我们的 IT 服务公司提议进行网络重新配置,以在内部使用 IP 范围 10.10.150.1 – 10.10.150.254,因为他们声明使用制造商默认值 192.168.1.x 的当前 IP 方案“使其易于被利用”。
这是真的?知道/不知道内部 IP 方案如何使网络更容易被利用?所有内部系统都位于 SonicWall NAT 和防火墙路由器之后。
从失败的恶意 SSH 尝试中可以学到什么关于“用户”的信息?
/var/log/secure)/var/log/secure)有没有其他提取方法?无论是隐藏在日志文件中的信息、随机技巧还是来自 3rd 方工具等。
巧合的是,我查看了我的服务器 ssh 日志(/var/log/auth.log),我注意到有人一直在尝试获取访问权限:
Sep 7 13:03:45 virt01 sshd[14674]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.42 user=root
Sep 7 13:03:48 virt01 sshd[14674]: Failed password for root from 116.31.116.42 port 13423 ssh2
Sep 7 13:03:52 virt01 sshd[14674]: message repeated 2 times: [ Failed password for root from 116.31.116.42 port 13423 ssh2]
Sep 7 13:03:52 virt01 sshd[14674]: Received disconnect from 116.31.116.42: 11: [preauth]
这种情况每分钟发生几次,并且在我不知道的情况下已经持续了很长时间。
问题如果是,我是否应该担心这个问题:我该怎么办?
有人能说出这是什么意思吗?我尝试了一个命令,比如lastb查看上次用户登录,我看到一些来自中国的奇怪登录(服务器是欧盟,我在欧盟)。我想知道这些是否可能是登录尝试或成功登录?
这些似乎很旧,通常我只将端口 22 锁定到我的 IP,我想我的端口打开了一段时间,最后一次登录是在 7 月。
root ssh:notty 222.92.89.xx Sat Jul 9 12:26 - 12:26 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 12:04 - 12:04 (00:00)
oracle ssh:notty 222.92.89.xx Sat Jul 9 11:43 - 11:43 (00:00)
gary ssh:notty 222.92.89.xx Sat Jul 9 11:22 - 11:22 (00:00)
root ssh:notty 222.92.89.xx Sat Jul 9 11:01 - 11:01 (00:00)
gt05 ssh:notty 222.92.89.xx Sat Jul 9 10:40 - 10:40 (00:00)
admin ssh:notty 222.92.89.xx Sat Jul 9 10:18 - 10:18 (00:00)
我正在运行LAMP堆栈,但没有安装phpMyAdmin(是)。在浏览我的 Apache 服务器日志时,我注意到以下内容:
66.184.178.58 - - [16/Mar/2010:13:27:59 +0800] "GET / HTTP/1.1" 200 1170 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
200.78.247.148 - - [16/Mar/2010:15:26:05 +0800] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 506 "-" "-"
206.47.160.224 - - [16/Mar/2010:17:27:57 +0800] "GET / HTTP/1.1" 200 1170 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:02 +0800] "GET //phpmyadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 480 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
190.220.14.195 - - [17/Mar/2010:01:28:03 +0800] "GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 476 …其他管理员如何监控他们的服务器以检测任何未经授权的访问和/或黑客攻击?在较大的组织中,更容易让人们解决问题,但在较小的商店中,您如何有效地监控服务器?
我倾向于浏览服务器日志,寻找任何跳出我的东西,但很容易遗漏一些东西。在一个案例中,我们发现硬盘空间不足:我们的服务器被接管为一个 FTP 站点——他们通过弄乱 FAT 表来隐藏文件做得很好。除非您知道文件夹的具体名称,否则它不会在资源管理器、DOS 或搜索文件时显示。
人们正在使用哪些其他技术和/或工具?
印度德里的某个脚本小子从昨晚开始就一直试图入侵我们的网站。他编写了一个浏览器脚本,在大量嵌套循环中向我们的服务器发出请求,在阳光下尝试一切。
他什么也没有,甚至连我们的基本防御都没有通过(但他正在填满我们的日志文件)。
我们403 Unauthorized几乎一收到他的请求就将a 发送回给他,但是我们阻止他的请求的速度越快,他的脚本运行得就越快。
我们想在发回 403 响应之前引入某种“延迟”。时间越长越好。
问题:我们如何才能在不影响网站其余部分的情况下延迟黑客尝试?
403 Unauthorized错误或最终超时,所以我们甚至可以做无限期/无限期的等待。我的客户端有一个服务器,它正在遭受来自僵尸网络的蛮力登录尝试。由于服务器和客户端的客户端变化无常,我们无法轻易阻止通过防火墙、端口更改或登录帐户名称更改的尝试。
已决定让它受到攻击,但要找到一种保护密码安全的方法。管理层和其他一些顾问已经确定,最好的办法是安装密码轮换软件,每十分钟轮换一次密码,并将新密码提供给需要登录的用户。
蛮力尝试每秒发生两次。
我需要证明使用 12-15 个字符的强密码是一种更简单且免费的解决方案。我知道如何用数学证明这一点,但我只想写一些类似“我们的密码有 x 种可能的排列,攻击者每天只能尝试 n 次,因此我们希望他们去 x/在他们猜出我们的密码之前平均 2n 天。” 有没有更标准的“证明”呢?
linux box被黑后取证分析的主要步骤是什么?
假设它是一个通用的 linux 服务器 mail/web/database/ftp/ssh/samba。它开始发送垃圾邮件,扫描其他系统.. 如何开始寻找黑客攻击的方式以及谁负责?
我假设这些是某种机器人,但想知道他们试图对我的服务器做什么。
登录问题如下,IP 地址已更改为原始地址。
12.34.56.78 - - [18/Oct/2012:16:48:20 +0100] "\x86L\xED\x0C\xB0\x01|\x80Z\xBF\x7F\xBE\xBE" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:16:50:28 +0100] "\x84K\x1D#Z\x99\xA0\xFA0\xDC\xC8_\xF3\xAB1\xE2\x86%4xZ\x04\xA3)\xBCN\x92r*\xAAN\x5CF\x94S\xE3\xAF\x96r]j\xAA\xC1Y_\xAE\xF0p\xE5\xBAQiz\x14\x9F\x92\x0C\xCC\x8Ed\x17N\x08\x05" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:16:58:32 +0100] "g\x82-\x9A\xB8\xF0\xFA\xF4\xAD8\xBA\x8FP\xAD\x0B0\xD3\xB2\xD2\x1D\xFF=\xAB\xDEC\xD5\xCB\x0B*Z^\x187\x9C\xB6\xA6V\xB8-D_\xFE" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:17:06:59 +0100] "\xA61[\xB5\x02*\xCA\xB6\xC6\xDB\x92#o.\xF4Kj'H\xFD>\x0E\x15\x0E\x90\xDF\xD0R>'\xB8A\xAF\xA3\x13\xB3c\xACI\xA0\xAA\xA7\x9C\xCE\xA3\x92\x85\xDA\xAD1\x08\x07\xFC\xBB\x0B\x95\xA8Z\xCA\xA1\xE0\x88\xAEP" 400 172 "-" "-"
12.34.56.78 - - [18/Oct/2012:17:13:53 +0100] "b\xC4\xA24Z\xA2\x95\xEFc\xAF\xF1\x93\xE8\x81\xFD\xB4\xDEo\x92\xC0v\x1Fe\xD8W\x85\xC7O\x9D\x8C\x89<" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:09:56:39 +0100] "\x93d\xD8\x85\xD3f\x182\x94\x10\xE6y\x06\x7F\xE5\x97\xA8S\x8AfZ\x84\x0C\x0F\xFD\x19d*+\x09%\xEC3EG\xDD:Tn\xDA" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:07:10 +0100] ">\x92\xD7\x85\xC2\x5C\xDA\x8CJX\xBE\x87\x01\xBA\x09\xADj\xEDT.\x02z\x0B\xCA\x00\xAC\xDC[_;q\xC15\x17\xE9\x0B\x9F\xDA;\xEC\xDA)\xB8\x91\xA2\xB5P\xE9\x81\xF2\xD5\xD3\xC4\xD3" 400 172 "-" "-"
12.34.56.78 - - [19/Oct/2012:10:09:53 +0100] "\x12\x9E>\xFC\xF4\x07,\x9A\xF5G\xB4\xD0\xD4\xF1\xCB9\x9FRl\xB0\xDB\x84a\x90\x7F{\xB1\xA3\xD9-5\xF8\x94~\xCEm\x87\xEC\xB4\xE2s\xBD\xDB@" 400 …