可能重复:
我的服务器被黑了 紧急情况
所以我非常恐慌。
我有一个正在构建的 Rails 应用程序,它托管在 VPS 上,用于临时环境。我在本月早些时候对其进行了配置,一切正常(特别是在部署 capistrano 时)。今天我把最新的开发代码部署到了web服务器上并去测试了。我点击了 URL ( http://openstudyr.ashleyangell.com ) 并注意到它正在对我从未听说过的“ http://guide-securesoft.ru/fliht/index.php?1314066061 ”进行奇怪的查找之前,点击我的任何链接也是(最终重定向到相同/相似的 URL)。
我不擅长 Linux,但我足够聪明,可以确保我的所有 SSH 都通过密钥身份验证完成,我从不以 root 身份运行,root 密码是一个长度约为 24 个字符的字母数字字符串。
我检查了虚拟主机的 Apache 配置,但它与我离开时完全一样。
我感觉我的心脏快要射出胸膛,爆炸了。我不知道该怎么做,或者接下来要检查什么。
我尝试在域中搜索类似的问题,但没有发现任何明显的问题。
任何人都可以帮忙吗?我怎样才能 a) 验证我是否已经被入侵,b) 解决问题并阻止它发生(我知道在 a 之前无法真正回答)。
:(
更新#1:
似乎我的所有 URL 在从浏览器执行时都在执行自动重定向,但是如果我直接点击 URL,它们就可以正常工作。奇怪的。
更新#2:
它的父域http://ashleyangell.com(我的个人博客)也有同样的问题。但是,所有其他虚拟主机似乎不受影响。
更新 #3:
我在其他机器上测试过。他们都在做同样的行为,这让我认为它与我的开发机器或互联网连接无关。(是的?)
更新#4:
我跑sudo grep -ri -l "guide-securesoft" /var了,服务器的所有 .htaccess 文件都匹配了!所以我选择了有问题的域并运行cat /var/www/vhosts/openstudyr.ashleyangell.com/.htaccess,这就是我得到的(我清理了它以使其可读):
ErrorDocument 400 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 401 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 403 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 404 http://guide-securesoft.ru/fliht/index.php
ErrorDocument 500 …我有一个 OpenVPN 服务器,它对 Active Directory 进行身份验证,因此要求每个用户输入用户名和密码。
最重要的是,它还要求每个用户拥有一个客户端证书和客户端密钥(+ server ca.crt)。
题
我希望每个用户都必须使用他们的 AD 用户名和密码登录,并且所有客户端共享相同的客户端证书和客户端密钥。
我想要一个共享的客户端证书和密钥的原因是为了便于管理,它可以保护网络免受有人暴力破解密码的影响。
一种方法是像这样创建一个客户端
cd /etc/openvpn/easy-rsa/2.0/
. /etc/openvpn/easy-rsa/2.0/build-key client1
并将其提供给每个用户。
在这些条件下,这是正确的方法吗?还是应该以特殊方式创建客户端证书和密钥?
我们聘请了一位新的系统管理员,这将是第一次将这项敏感任务委托给第三方。他是个好人,但我们仍然担心安全问题。
您向我们推荐什么?将我们的 Linux 服务器的 root 访问权限授予新人是否明智?还是我们应该在 Linux 上创建一个单独的用户帐户?你有什么建议吗?他将登录到我们的服务器并开始监控/var/log/* 文件。
尝试为用户创建 2 因素身份验证以远程访问数据。
这是我的场景:
我们有一个用于 VPN 进入网络的 Watchguard - 如果我们使用它的内部数据库来存储身份验证信息。
然后使用 Active Directory 凭据来 RDP 或访问服务器上的文件。
那会算吗?
我想拥有自己的远程服务器,并通过 SSH 连接到它。
但是我想通过多台PC(即许多不同的IP)来做到这一点,您对此有什么建议/安全解决方案吗?
我正在尝试在本地计算机(Windows 7 32 位)上打开端口 22。我正在使用网络工具来检查我的端口是否打开。它说端口 22 已关闭。所以我禁用了防火墙,看看它是否会导致端口被阻止。即使禁用了防火墙,端口 22 仍然关闭。
我在没有无线路由器的情况下直接连接到我的电缆。可能是什么问题?
更新我正在尝试使用 SSH 连接到服务器(Linux - CentOS 4.5 版)。我在我的机器上使用 Putty 客户端(Windows 7)。当我尝试连接时,连接超时。我运行命令telnet mysite.com 22以查看是否可以通过端口 22 进行连接,但我收到“连接超时”的消息。信息。
更新2想通了。除了我本地计算机上的防火墙外,服务器上还有一个防火墙,它只对某些 IP 开放端口 22。所以即使端口 22 是开放的,它也没有对我的 IP 开放。
这是坐在我网站的 cgi-bin 中。我应该担心吗?
#!/usr/bin/perl
print <<HTML;
Content-type: text/html
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title></title>
<meta http-equiv="Content-Type" content="text/html">
<link rel="stylesheet" type="text/css" href="../../css/style.css">
</head>
<body>
<table cellspacing="0" cellpadding="0" border="0">
<tr class="subhead" align="Left"><th>Name</th><th>Value</th></tr>
HTML
my $class;
foreach (sort keys %ENV) {
next unless /^HTTP_|^REQUEST_/;
$class = ($class ne 'normal')? 'normal': 'alt';
print <<HTML;
<tr class="$class"><td valign="top">$_</td><td>$ENV{$_}</td></tr>
HTML
}
print <<HTML;
</table>
</body>
</html>
HTML
托管我的一些个人博客的 Windows Server 2008 网络版已被黑客入侵,并注入了我所有的 php 文件,而该博客甚至不活跃。
密码很长,大约 50 个字符。那么黑客是如何做到的。在网上搜索时,我偶然发现了这个:
http://www.argeniss.com/pressrel032408.html
“Argeniss 发现的问题源于微软工程师在安全开发生命周期 (SDL) 期间未发现的设计问题,并允许 Windows 服务(NETWORK SERVICE 和 LOCAL SERVICE)常用的帐户绕过新的 Windows 服务保护机制并提升权限以实现对操作系统的完全控制。
Argeniss 发现还会影响默认配置中的 Internet Information Services 7,从而允许 ASP .NET 应用程序完全破坏操作系统的安全性。”
它提到了 asp.net 而不是 php 但也许它在 IIS 上使用了一些东西?
我怎么知道以及如何真正保护我的服务器呢?
更新:没有触及 SQL 数据库,它是直接来自 Wordpress 的 PHP 代码。我担心的是,有些博客已被黑,因为它们在 IIS7 中未处于活动状态,因此它不是来自 Wordpress 或 mysql。
我正在 CentOS 上设置 NetDisco 机器,这需要向 apache httpd.conf 文件添加一个包含。
当我通过从根命令提示符运行“httpd”来启动 apache 时,进程会启动。
当我尝试通过运行“service httpd start”来启动 apache 时,我得到以下输出:
Starting httpd: httpd: Syntax error on line 1010 of /etc/httpd/conf/httpd.conf:
Could not open configuration file /usr/local/netdisco/netdisco_apache.conf:
Permission denied
[FAILED]
该文件具有以下权限:
-rw-r--r--. 1 root root 1798 Apr 22 18:46 netdisco_apache.conf
并且 httpd.conf 具有以下权限:
-rw-r--r--. 1 root root 34520 Apr 22 17:06 httpd.conf
是什么让apache服务可以访问具有完全相同权限的文件?
有一个 Windows 2008 服务器,其中有一个具有已知密码的本地用户帐户 - 让它成为用户“dummy”和密码“dummy1”。该本地用户仅属于“用户”组。
攻击者没有对服务器的本地访问权限。
如果攻击者知道该本地用户的用户名和密码,他是否可以远程滥用服务器?