FrontPage/5.0.2.2510
我正在寻找一些方法来检查他们是否安装了其他垃圾(很可能是从前的,现在未使用)可能会使网站处于危险之中。我对可以扫描诸如 MySQL Admin 漏洞之类的东西而不是开放端口等的东西更感兴趣。我的猜测是他们几乎无法控制他们拥有的托管空间 - 但我是 Windows 开发人员,所以这个 * nix 的东西对我来说都是希腊语。
我发现http://www.beyondsecurity.com/看起来它可能会做我想要的(在他们的评估中:))但我担心如何确定他们是否众所周知/诚实 - 否则我会用可能有风险的域名向他们眨眼!
非常感谢。
我们 (openSuSE) linux 系统上的用户尝试运行 sudo,并触发了警报。他设置了环境变量 EGG -
EGG=UH211åH1ÒH»ÿ/bin/shHÁSH211çH1ÀPWH211æ°;^O^Ej^A_j<X^O^EÉÃÿ
至少可以说,这看起来很不寻常。
EGG 是合法的环境变量吗?(我发现了一些对 PYTHON_EGG_CACHE 的引用 - 可能是相关的?但是没有为该用户设置该环境变量)。如果它是合法的,那么我想这个群体最有可能认识到它。
或者,鉴于嵌入/bin/sh在上面的字符串中,是否有人将其识别为漏洞利用指纹?这不是我们第一次破解帐户(叹气)。
我需要通过读取用户上传的文本文件来获取变量值。
我正在从一个系统的脚本做:
resourceVersion=`cat userFile.txt`
mkdir $resourceVersion
...
当我以后将该$resourceVersion变量用作其他命令的参数时,此文件的内容是否会以任何方式损害系统?
我经营一个小型共享托管区。虽然我注意到人们无法/难以利用 PHP,但我发现少数人使用 Perl 来获取服务器信息。
所以,简单地说,这是我想问的问题——
有没有办法阻止 Perl 脚本访问某些系统关键文件,例如 named.conf /etc/passwd 等?在 perl 场景中,suhosin/suphp 或 php.ini 自然无法防止这种情况。
我的一个网站一直是“Pharma Hack”的持续目标——但它使用的是 Drupal 而不是 Wordpress 或 Joomla。它是第 6 版,但已更新到最新版本,我安装的所有模块也是如此。
我更改了密码,删除了有问题的文件,完全重新安装了该站点,但不知何故他们继续获得访问权限.. 该站点是一个非营利组织,它严重影响了我们在 Google 等上的搜索结果。