在我的网站上,我有一个“隐藏”页面,显示最近访问者的列表。这个单一的 PHP 页面根本不存在任何链接,而且理论上只有我知道它的存在。我每天检查它很多次,看看我有什么新的点击。
然而,大约每周一次,我在这个据称是隐藏的页面上从 208.80.194.* 地址得到一个点击(它记录了对自己的点击)。奇怪的是:这个神秘的人/机器人没有访问我网站上的任何其他页面。不是公共 PHP 页面,而只是打印访问者的隐藏页面。它总是单次命中,并且 HTTP_REFERER 为空。其他数据总是一些变化
Mozilla/4.0(兼容;MSIE 7.0;Windows NT 5.1;YPC 3.2.0;FunWebProducts;.NET CLR 1.1.4322;SpamBlockerUtility 4.8.4;yplus 5.1.04b)
...但有时MSIE 6.0不是 7,还有其他各种插件。浏览器每次都不同,就像地址的最低位一样。
仅此而已。每周一次左右,到那一页。这个神秘的访客绝对没有触及其他页面。
whois在那个 IP 地址上做一个显示它来自纽约地区,来自“Websense”ISP。地址的最低 8 位有所不同,但它们始终来自 208.80.194.0 /24子网。
从我用来访问我的网站的大多数计算机中,traceroute对我的服务器执行的操作不包含 IP 为 208.80.* 的路由器。所以这排除了任何类型的 HTTP 嗅探,我可能认为。
这是如何以及为什么发生的?这似乎完全是良性的,但无法解释,有点令人毛骨悚然。
根据我对安全性的理解,管理员应该能够查看与计算机之间的所有连接——就像他们可以查看所有进程/所有者、网络连接/拥有进程一样。但是,Windows 8 似乎已禁用此功能。
作为管理员在 Win Vista+ 中运行提升的运行时,net use您会返回所有映射的驱动器,列为不可用。在 Windows 8 中,从提升的提示运行相同的命令会返回“列表中没有条目”。powershell 的行为是相同的Get-WmiObject Win32_LogonSessionMappedDisk。
持久映射的解决方法是运行Get-ChildItem Registry::HKU*\Network*. 这不包括临时映射(在我的特定示例中,它是通过管理员帐户上的资源管理器创建的,我没有选择“登录时重新连接”)
管理员是否有一种直接/简单的方法来查看任何用户的连接(缺少在每个用户上下文下运行的脚本)?我已阅读启用 UAC 时某些程序无法访问网络位置,但我认为它并不特别适用。
我已经看到了这个答案,但它仍然没有解决非持久性驱动器如何判断用户映射了哪些网络驱动器?
如果我有 apache 原始访问日志,我公司的网站已被篡改,我可以做些什么来分析何时以及出了什么问题?
我的意思是在成千上万行日志中要注意什么?
谢谢您的帮助
我需要在连接到 AD 的 Windows 7 Enterprise 计算机上远程执行终止开关。具体来说,我需要
机器必须损坏到足以使基本+故障排除失败并需要将其带到公司服务台的程度。
为了预测评论:我知道这听起来很阴暗,但在公司环境中,此操作是必需的、授权的和合法的。
来自 Unix 背景,我不知道在 Windows 机器上远程可行什么。理想情况下(再一次,考虑到 Unix 背景)我会考虑类似的操作
dll在安全启动期间不会自动恢复的 s编辑以下评论:这是一个非常具体的取证案例,需要通过这种复杂的方式进行处理。
我收到/var/log/kern.log了表明驱动器故障的消息。$HOME在驱动器之间复制 my 时出现消息(ext4 -> ext3):
[ 5733.186033] sd 4:0:0:0: [sdb] Unhandled sense code
[ 5733.186038] sd 4:0:0:0: [sdb] Result: hostbyte=invalid driverbyte=DRIVER_SENSE
[ 5733.186042] sd 4:0:0:0: [sdb] Sense Key : Medium Error [current]
[ 5733.186048] sd 4:0:0:0: [sdb] Add. Sense: Unrecovered read error
[ 5733.186053] sd 4:0:0:0: [sdb] CDB: Read(10): 28 00 05 b7 2e 40 00 00 08 00
[ 5733.186064] end_request: critical target error, dev sdb, sector 95891008
消息成批出现,这是其中之一。sdb是源驱动器。
如何找出扇区所属的文件/inode?我只是想知道这样我就可以从备份中恢复有问题的文件。有什么比下面的代码加上对输出的后续分析更快的吗?
find . -type …Ubuntu 的 Out-Of-Memory Killer 对我的服务器造成了严重破坏,悄悄地暗杀了我的应用程序、sendmail、apache 和其他应用程序。
我已经设法了解了 OOM 杀手是什么,以及它的“坏”规则。虽然我的机器很小,但我的应用程序更小,通常只有一半的物理内存在使用,更不用说交换空间了,所以我很惊讶。我试图找出罪魁祸首,但我不知道如何阅读 OOM-Killer 日志。
任何人都可以指点我如何阅读日志中的数据的教程(什么是ve,free和gen?),或者帮我解析这些日志?
Apr 20 20:03:27 EL135 kernel: kill_signal(13516.0): selecting to kill, queued 0, seq 1, exc 2326 0 goal 2326 0...
Apr 20 20:03:27 EL135 kernel: kill_signal(13516.0): task ebb0c6f0, thg d33a1b00, sig 1
Apr 20 20:03:27 EL135 kernel: kill_signal(13516.0): selected 1, signalled 1, queued 1, seq 1, exc 2326 0 red 61795 745
Apr 20 20:03:27 EL135 kernel: kill_signal(13516.0): selecting to kill, queued 0, …开放式问题:如何查找设备的IP地址?
据我所知,没有保证总是有效的方法,但有一百种方法适用于特定情况,我想学习尽可能多的方法。
典型的场景是:
我们从客户那里收到一些设备来重新配置/翻新/维修。它是嵌入式的,只能通过 TCP/IP 访问。我们要么无法将其重置为默认值(模糊的过程且没有文档),要么默认值非常模糊(我们最近得到了一个默认为 10.100.0.111)。恢复登录名/密码是一个完全独立的问题,首先我们需要访问它的 Web 界面,为此我们需要知道它的 IP 地址。
该设备在我们手中,本地 - Wireshark,网络嗅探,硬重置,一切都很好。通常带有 MAC 地址的贴纸就位,所以我们知道 MAC。情况并非总是如此,但通常是需要调查的途径。
我们有专用于服务工作的 Linux 和 Windows 工作站,可用于诊断。如果情况变得更糟,我们也有一些电子设备(如示波器)。我们几乎可以在它们上设置我们想要的任何软件。
如果有需要,我们可以让探测/扫描运行一夜甚至几天,但更快的解决方案绝对是首选。
我正在尝试使用最重要的实用程序在 ext3 文件系统上恢复已删除的文件。我要恢复的文件是一个hppC++ 源代码文件。但是,foremost 不自动支持 hpp 文件扩展名,因此我必须将其添加到配置文件中。因此,按照手册页上的说明,我将以下行添加到配置文件中:
hpp n 50000 include include ASCII
然后我首先运行如下:
$foremost -v -T -t hpp -i /dev/md0 -o /home/recover/
它没有做任何事情,只是显示帮助消息。如果我将 更改hpp为htm或jpg,它会起作用。所以显然最重要的是不接受我添加到配置文件中的自定义文件类型。但是我现在已经看了几十次了,我看不出我做错了什么。我完全按照说明操作。为什么不首先识别我添加到配置文件中的新文件类型?
我rsnapshot用来管理一些 GNU/Linux 服务器的增量备份。
虽然rsnapshot提供了一个名为rsnapshot-diff它的工具,但它只提供磁盘空间统计信息。
问题是如何在特定快照上获取差异:新文件和已删除文件。
我读过类似的建议
# find /raid/rap/$interval -type f -links 1 -exec du -k {} \; | sort -rn
但它不适用于我的快照。我确实修改了一个文件,并在新的 hourly.0 快照之后立即运行上面的一个 liner 并且没有报告任何差异。虽然如果我运行它
# find /raid/rap/$interval -type f -links 2 -exec du -k {} \; | sort -rn
报告修改后的文件。为什么修改后的文件有两个链接?
尽管虚拟化的要点是在不共享内存空间的情况下为每个实例化操作系统提供“容器化”环境,但是否有技术可以在在线或离线(暂停)虚拟机上进行取证?
问题偏向于我希望没有这种可能性的事实,但同样,我担心的是,用非常外行的话说,当您暂停虚拟机时,内存应该“转储”在主机上的某处,以便稍后恢复。
在这种情况下,是否可以从 VM 访问(只读)敏感信息?如果是,是否有针对此类事件的缓解程序?应如何正确应用这些程序?
尽我所能,
布鲁诺
假设我正在规划一个网站的设置。我研究提供类似服务或可能获得类似流量模式的类似网站。
有没有办法稍微确定一下设置、软件和/或硬件的类型。
有些事情是显而易见的。如果我看到 .php 或 .jsp 那么我已经知道了一点。但是关于如何破译更多的任何想法?
也许网站托管的地方,硬件,平台......
什么是有用的 linux 命令对受感染的 linux web 服务器进行取证以提供某种信息/证据/回溯?例如检查日志,检查上次文件编辑,可疑的开放端口,以及其他有用的自动取证命令?
我注意到我的 CentOS 5.6 5.11 VPS 在今年 9 月的 3 天内有超过 16,000 个带有时间戳的文件。我不知道为什么会这样,因为在那段时间我没有通过 SSH 登录(也没有任何其他登录,这会非常令人担忧)并且在那段时间 Webmin 中没有任何操作记录。这是我改变系统文件所做的唯一两种方法。服务器似乎运行良好,但应该没有其他人可以访问(当然,主机除外),所以我想知道发生了什么。
我在文件中捕获了带有这些日期的文件,因此:
touch -t 201409160000 start.tmp
touch -t 201409190000 stop.tmp
find / -type f -newer start.tmp \! -newer stop.tmp -exec ls -la {} \; > sep-16-18.txt
但是我如何处理这些信息?音量太疯狂了!
[root](21:05:55)[~]$ grep "Sep 16" -c sep-16-18.txt
6079
[root](21:06:30)[~]$ grep "Sep 17" -c sep-16-18.txt
2580
[root](21:06:40)[~]$ grep "Sep 18" -c sep-16-18.txt
7653
整个 9 月剩下的时间总共不到 500 个文件,所以在月中发生了一些激进的事情。
几乎所有文件都在/usr/目录中:
/usr/: 16130
/lib/: 49
/sbin/: 49
/etc/: 45
/lib64/: …