所以我设置了一个 linux 服务器,但忘记禁用明文 ssh 密码或安装拒绝主机或启用任何类型的密码策略。通常我拒绝主机并且它运行良好。由于错过了这一重要步骤(是的,我应该自动执行此过程),因此密码较弱的用户遭到了黑客攻击。现在假设一般权限很好,我该怎么做才能弄清楚他们做了什么并将其删除?
顺便说一下,我本质上是一名程序员,而不是系统管理员,所以请善待!
我在 Linux 服务器上运行 Apache。我注意到以下进程正在运行,我不希望看到这些进程,并且看起来很流氓。
任何人都可以请告诉我他们的意思吗?
跑步ps aux | grep apache给了我以下几点:
root 6196 0.2 0.0 86708 3100 ? Ss 04:44 0:00 sshd: apache [priv]
sshd 6202 0.0 0.0 61868 1372 ? S 04:44 0:00 sshd: apache [net]
该服务器最近被c99shell ( http://www.chr00t.com/2009/01/c99shell-security/ ) 脚本入侵,我追踪并删除了该脚本(据我所知)。
我问代理是否真的提供匿名性,并想知道黑客在尝试攻击政府网站等时是如何做到的。
他们入侵 PC 使他们成为僵尸并控制他们,例如使用受害者的 IP 地址?他们使用 VPN 连接到它,什么?
(我只是好奇)
我如何向地方当局举报黑客?我在美国,来自挪威的某人入侵了我的网站并更改了我网站和数据库中的大量数据。我想举报他,如果没有别的事情可以记录在他的记录中,所以如果他经常这样做,他可能会受到一些罚款或监禁。
他的IP是xxx.xxx.xxx.xxx,他的公司是http://www.getinternet.no/web/
我以前从不关心对小黑客做任何事情,但这个人确实损害了我的网站、数据和商业形象。请发表任何意见或建议。谢谢你。
我的网站bccfalna.com在 2 天前工作正常,但现在它无法在 Firefox/chrome 和其他浏览器中打开并出现以下错误消息
此网页 www.bccfalna.com 已被报告为攻击页面,并已根据您的安全偏好被阻止。
那么,如何解决这个安全问题,请帮我解决它....
我可以报警吗?
我在英国 - 是否有任何类型的机构调查此类问题?
我有一个围绕 MySQL 数据库构建的小型游戏站点,其中有 400 名成员(约 50 名活跃成员)。我是唯一的开发人员,而且我是一个业余爱好者,所以我会犯相当大的错误。
为了帮助保护我自己、站点和我的成员的贡献,我将服务器设置为使用纯文本“我们遇到错误”消息并自动通过电子邮件将 PHP 错误信息发送给我。
当然,这在公司环境中是行不通的,过于严厉,但我的成员理解,因为我们共同发展了网站,而且我与他们中的大多数人都有私人关系。他们通常也是技术上不精通的老人,这意味着失败的情况会让他们感到困惑。
该站点还到处使用 PDO。
/背景故事完成
我今天早上醒来收到 90 封错误电子邮件。异常!
所有这些都是在 2 分钟的窗口内触发的……最不寻常的!
错误消息是这样的
PDOStatement::execute() expects parameter 1 to be array, string given
查看我的代码后,如果没有外部干扰,这是不可能的。
所以我去获取我的流量日志,发现基于东京的 IP 219.117.193.20 正在通过以下请求攻击我的网站:
GET /search.php?type=basic%20AND%201%20=%201
其中的第一位:GET /search.php?type=basic有效并列在主导航中。其他一切(s)他(它?)正在附加。
看似简单的Bobby Tables攻击。
就这样持续了几分钟和 100 个左右的电话,然后它停止了。
我对你们好人的问题是:
我是否应该费心尝试对该 IP 采取任何行动?
或者这只是可见度的代价,而且过于频繁而无法打扰?
你禁止IP吗?子网?你联系ISP吗?
只是好奇专业服务器管理员在这些情况下会做什么,因为我认为它必须非常频繁地发生......?
所以上周,EC2 上的一个实例停止响应,我仍然不知道确切的原因,因为我无法再通过 SSH 进入,我怀疑安装到另一个驱动器的 /tmp/ 目录由于某种未知原因不再可访问。
我有一些非常重要的文件需要离开这台服务器...
我仍然能够在 AWS 控制台中提取日志,这里有一些非常相关的行(我仍然能够重新启动服务器):
Welcome to CentOS release 5.4 (Final)
Press 'I' to enter interactive startup.
Cannot access the Hardware Clock via any known method.
Use the --debug option to see the details of our search for an access method.
Setting clock : Thu Dec 29 13:52:43 EST 2011 [ OK ]
Starting udev: [ OK ]
Setting hostname localhost.localdomain: [ OK ]
No devices found
Setting up Logical Volume Management: File descriptor 7 …我继承了一个被入侵的网络服务器。试图找出 apache 挂起的原因以及服务器负载高的原因,我在 /tmp 中找到了 perlbot 4.5 的几个副本。我现在想弄清楚它们是如何进入机器的,以便我可以关闭孔。我一直在查看各种扫描仪,nessus 看起来不错,我在机器和托管的网站之一上进行了扫描。但是有几百个站点,太多了,任何人都无法了解所有这些站点的来龙去脉,而且我是新来的,所以我真的不知道他们可能在做什么。扫描每个站点是最好的选择吗?
您如何在同一台机器上检查这么多站点的问题?
编辑添加:我们正在擦除所有内容并从备份中恢复。这很好,但仍然让我们对原始漏洞持开放态度。使用 Nessus 或 Metasploit 一次扫描一个站点以试图找出该漏洞是什么?
编辑 2:它是 phpmyadmin。尽管这本来是我一注意到我们正在运行它就会升级的东西,但我通过倾倒 apache 日志专门发现了这个问题。nessus 和 metaspolit 很整洁但没有帮助。(我可能不明白如何充分利用它们,我只是运行了基本的自动扫描)。