คำถามติดแท็ก hacking

ในขณะนี้ฉันกำลังออกไปเล็กน้อย ฉันเป็น SSHing ในเซิร์ฟเวอร์ระยะไกลที่ฉันเพิ่งได้รับหน้าที่ ฉันทำเช่นนี้เป็นราก ฉันติดตั้ง fail2ban และมี IP จำนวนมากถูกแบนในบันทึก ครั้งสุดท้ายที่ฉันลงชื่อเข้าใช้ฉันสังเกตเห็นว่าเทอร์มินัลของฉันล้าหลังมากจากนั้นการเชื่อมต่ออินเทอร์เน็ตของฉันลดลง เมื่อฉันซื้อมันกลับมาหลังจากผ่านไปประมาณ 5 นาทีฉันก็กลับเข้าสู่เซิร์ฟเวอร์และทำ 'ใคร' และรู้ว่ามีผู้ใช้รูทสองคนเข้าสู่ระบบฉันจะคิดว่าถ้าการเชื่อมต่อของฉันยุติกระบวนการจากเซสชันล่าสุด หยุดบนเซิร์ฟเวอร์หรือไม่ การเชื่อมต่อจบลงด้วย 'การเขียนล้มเหลว: ท่อแตก' เมื่อฉันถูกตัดการเชื่อมต่อเป็นครั้งแรก ฉันฆ่าเซสชันทุบตีกับรากอื่น ๆ ฉันไม่รู้เกี่ยวกับความปลอดภัยของ SSH มากนัก มีวิธีตรวจสอบสิ่งนี้หรือไม่? ฉันจำเป็นต้องเข้าสู่ระบบต่อผ่านทาง ssh ฉันควรระวังอะไรบ้าง? ถ้าฉันกำลังผ่านพร็อกซีเพื่อไปยังเซิร์ฟเวอร์ของฉัน (เช่นคนที่อยู่ตรงกลางของการโจมตี) พวกเขาสามารถจี้เซสชั่น ssh ของฉันได้อย่างไร

14 linux  ssh  security  unix  hacking 

จากข้อมูลของศูนย์ Storm Internetดูเหมือนว่าจะมีการใช้ประโยชน์จากศูนย์ SSH เป็นระยะเวลาหนึ่งวัน มีการพิสูจน์โค้ดแนวคิดในที่นี่และการอ้างอิงบางส่วน: http://secer.org/hacktools/0day-openssh-remote-exploit.html http://isc.sans.org/diary.html?storyid=6742 นี่เป็นปัญหาร้ายแรงดังนั้นผู้ดูแลระบบ Linux / Unix ทุกคนควรระวัง เราจะป้องกันตัวเองได้อย่างไรหากปัญหานี้ไม่ได้รับการแก้ไขในเวลา? หรือคุณจัดการกับการหาประโยชน์ที่ไม่มีวันได้โดยทั่วไปอย่างไร? * ฉันจะโพสต์ข้อเสนอแนะของฉันในการตอบกลับ

13 linux  security  ssh  hacking  exploit 

หากคุณได้รับคอมพิวเตอร์ที่ใช้ Windows 2000 หรือใหม่กว่าและคุณไม่มีรหัสผ่านคุณใช้วิธีใดในการเข้าถึงด้วยสิทธิ์ผู้ดูแลระบบเพื่อให้คุณสามารถใช้ระบบได้

13 windows  password  hacking 

ใครสามารถบอกได้ว่าสิ่งนี้หมายความว่าอย่างไร ฉันลองใช้คำสั่งlastbเพื่อดูการเข้าสู่ระบบของผู้ใช้ล่าสุดและฉันเห็นการเข้าสู่ระบบแปลก ๆ จากประเทศจีน (เซิร์ฟเวอร์คือ EU ฉันอยู่ใน EU) ฉันสงสัยว่าสิ่งเหล่านี้อาจเป็นความพยายามในการเข้าสู่ระบบหรือการเข้าสู่ระบบที่ประสบความสำเร็จหรือไม่ สิ่งเหล่านี้ดูเหมือนจะเก่ามากและโดยปกติฉันจะล็อคพอร์ตที่ 22 กับ IP ของฉันเท่านั้นฉันคิดว่าฉันเปิดพอร์ตไว้ซักพักแล้วไฟล์บันทึกล่าสุดจะอยู่ในเดือนกรกฎาคม root ssh:notty 222.92.89.xx Sat Jul 9 12:26 - 12:26 (00:00) root ssh:notty 222.92.89.xx Sat Jul 9 12:04 - 12:04 (00:00) oracle ssh:notty 222.92.89.xx Sat Jul 9 11:43 - 11:43 (00:00) gary ssh:notty 222.92.89.xx Sat Jul 9 …

13 ssh  log-files  login  hacking 

คำถาม: หาก VM เกิดความเสียหาย (แฮ็ค) ฉันจะต้องเสี่ยงกับ VM ตัวอื่นที่ทำงานบนเครื่องจริงหรือไม่? มีปัญหาด้านความปลอดภัยใดบ้างระหว่าง VM ที่ใช้งานบนฟิสิคัลโฮสต์เดียวกัน มีรายการจุดอ่อนและ / หรือปัญหาที่อาจเกิดขึ้นหรือไม่ คำเตือน: ฉันรู้ว่ามีประเภท / โซลูชั่นเวอร์ชวลไลเซชันอยู่มากมายและอาจมีจุดอ่อนที่แตกต่างกัน อย่างไรก็ตามส่วนใหญ่ฉันกำลังมองหาปัญหาด้านความปลอดภัยทั่วไปเกี่ยวกับเทคนิคการจำลองเสมือนแทนที่จะเป็นบั๊กผู้จำหน่ายเฉพาะราย โปรดให้ข้อมูลจริง, การศึกษา (จริงจัง), ปัญหาที่มีประสบการณ์หรือคำอธิบายทางเทคนิค เฉพาะเจาะจง. อย่าเพียง แต่แสดงความคิดเห็นของคุณ ตัวอย่าง: สองปีที่แล้วฉันได้ยินมาว่าอาจมีปัญหาด้านความปลอดภัยที่เกี่ยวข้องกับMMU (เข้าถึงหน่วยความจำหลักของเครื่องอื่นฉันคิดว่า) แต่ฉันไม่รู้ว่ามันเป็นภัยคุกคามที่เกิดขึ้นจริงในปัจจุบันหรือเพียงแค่การวิจัยเชิงทฤษฎี เรื่อง แก้ไข:ฉันยังพบการโจมตี "Flush + Reload" นี้ที่สามารถดึงคีย์ลับ GnuPG บนเครื่องทางกายภาพเดียวกันโดยใช้ประโยชน์จากแคช L3 CPU แม้ว่า GnuPG จะทำงานบนVMอื่น GnuPG ได้รับการแก้ไขตั้งแต่

12 security  virtualization  virtual-machines  hacking  hypervisor 

ไบนารี sshd ของฉันบนเครื่อง ubuntu 10.10 ประกอบด้วยงานศิลปะ ascii ต่อไปนี้: ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists YOU WANNA . SMOKE M A SPLIFF ? dM ROLL ME MMr %d TIMES 4MMML . MMMMM. xf . MMMMM .MM- Mh.. MMMMMM .MMMM .MMM. .MMMMML. MMMMMh )MMMh. …

12 ubuntu  ssh  hacking 

เมื่อดูบันทึก 404 รายการของฉันฉันสังเกตเห็น URL สองรายการต่อไปนี้ซึ่งทั้งคู่เกิดขึ้นครั้งเดียว: /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ และ /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 หน้าคำถามlibrary.phpต้องใช้typeตัวแปรที่มีค่าที่ยอมรับได้แตกต่างกันครึ่งโหลแล้วจึงเป็นidตัวแปร ดังนั้น URL ที่ถูกต้องอาจเป็น library.php?type=Circle-K&id=Strange-Things-Are-Afoot และรหัสทั้งหมดจะถูกเรียกใช้mysql_real_escape_stringก่อนที่จะถูกใช้เพื่อสอบถามฐานข้อมูล ฉันเป็นมือใหม่ แต่สำหรับฉันแล้วดูเหมือนว่าลิงก์ทั้งสองนี้เป็นการโจมตีแบบง่าย ๆ กับ webroot? 1)วิธีที่ดีที่สุดในการป้องกันสิ่งต่าง ๆ เหล่านี้นอกเหนือจาก 404 2)ฉันควรอนุญาต IP ที่รับผิดชอบหรือไม่ แก้ไข:เพิ่งสังเกตเห็นสิ่งนี้ /library.php=http://www.basfalt.no/scripts/danger.txt แก้ไข 2: IP ที่ละเมิดสำหรับการโจมตีทั้ง 3 ครั้งนั้น216.97.231.15มีร่องรอยของ ISP ที่เรียกว่า Lunar Pages ซึ่งอยู่นอกลอสแองเจลิส แก้ไข 3:ฉันตัดสินใจโทร ISP ตามเวลาท้องถิ่นในเช้าวันศุกร์และหารือเกี่ยวกับปัญหากับใครก็ตามที่ฉันสามารถโทรศัพท์ได้ ฉันจะโพสต์ผลลัพธ์ที่นี่ภายใน 24 ชั่วโมงหรือมากกว่านั้น แก้ไข 4:ฉันสิ้นสุดการส่งอีเมลผู้ดูแลระบบของพวกเขาและพวกเขาตอบก่อนว่า "พวกเขากำลังมองหามัน" และจากนั้นอีกหนึ่งวันต่อมากับ …

12 security  mysql  php  hacking 

ตามที่เป็นอยู่ในปัจจุบันคำถามนี้ไม่เหมาะสำหรับรูปแบบคำถาม & คำตอบของเรา เราคาดหวังว่าคำตอบจะได้รับการสนับสนุนจากข้อเท็จจริงการอ้างอิงหรือความเชี่ยวชาญ แต่คำถามนี้อาจเรียกร้องให้มีการอภิปรายโต้แย้งโต้แย้งหรือการอภิปรายเพิ่มเติม หากคุณรู้สึกว่าคำถามนี้สามารถปรับปรุงและเปิดใหม่ได้โปรดไปที่ศูนย์ช่วยเหลือเพื่อขอคำแนะนำ ปิดให้บริการใน8 ปีที่ผ่านมา ล็อคแล้ว คำถามและคำตอบของคำถามนี้ถูกล็อคเนื่องจากคำถามอยู่นอกหัวข้อ แต่มีความสำคัญทางประวัติศาสตร์ ขณะนี้ไม่ยอมรับคำตอบหรือการโต้ตอบใหม่ การแฮ็คระบบจริงเป็นของคนอื่นหรือไม่ ไม่ใช่เพื่อผลกำไร แต่เพื่อทดสอบความรู้ด้านความปลอดภัยของคุณและเรียนรู้สิ่งใหม่ ฉันพูดถึงแฮ็กเท่านั้นซึ่งไม่ได้สร้างความเสียหายให้กับระบบเพียงแค่พิสูจน์ว่ามีช่องโหว่บางอย่าง

12 security  hacking 

ฉันใช้งานเซิร์ฟเวอร์ขนาดเล็ก (ที่ใช้ Windows) เมื่อฉันตรวจสอบบันทึกฉันเห็นกระแสการแฮ็ครหัสผ่านที่คาดเดาไม่ได้ ฉันควรพยายามรายงานความพยายามเหล่านั้นต่อเจ้าของที่อยู่ IP ต้นทางหรือในปัจจุบันความพยายามเหล่านี้ถือว่าเป็นเรื่องปกติอย่างสมบูรณ์และไม่มีใครสนใจจะทำอะไรเกี่ยวกับพวกเขาใช่ไหม

12 security  hacking  abuse 

ฉันคิดว่าสิ่งเหล่านี้เป็นบอตบางประเภท แต่ต้องการทราบว่าพวกเขาพยายามทำอะไรกับเซิร์ฟเวอร์ของฉัน บันทึกคำถามมีอยู่ด้านล่างและที่อยู่ IP ถูกเปลี่ยนจากต้นฉบับ 12.34.56.78 - - [18/Oct/2012:16:48:20 +0100] "\x86L\xED\x0C\xB0\x01|\x80Z\xBF\x7F\xBE\xBE" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:16:50:28 +0100] "\x84K\x1D#Z\x99\xA0\xFA0\xDC\xC8_\xF3\xAB1\xE2\x86%4xZ\x04\xA3)\xBCN\x92r*\xAAN\x5CF\x94S\xE3\xAF\x96r]j\xAA\xC1Y_\xAE\xF0p\xE5\xBAQiz\x14\x9F\x92\x0C\xCC\x8Ed\x17N\x08\x05" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:16:58:32 +0100] "g\x82-\x9A\xB8\xF0\xFA\xF4\xAD8\xBA\x8FP\xAD\x0B0\xD3\xB2\xD2\x1D\xFF=\xAB\xDEC\xD5\xCB\x0B*Z^\x187\x9C\xB6\xA6V\xB8-D_\xFE" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:17:06:59 +0100] "\xA61[\xB5\x02*\xCA\xB6\xC6\xDB\x92#o.\xF4Kj'H\xFD>\x0E\x15\x0E\x90\xDF\xD0R>'\xB8A\xAF\xA3\x13\xB3c\xACI\xA0\xAA\xA7\x9C\xCE\xA3\x92\x85\xDA\xAD1\x08\x07\xFC\xBB\x0B\x95\xA8Z\xCA\xA1\xE0\x88\xAEP" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:17:13:53 +0100] …

12 nginx  logging  hacking 

บริษัท ของฉันมีเซิร์ฟเวอร์ Google Compute Engine ที่โฮสต์ในอเมริกาเหนือ เราได้รับที่อยู่ IP จีนจำนวนมากที่ส่งคำขอไปยังพอร์ต 11 ซึ่งทำให้เราต้องเสียเงินสำหรับการเข้าใช้ ไฟร์วอลล์ของเราบล็อกการเชื่อมต่อทั้งหมดไปยังประเทศจีนแล้วเนื่องจากพวกเขาไม่มีธุรกิจที่สามารถเข้าถึงแอปพลิเคชันของเรา มีวิธีละเว้นการเชื่อมต่อเหล่านี้อย่างสมบูรณ์หรือมีการบล็อกในลักษณะที่พวกเขาจะไม่กินแบนด์วิธหรือไม่

11 firewall  linux-networking  hacking  google-compute-engine  china 

เมื่อเร็ว ๆ นี้ (แต่มันก็เป็นคำถามที่เกิดขึ้นอีก) เราเห็นหัวข้อที่น่าสนใจ 3 ข้อเกี่ยวกับการแฮ็กและความปลอดภัย: ฉันจะจัดการกับเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างไร . การค้นหาวิธีที่เซิร์ฟเวอร์แฮ็กถูกแฮ็ก คำถามการอนุญาตให้ใช้ไฟล์ อันสุดท้ายไม่เกี่ยวข้องโดยตรง แต่เน้นว่าการจัดการกับเว็บเซิร์ฟเวอร์ทำได้ง่ายเพียงใด เนื่องจากมีหลายสิ่งที่สามารถทำได้ก่อนที่จะมีสิ่งเลวร้ายเกิดขึ้นฉันต้องการให้คำแนะนำของคุณในแง่ของแนวปฏิบัติที่ดีเพื่อ จำกัด ผลกระทบด้านหลังของการโจมตีและวิธีการตอบสนองในกรณีที่น่าเศร้าจะเกิดขึ้น มันไม่ได้เป็นเพียงเรื่องของการรักษาความปลอดภัยเซิร์ฟเวอร์และรหัส แต่ยังรวมถึงการตรวจสอบบันทึกและตอบโต้มาตรการ คุณมีรายการแนวปฏิบัติที่ดีหรือคุณต้องการพึ่งพาซอฟต์แวร์หรือผู้เชี่ยวชาญที่วิเคราะห์เว็บเซิร์ฟเวอร์ของคุณอย่างต่อเนื่อง (หรืออะไรเลย)? ถ้าใช่คุณสามารถแบ่งปันรายการและความคิด / ความคิดเห็นของคุณได้หรือไม่? UPDATE ฉันได้รับข้อเสนอแนะที่ดีและน่าสนใจหลายประการ ฉันต้องการมีรายการง่าย ๆ เพื่อที่จะเป็นประโยชน์สำหรับผู้ดูแลระบบความปลอดภัยด้านไอที แต่ยังรวมถึงผู้เชี่ยวชาญด้านข้อเท็จจริงของเว็บด้วย แม้ว่าทุกคนจะให้คำตอบที่ดีและถูกต้องในขณะนี้ฉันชอบหนึ่งในโรเบิร์ตเพราะมันง่ายที่สุดชัดเจนและรัดกุมและเป็นหนึ่งในsysadmin1138เพราะมันสมบูรณ์และแม่นยำที่สุด แต่ไม่มีใครพิจารณามุมมองและการรับรู้ของผู้ใช้ฉันคิดว่ามันเป็นสิ่งแรกที่ต้องพิจารณา ผู้ใช้จะคิดอย่างไรเมื่อจะเข้าเยี่ยมชมไซต์ที่ถูกแฮ็กของฉันและอื่น ๆ อีกมากมายหากคุณเป็นเจ้าของข้อมูลที่สมเหตุสมผลเกี่ยวกับพวกเขา มันไม่ได้เป็นเพียงเรื่องของการเก็บข้อมูล แต่จะทำให้ผู้ใช้โกรธได้อย่างไร เกี่ยวกับข้อมูลสื่อผู้มีอำนาจและคู่แข่ง

11 security  logging  hacking 

ฉันมีเซิร์ฟเวอร์ภายในบ้านที่ใช้งานการกระจาย Ubuntu บนเดสก์ท็อป ฉันพบสิ่งนี้ใน crontab ของฉัน * * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1 และเมื่อดูในไดเรกทอรีนั้น (ช่องว่างหลังชื่อผู้ใช้ / เป็นชื่อไดเรกทอรี) ฉันพบสคริปต์จำนวนมากซึ่งเห็นได้ชัดว่ากำลังทำสิ่งที่ไม่ควรทำ ก่อนที่ฉันจะล้างคอมพิวเตอร์นั้นและติดตั้งสิ่งต่าง ๆ ฉันต้องการค้นหาสิ่งที่ทำให้เกิดการละเมิดความปลอดภัยและเมื่อเสร็จสิ้น ดังนั้นฉันจะไม่เปิดรูเดิมอีก ฉันควรดูไฟล์บันทึกใด เซิร์ฟเวอร์เดียวที่ฉันรู้ว่ากำลังทำงานอยู่บนคอมพิวเตอร์คือ sshd และ lighttpd ฉันควรทำอย่างไรเพื่อตรวจสอบว่าสิ่งนี้เกิดขึ้นอีกครั้ง?

11 linux  ubuntu  security  hacking  forensic-analysis 

ตั้งแต่เมื่อวานฉันมีสิ่งประหลาดเกิดขึ้นในเว็บไซต์ของฉัน index.php ของไซต์ wordpress ของฉันบน IIS เปลี่ยนจาก 1 kb เป็น 80 KB map.xml และ sitemap.xml เช่นกันเป็นสิ่งใหม่ในไดเรกทอรี พบไฟล์เพิ่มเติมบางไฟล์ใน wp-content / themes หรือ wp-content / include folers เช่น b.php หรือ e.asp ในบันทึกฉันสามารถค้นหารายการที่แสดงกระบวนการที่ฉันคิด POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php - 80 หรือ POST /wp-content/themes/koppers12/library/e.asp | 26 | 800a0408 | Invalid_character 80 นี่อาจเกี่ยวข้องกับความจริงที่ว่าการตั้งค่าความปลอดภัยของฉันอาจจะกระชับน้อยลง แต่ฉันไม่สามารถหาวิธีที่จะกระชับความปลอดภัย แต่ให้กลไกการอัปเดตสำหรับ wordpress ตัวเองธีมและปลั๊กอินทำงาน ขณะนี้สิทธิ์ …

10 iis  permissions  wordpress  hacking 

ฉันพยายามโน้มน้าวให้ลูกค้าชำระค่า SSL สำหรับเว็บไซต์ที่ต้องมีการเข้าสู่ระบบ ฉันต้องการให้แน่ใจว่าฉันเข้าใจสถานการณ์ที่สำคัญที่ใครบางคนสามารถเห็นรหัสผ่านที่ถูกส่ง ความเข้าใจของฉันคือที่ใด ๆ ของการกระโดดข้ามทางสามารถใช้ตัววิเคราะห์แพ็คเก็ตเพื่อดูสิ่งที่ถูกส่ง สิ่งนี้ดูเหมือนว่าต้องการให้แฮ็กเกอร์ใด ๆ (หรือมัลแวร์ / บ็อตเน็ต) อยู่ในซับเน็ตเดียวกันกับแพ็กเก็ตใด ๆ ที่แพ็คเก็ตใช้เพื่อไปถึงปลายทาง นั่นถูกต้องใช่ไหม? สมมติว่ารสนิยมบางอย่างของความต้องการเครือข่ายย่อยนี้เป็นจริงฉันต้องกังวลเกี่ยวกับการกระโดดทั้งหมดหรือแค่อันแรก? คนแรกที่ฉันเห็นได้ชัดว่ากังวลว่าพวกเขาอยู่ในเครือข่าย Wifi สาธารณะเพราะใคร ๆ ก็สามารถฟังได้ ฉันควรเป็นกังวลว่าเกิดอะไรขึ้นในซับเน็ตที่แพ็กเก็ตจะเดินทางข้ามด้านนอกนี้ ฉันไม่รู้เกี่ยวกับทราฟฟิกเครือข่าย แต่ฉันคิดว่ามันไหลผ่านดาต้าเซ็นเตอร์ของผู้ให้บริการหลัก ๆ และไม่มีเวกเตอร์การโจมตีที่ฉ่ำอยู่ที่นั่นมากมาย แต่โปรดแก้ไขฉันหากฉันผิด มีเวกเตอร์อื่น ๆ ที่น่าเป็นห่วงนอกคนที่กำลังฟังด้วยตัววิเคราะห์แพ็คเก็ตหรือไม่? ฉันเป็นเครือข่ายและความปลอดภัย noob ดังนั้นโปรดตั้งตรงถ้าฉันใช้คำศัพท์ที่ผิดในสิ่งนี้

10 security  ssl  https  hacking  packet-sniffer