คำถามติดแท็ก hacking

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับความปลอดภัยของเซิร์ฟเวอร์ - การตอบสนองต่อการละเมิดเหตุการณ์ (แฮ็ค) ดูเพิ่มเติมที่: เคล็ดลับสำหรับการรักษาความปลอดภัยเซิร์ฟเวอร์ LAMP ติดตั้งใหม่หลังจากการประนีประนอมราก? Canonical Version ฉันสงสัยว่าเซิร์ฟเวอร์ของฉันอย่างน้อยหนึ่งตัวถูกโจมตีโดยแฮกเกอร์ไวรัสหรือกลไกอื่น ๆ : ขั้นตอนแรกของฉันคืออะไร เมื่อฉันมาถึงที่ไซต์ฉันควรยกเลิกการเชื่อมต่อเซิร์ฟเวอร์รักษา "หลักฐาน" มีการพิจารณาเบื้องต้นอื่น ๆ อีกหรือไม่ ฉันจะให้บริการออนไลน์ได้อย่างไร ฉันจะป้องกันไม่ให้สิ่งเดียวกันเกิดขึ้นอีกครั้งในทันทีได้อย่างไร มีวิธีปฏิบัติที่ดีที่สุดหรือวิธีการเรียนรู้จากเหตุการณ์นี้หรือไม่? หากฉันต้องการจัดทำแผนรับมือเหตุการณ์ไว้ด้วยกันฉันจะเริ่มที่ไหนดี นี่ควรเป็นส่วนหนึ่งของการกู้คืนความเสียหายหรือการวางแผนความต่อเนื่องทางธุรกิจของฉันหรือไม่ รุ่นเดิม 2011.01.02 - ฉันกำลังเข้าสู่การทำงานเวลา 21.30 น. ในวันอาทิตย์เพราะเซิร์ฟเวอร์ของเราถูกบุกรุกอย่างใดและส่งผลให้เกิดการ จู่โจมดอสบนผู้ให้บริการของเรา เซิร์ฟเวอร์ที่เข้าถึงอินเทอร์เน็ตถูกปิดลงซึ่งหมายความว่ามีลูกค้าของเรามากกว่า 5-600 รายในขณะนี้ ตอนนี้อาจเป็นแฮ็ค FTP หรือจุดอ่อนในโค้ดบางแห่ง ฉันไม่แน่ใจจนกว่าฉันจะไปถึงที่นั่น ฉันจะติดตามสิ่งนี้ลงอย่างรวดเร็วได้อย่างไร เราอยู่ในการดำเนินคดีทั้งหมดหากฉันไม่ได้รับเซิร์ฟเวอร์สำรองโดยเร็ว ความช่วยเหลือใด ๆ ที่ชื่นชม เรากำลังเรียกใช้ Open SUSE 11.0 2011.01.03 - …

601 hacking  security 

หลังจากอ่านคำถามนี้เกี่ยวกับการประนีประนอมเซิร์ฟเวอร์ฉันเริ่มสงสัยว่าทำไมผู้คนยังคงเชื่อว่าพวกเขาสามารถกู้คืนระบบที่ถูกบุกรุกได้โดยใช้เครื่องมือตรวจจับ / ล้างข้อมูลหรือเพียงแก้ไขช่องโหว่ที่ใช้ในการประนีประนอมระบบ ด้วยเทคโนโลยีรูทคิทต่างๆและสิ่งอื่น ๆ ที่แฮ็กเกอร์สามารถทำได้ผู้เชี่ยวชาญส่วนใหญ่แนะนำให้คุณติดตั้งระบบปฏิบัติการใหม่ ฉันหวังว่าจะได้แนวคิดที่ดีกว่าว่าทำไมผู้คนจำนวนมากไม่เพียงแค่ถอดและกำจัดระบบจากวงโคจร นี่เป็นจุดสองสามอย่างที่ฉันอยากเห็น มีเงื่อนไขที่รูปแบบ / การติดตั้งใหม่จะไม่ทำความสะอาดระบบหรือไม่? คุณคิดว่าระบบสามารถทำความสะอาดภายใต้เงื่อนไขประเภทใดและเมื่อใดที่คุณต้องทำการติดตั้งใหม่ทั้งหมด คุณให้เหตุผลอะไรกับการติดตั้งแบบเต็มใหม่ หากคุณเลือกที่จะไม่ติดตั้งใหม่คุณจะใช้วิธีการใดเพื่อมั่นใจอย่างมั่นใจว่าคุณได้ทำความสะอาดและป้องกันความเสียหายที่อาจเกิดขึ้นอีกครั้ง

58 hacking  security 

ฉันถูกโจมตีด้วยความพยายามแฮ็กจากประเทศจีนทั้งหมดด้วย IP ที่คล้ายกัน ฉันจะบล็อกช่วง IP ด้วยบางอย่างเช่น 116.10.191. * ฯลฯ ได้อย่างไร ฉันใช้เซิร์ฟเวอร์ Ubuntu 13.10 บรรทัดปัจจุบันที่ฉันใช้คือ: sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP สิ่งนี้ช่วยให้ฉันสามารถบล็อกแต่ละครั้งเท่านั้น แต่แฮกเกอร์กำลังเปลี่ยน IP ทุกครั้ง

47 ubuntu  iptables  ip  ip-address  hacking 

บางคนมีครั้งที่สองผนวกท้ายจาวาสคริปต์ไปยังเว็บไซต์ที่ฉันช่วยเรียกใช้ จาวาสคริปต์นี้จะจี้ Google Adsense ใส่หมายเลขบัญชีของตนเองและติดโฆษณาทั้งหมด รหัสจะถูกผนวกเข้าด้วยกันเสมอในหนึ่งไดเรกทอรีเฉพาะ (หนึ่งที่ใช้โดยโปรแกรมโฆษณาของบุคคลที่สาม) ส่งผลกระทบต่อจำนวนไฟล์ในไดเรกทอรีจำนวนหนึ่งภายในโฆษณานี้ (20 หรือมากกว่านั้น) และถูกแทรกในเวลาประมาณเดียวกันข้ามคืน เวลา. บัญชี Adsense เป็นของเว็บไซต์จีน (ตั้งอยู่ในเมืองไม่ถึงหนึ่งชั่วโมงจากที่ฉันจะอยู่ในประเทศจีนในเดือนหน้าบางทีฉันควรไปหัว ... ล้อเล่น, ประเภทของ), btw ... นี่คือข้อมูลเกี่ยวกับ เว็บไซต์: http://serversiders.com/fhr.com.cn ดังนั้นพวกเขาจะต่อท้ายข้อความในไฟล์เหล่านี้ได้อย่างไร มันเกี่ยวข้องกับการอนุญาตที่ตั้งไว้ในไฟล์ (ตั้งแต่ 755 ถึง 644) หรือไม่? สำหรับผู้ใช้เว็บเซิร์ฟเวอร์ (อยู่ใน MediaTemple ดังนั้นควรปลอดภัยใช่ไหม) ฉันหมายความว่าหากคุณมีไฟล์ที่มีการอนุญาต 777 ฉันยังคงไม่สามารถเพิ่มรหัสได้ตามต้องการ ... พวกเขาจะทำสิ่งนี้ได้อย่างไร นี่คือตัวอย่างของรหัสจริงเพื่อความสุขในการรับชมของคุณ (และอย่างที่คุณเห็น ... ไม่มากนักเคล็ดลับที่แท้จริงคือวิธีที่พวกเขามีมันอยู่ในนั้น): <script type="text/javascript"><!-- google_ad_client = "pub-5465156513898836"; /* …

40 security  php  hacking 

อะไรคือสัญญาณบอกเล่าว่าเซิร์ฟเวอร์ Linux ถูกแฮ็ก มีเครื่องมือใดที่สามารถสร้างและส่งอีเมลรายงานการตรวจสอบตามกำหนดเวลาได้หรือไม่?

36 linux  hacking  audit  security 

เว็บไซต์ของฉันได้รับความนิยมหลายพันครั้งต่อวันจาก IP ที่พยายามเข้าถึง: /php-myadmin/ /myadmin/ /mysql/ ... และรูปแบบอื่น ๆ อีกนับพัน ไม่มีไดเรกทอรีเหล่านี้อยู่ฉันไม่มี phpmyadmin บนเซิร์ฟเวอร์ของฉัน ฉันไม่คิดว่าความพยายามใด ๆ เหล่านี้ประสบความสำเร็จ แต่พวกเขาต้องใช้ทรัพยากรของเซิร์ฟเวอร์และเสียแบนด์วิดท์ดังนั้นฉันจึงอยากหยุดถ้าเป็นไปได้ ฉันได้บล็อกไอพีเหล่านี้จำนวนหนึ่ง แต่พวกเขากลับมาพร้อมกับไอพีสดใหม่มีวิธีใดที่ฉันจะสามารถป้องกันได้อย่างถาวรมากขึ้น?

34 web-server  hacking 

ฉันไม่แน่ใจว่าฉันถูกแฮ็กหรือไม่ ฉันพยายามล็อคอินผ่าน SSH และไม่ยอมรับรหัสผ่านของฉัน การเข้าสู่ระบบรูทถูกปิดการใช้งานดังนั้นฉันจึงไปช่วยและเปิดใช้งานการเข้าสู่ระบบรูทและสามารถเข้าสู่ระบบในฐานะรูทได้ ในฐานะที่เป็น root ฉันพยายามที่จะเปลี่ยนรหัสผ่านของบัญชีที่ได้รับผลกระทบด้วยรหัสผ่านเดียวกันกับที่ฉันพยายามเข้าสู่ระบบมาก่อนpasswdตอบด้วย "รหัสผ่านไม่เปลี่ยนแปลง" ฉันเปลี่ยนรหัสผ่านเป็นอย่างอื่นและสามารถเข้าสู่ระบบจากนั้นเปลี่ยนรหัสผ่านกลับไปเป็นรหัสผ่านเดิมและเข้าสู่ระบบอีกครั้งได้ ฉันตรวจสอบauth.logการเปลี่ยนแปลงรหัสผ่านแล้ว แต่ไม่พบว่ามีประโยชน์อะไร ฉันสแกนหาไวรัสและรูทคิทแล้วเซิร์ฟเวอร์ก็ส่งคืนสิ่งนี้: ClamAV: "/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" rkhunter สำหรับแพลตฟอร์มวินโดวส์: "/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable Warning: Suspicious file types found in /dev:" ควรสังเกตว่าเซิร์ฟเวอร์ของฉันไม่เป็นที่รู้จักอย่างกว้างขวาง ฉันยังเปลี่ยนพอร์ต SSH และเปิดใช้งานการยืนยันแบบสองขั้นตอน ฉันเป็นห่วงฉันถูกแฮ็คและมีคนพยายามหลอกฉันว่า …

30 linux  ssh  security  hacking 

ฉันมีเครื่อง Windows Server 2003 SP2 ที่ติดตั้ง IIS6, SQL Server 2005, MySQL 5 และ PHP 4.3 อยู่ นี่ไม่ใช่เครื่องจักรที่ใช้ในการผลิต แต่มันถูกเปิดเผยไปทั่วโลกผ่านชื่อโดเมน เดสก์ท็อประยะไกลเปิดใช้งานบนเครื่องและมีบัญชีผู้ใช้สองบัญชีที่ใช้งานอยู่ เช้านี้ฉันพบว่าเครื่องนั้นถูกออกจากระบบด้วยชื่อผู้ใช้ uknown ที่ยังอยู่ในกล่องข้อความเข้าสู่ระบบ จากการตรวจสอบต่อไปฉันพบว่ามีผู้ใช้ windows สองตัวถูกสร้างขึ้นโปรแกรมป้องกันไวรัสได้ถูกถอนการติดตั้งและไฟล์. exe ที่ได้ถูกปล่อยลงในไดรฟ์ C: สิ่งที่ฉันอยากรู้คือฉันควรทำอย่างไรในขั้นตอนต่าง ๆ เพื่อให้แน่ใจว่าสิ่งนี้จะไม่เกิดขึ้นอีกและฉันควรมุ่งเน้นไปที่การกำหนดเส้นทางการเข้า ฉันได้ตรวจสอบ netstat -a แล้วเพื่อดูว่าพอร์ตใดเปิดอยู่และไม่มีอะไรแปลก ๆ ที่นั่น ฉันพบไฟล์ที่ไม่รู้จักในโฟลเดอร์ข้อมูลสำหรับ MySQL ซึ่งฉันคิดว่าอาจเป็นจุดเริ่มต้น แต่ฉันไม่แน่ใจ ฉันขอขอบคุณขั้นตอนในการทำการแฮ็กเซิร์ฟเวอร์ที่ดีเพื่อให้ฉันสามารถหลีกเลี่ยงปัญหานี้ได้ในอนาคต โพสต์รีวิวการสืบสวน หลังจากการสอบสวนฉันคิดว่าฉันพบสิ่งที่เกิดขึ้น ครั้งแรกที่เครื่องไม่ได้รับการออนไลน์ในช่วงเวลาของเดือนสิงหาคม '08 ถึงตุลาคม '09 ในช่วงเวลานั้นกรอบช่องโหว่ความปลอดภัยที่ถูกค้นพบที่MS08-067 ช่องโหว่ …

29 windows-server-2003  security  hacking 

สามารถเรียนรู้อะไรเกี่ยวกับ 'ผู้ใช้' จากความพยายาม SSH ที่เป็นอันตรายที่ล้มเหลว ชื่อผู้ใช้ที่ป้อน ( /var/log/secure) ป้อนรหัสผ่าน (หากกำหนดค่าเช่นใช้โมดูล PAM) ที่อยู่ IP ต้นทาง ( /var/log/secure) มีวิธีใดบ้างในการแยกสิ่งอื่นออก ไม่ว่าจะเป็นข้อมูลที่ซ่อนอยู่ในล็อกไฟล์เทคนิคสุ่มหรือจากเครื่องมือของบุคคลที่สามเป็นต้น

24 linux  ssh  logging  pam  hacking 

บริษัท ผู้ให้บริการด้านไอทีของเรากำลังเสนอการกำหนดค่าเครือข่ายใหม่เพื่อใช้ช่วง IP 10.10.150.1 - 10.10.150.254 ภายในเนื่องจากพวกเขาระบุรูปแบบ IP ปัจจุบันโดยใช้ค่าเริ่มต้นของผู้ผลิตที่ 192.168.1.x คือ "ทำให้ง่ายต่อการใช้ประโยชน์" มันเป็นเรื่องจริงเหรอ? การรู้ / ไม่ทราบว่ารูปแบบ IP ภายในทำให้เครือข่ายใช้ประโยชน์ได้มากขึ้นอย่างไร ระบบภายในทั้งหมดอยู่เบื้องหลัง SonicWall NAT และเราเตอร์ไฟร์วอลล์

24 networking  tcpip  hacking 

ฉันใช้งานLAMP stack โดยไม่มีการติดตั้งphpMyAdmin (ใช่) ในขณะที่ poking ผ่านบันทึกเซิร์ฟเวอร์ Apache ของฉันฉันสังเกตเห็นสิ่งต่าง ๆ เช่น: 66.184.178.58 - - [16/Mar/2010:13:27:59 +0800] "GET / HTTP/1.1" 200 1170 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 200.78.247.148 - - [16/Mar/2010:15:26:05 +0800] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 506 "-" "-" 206.47.160.224 - - [16/Mar/2010:17:27:57 +0800] "GET / HTTP/1.1" 200 1170 …

18 apache-2.2  security  hacking 

ตัวย่อสคริปต์บางตัวในเดลีประเทศอินเดียพยายามแฮ็คไซต์ของเราตั้งแต่เมื่อคืน เขาเขียนสคริปต์ของเบราว์เซอร์ที่ทำให้คำขอเซิร์ฟเวอร์ของเราเป็นลูปซ้อนกันขนาดใหญ่พยายามทุกอย่างภายใต้ดวงอาทิตย์ เขาไม่ได้เดินทางไปไหนและไม่ผ่านมาแม้แต่การป้องกันขั้นพื้นฐานของเรา (แต่เขากำลังเติมไฟล์บันทึกของเรา) เราส่งกลับ403 Unauthorizedไปที่คำขอของเขาเกือบจะทันทีที่เข้ามา แต่ยิ่งเราบล็อกคำขอของเขาได้เร็วเท่าใดสคริปต์ของเขาก็จะทำงานเร็วขึ้นเท่านั้น เราขอแนะนำ "การหน่วงเวลา" ของการจัดเรียงบางอย่างก่อนส่งการตอบกลับ 403 กลับ ยิ่งยาวยิ่งดี คำถาม:เราจะหน่วงเวลาการแฮ็คโดยไม่ส่งผลกระทบต่อส่วนที่เหลือของไซต์ได้อย่างไร ฉันคิดว่าการนอนหลับ (15,000) ในหัวข้อของเขาจะเป็นข่าวร้ายสำหรับผู้เข้าชมเว็บไซต์อื่น ๆ การปั่นด้ายใหม่ให้กับเขาดูเหมือนจะเกินความจริง มีวิธีอื่นในการส่งการตอบกลับล่าช้าหรือไม่ เราจะบังคับให้เบราว์เซอร์ของเขารอนานเท่าไร ฉันคิดว่าฉันไม่สนใจมากถ้าเขาได้รับ403 Unauthorizedข้อผิดพลาดหรือหมดเวลาในที่สุดดังนั้นเราอาจจะรอไม่ จำกัด / ไม่มีที่สิ้นสุด

17 asp.net  hacking 

ลูกค้าของฉันมีเซิร์ฟเวอร์ที่กำลังถูกพยายามเข้าสู่ระบบที่โหดร้ายจากบ็อตเน็ต เนื่องจากความหลากหลายของเซิร์ฟเวอร์และไคลเอนต์ของลูกค้าเราจึงไม่สามารถปิดกั้นความพยายามได้อย่างง่ายดายผ่านไฟร์วอลล์การเปลี่ยนพอร์ตหรือการเปลี่ยนชื่อบัญชีเข้าสู่ระบบ การตัดสินใจถูกปล่อยให้เปิดเพื่อโจมตี แต่หาวิธีการรักษารหัสผ่านที่ปลอดภัย ฝ่ายบริหารและที่ปรึกษาอื่นบางคนระบุว่าสิ่งที่ดีที่สุดที่ต้องทำคือติดตั้งซอฟต์แวร์การหมุนรหัสผ่านเพื่อหมุนรหัสผ่านทุกสิบนาทีและให้รหัสผ่านใหม่แก่ผู้ใช้ที่ต้องเข้าสู่ระบบ กำลังพยายามดุร้ายกำลังเกิดขึ้นสองครั้งทุกวินาที ฉันต้องแสดงให้เห็นว่าการใช้รหัสผ่านที่คาดเดายากด้วยความยาว 12-15 ตัวอักษรเป็นวิธีที่ง่ายและฟรี ฉันรู้วิธีพิสูจน์ด้วยคณิตศาสตร์ แต่ฉันแค่เขียนอะไรบางอย่างเช่น "มีการเปลี่ยนรหัสผ่านที่เป็นไปได้จำนวนมาก x และผู้โจมตีสามารถลองได้ครั้งละไม่เกินครั้งดังนั้นเราจึงคาดหวังให้พวกเขาไป x / โดยเฉลี่ย 2n วันก่อนที่พวกเขาจะเดารหัสผ่านของเรา " มี "หลักฐาน" ที่เป็นมาตรฐานมากกว่านี้หรือไม่?

16 security  password  hacking  brute-force-attacks 

ผู้ดูแลระบบคนอื่น ๆ กำลังตรวจสอบเซิร์ฟเวอร์เพื่อตรวจหาการเข้าถึงและ / หรือการแฮ็คโดยไม่ได้รับอนุญาตอย่างไร ในองค์กรขนาดใหญ่ง่ายกว่าที่จะโยนคนที่มีปัญหา แต่ในร้านค้าขนาดเล็กคุณจะตรวจสอบเซิร์ฟเวอร์ของคุณได้อย่างมีประสิทธิภาพได้อย่างไร ฉันมักจะสแกนผ่านบันทึกเซิร์ฟเวอร์ที่กำลังมองหาสิ่งที่กระโดดออกมาจากฉัน แต่มันง่ายที่จะพลาดสิ่งต่าง ๆ ในกรณีหนึ่งเราถูกทิปด้วยพื้นที่ฮาร์ดไดรฟ์ต่ำเซิร์ฟเวอร์ของเราถูกยึดครองเป็นไซต์ FTP - พวกเขาทำงานได้ดีมากในการซ่อนไฟล์โดยการยุ่งกับตาราง FAT ถ้าคุณไม่ทราบชื่อเฉพาะของโฟลเดอร์มันจะไม่ปรากฏใน Explorer จาก DOS หรือเมื่อค้นหาไฟล์ คนอื่นใช้เทคนิคและ / หรือเครื่องมืออะไรบ้าง?

16 hacking 

ขั้นตอนหลักในการวิเคราะห์ทางนิติเวชของกล่อง linux หลังจากถูกแฮ็กคืออะไร ให้บอกว่าเป็นจดหมายเซิร์ฟเวอร์ Linux / เว็บ / ฐานข้อมูล / ftp / ssh / samba และมันก็เริ่มส่งสแปมสแกนระบบอื่น ๆ .. จะเริ่มค้นหาวิธีการแฮ็คได้อย่างไรและใครเป็นผู้รับผิดชอบ?

15 linux  security  hacking  forensic-analysis