タグ付けされた質問 「hacking」

これは、標準的な質問 Serverのセキュリティについて-イベントを侵害への対応（ハッキング） 参照します： LAMPサーバーを保護するためのヒント ルート侵害後に再インストールしますか？ Canonicalバージョン 1つ以上のサーバーがハッカー、ウイルス、またはその他のメカニズムによって侵害されていると思われます。 私の最初のステップは何ですか？サイトに到着したら、サーバーを切断し、「証拠」を保存する必要がありますか、他の最初の考慮事項はありますか？ サービスをオンラインに戻すにはどうすればよいですか？ 同じことをすぐに再発しないようにするにはどうすればよいですか？ このインシデントから学習するためのベストプラクティスまたは方法論はありますか？ インシデントレスポンスプランをまとめたい場合、どこから始めますか？これは災害復旧または事業継続計画の一部ですか？ 元のバージョン 2011.01.02-私たちのサーバーが何らかの形で侵害され、プロバイダーに対するDOS攻撃が発生したため、私は日曜日の午後9時30分に仕事に取り掛かり ます。インターネットへのサーバーアクセスがシャットダウンされたため、5〜600を超えるクライアントサイトが現在ダウンしています。現在、これはFTPハック、またはコードのどこかの弱点である可能性があります。そこに着くまでわからない。 これをすばやく追跡するにはどうすればよいですか？サーバーをできるだけ早くバックアップしないと、私たちは多くの訴訟に巻き込まれます。どんな助けも大歓迎です。Open SU​​SE 11.0を実行しています。 2011.01.03-ご協力ありがとうございました。幸いなことに、このサーバーの責任者は私だけではなく、最も近い人でした。この問題を解決することはできましたが、他の多くの状況には当てはまらない場合があります。私たちがやったことを詳しく説明します。 サーバーをネットから取り外しました。インドネシアの別のサーバーでサービス拒否攻撃を実行（実行しようとしています）し、有罪者もそこに拠点を置いていました。 サーバー上に500を超えるサイトがあることを考慮して、最初にサーバー上のどこから来たかを特定しようとしました。ただし、SSHアクセスを引き続き使用して、攻撃が開始されたときに編集または作成されたすべてのファイルを検索するコマンドを実行しました。幸いなことに、問題のあるファイルは冬の休暇中に作成されたため、その時点ではサーバー上に他の多くのファイルは作成されていませんでした。 その後、ZenCart Webサイト内のアップロードされた画像フォルダー内にある問題のあるファイルを特定することができました。 短いタバコの休憩の後、ファイルの場所のため、不十分に保護されたファイルアップロード機能を介してアップロードされたに違いないと結論付けました。いくつかのグーグル検索の後、レコード会社の写真のために、ZenCart管理パネル内でファイルをアップロードできるセキュリティ脆弱性があることがわかりました。（実際に使用したこともないセクション）、このフォームを投稿するとファイルがアップロードされただけで、ファイルの拡張子はチェックされず、ユーザーがログインしているかどうかもチェックされませんでした。 これは、攻撃用のPHPファイルを含む、任意のファイルをアップロードできることを意味しました。感染したサイトでZenCartを使用して脆弱性を保護し、問題のあるファイルを削除しました。 仕事は終わり、私は午前2時に家にいました 道徳 -常にZenCartまたはその他のCMSシステムのセキュリティパッチを適用してください。セキュリティ更新プログラムがリリースされると、世界中の人々がこの脆弱性を認識します。-常にバックアップを行い、バックアップをバックアップします。-これらのような時間にそこにいる誰かを雇用または手配します。Server Faultのパニック投稿に依存することを防ぐため。

601 hacking  security 

サーバーの侵害に関するこの質問を読んだ後、なぜ人々が検出/クリーンアップツールを使用して、またはシステムを侵害するために使用された穴を修正するだけで、侵害されたシステムを回復できると信じ続けているのか疑問に思い始めました。 ハッカーができるさまざまなルートキットテクノロジーやその他のすべてのことを考えると、ほとんどの専門家は、オペレーティングシステムを再インストールすることをお勧めします。 私は、なぜより多くの人々が軌道からシステムを脱いで核兵器にしないのか、より良いアイデアを得たいと思っています。 ここにいくつかのポイントがありますが、私は対処したいと思います。 フォーマット/再インストールがシステムをきれいにしない条件はありますか？ どのような条件下でシステムをクリーニングできると思いますか？また、いつ完全に再インストールする必要がありますか？ 完全な再インストールを行うことに反対する理由は何ですか？ 再インストールしないことを選択した場合、どの方法を使用して、クリーンアップを行い、さらなる損傷の再発を防止したと合理的に確信します。

58 hacking  security 

同様のIPを使用した中国からのハッキングの試みで攻撃を受けています。 116.10.191。*などのようなIP範囲をどのようにブロックしますか。 Ubuntu Server 13.10。を実行しています。 現在使用している行は次のとおりです。 sudo /sbin/iptables -A INPUT -s 116.10.191.207 -j DROP これにより、一度に1つずつしかブロックできませんが、ハッカーは試行ごとにIPを変更しています。

48 ubuntu  iptables  ip  ip-address  hacking 

誰かが、私が実行するのに役立つサイトにjavascriptのチャンクを2回目に追加しました。このjavascriptはGoogle adsenseをハイジャックし、独自のアカウント番号を挿入し、広告を全面的に貼り付けます。 コードは常に1つの特定のディレクトリ（サードパーティの広告プログラムで使用されるディレクトリ）に常に追加され、この1つの広告ディレクトリ（20程度）内の多数のディレクトリ内の多数のファイルに影響し、ほぼ同じ夜間に挿入されます時間。AdSenseアカウントは中国のウェブサイトに属します（来月、中国に来る1時間前の町にあります。たぶん頭を悩ませる必要があります...冗談です）。サイト：http : //serversiders.com/fhr.com.cn では、これらのファイルにテキストをどのように追加できますか？ファイルに設定されている権限（755から644まで）に関連していますか？Webサーバーユーザー（MediaTemple上にあるため、安全である必要がありますか？）つまり、アクセス許可が777に設定されているファイルがある場合、コードを自由に追加することはできません。 ここに、あなたの閲覧の喜びのための実際のコードのサンプルがあります（そして、あなたが見ることができるように...それにたいしたことはありません。本当のトリックは、彼らがそこにそれを入れた方法です）： <script type="text/javascript"><!-- google_ad_client = "pub-5465156513898836"; /* 728x90_as */ google_ad_slot = "4840387765"; google_ad_width = 728; google_ad_height = 90; //--> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script> 多くの人がそれを言及しているので、ここに私がチェックしたものがあります（チェックされたということは、ファイルが何らかの奇妙さのために変更された時間を見回したことを意味し、POSTステートメントとディレクトリトラバーサルのためにファイルをグレップしました： access_log（通常の（つまり、過剰な）msnボットトラフィック以外は何もありません） error_log（無害なファイルの場合、通常のファイルは存在しませんが、エラーはありません） ssl_log（通常のもののみ） messages_log（私以外のFTPアクセスはありません） *更新：** OK、解決しました。中国のハッカーは、サイトに物理的にファイルを配置して、あらゆる種類の管理（データベースへのアクセス、ファイルとディレクトリの削除と作成、名前を付けて、アクセスできる）を行えるようにしました。彼らはもっと破壊的なことをしなかったのは幸運でした。通常のApacheのログファイルには何もありませんでしたが、Webサーバーのログアナライザーで別のログファイルのセットを見つけ、証拠がそこにありました。彼らは自分の管理者ユーザー名とパスワードでこのファイルにアクセスし、サーバー上で必要なものを編集していました。これらのファイルにはユーザーとして「apache」が設定されていますが、サイト上の他のすべてのファイルには異なるユーザー名が付けられています。次に、このファイルをシステムに物理的にどのように取得したかを把握する必要があります。これに対する責任は最終的にはウェブホスト（Media Temple）にあると思われますが、

40 security  php  hacking 

Linuxサーバーがハッキングされたことを物語る兆候は何ですか？定期的に監査レポートを生成してメールで送信できるツールはありますか？

36 linux  hacking  audit  security 

私のウェブサイトは、アクセスしようとするさまざまなIPから毎日何千ものヒットを取得しています。 /php-myadmin/ /myadmin/ /mysql/ ...および他の何千ものバリエーション。これらのディレクトリは存在せず、サーバーにphpmyadminもありません。 これらの試みはいずれも成功したとは思いませんが、サーバーのリソースを犠牲にして帯域幅を浪費しているに違いないので、可能であれば停止したいと思います。これらのIPの一部をブロックしましたが、新しいIPで戻ってきますが、これをより永続的に防ぐ方法はありますか？

35 web-server  hacking 

ハッキングされたかどうかはわかりません。 SSH経由でログインしようとしましたが、パスワードが受け入れられません。ルートログインが無効になっているので、私は救助に行き、ルートログインをオンにして、ルートとしてログインすることができました。rootとして、影響を受けるアカウントのパスワードを、以前にログインしようとしたパスワードと同じパスワードで変更しようとしpasswdましたが、「パスワードは変更されていません」と応答しました。その後、パスワードを別のものに変更してログインできた後、パスワードを元のパスワードに戻し、再度ログインできました。 auth.logパスワードの変更を確認しましたが、有用なものが見つかりませんでした。 ウイルスとルートキットもスキャンしましたが、サーバーから次のように返されました。 ClamAV： "/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" RKHunter： "/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable Warning: Suspicious file types found in /dev:" 私のサーバーはあまり知られていないことに注意してください。また、SSHポートを変更し、2段階認証を有効にしました。 私はハッキングされて、誰かが私をだまそうとしていると心配しています。

30 linux  ssh  security  hacking 

IIS6、SQL Server 2005、MySQL 5、PHP 4.3がインストールされたWindows Server 2003 SP2マシンがあります。これは運用マシンではありませんが、ドメイン名を介して世界に公開されます。マシンでリモートデスクトップが有効になっており、2つの管理アカウントがアクティブになっています。 今朝、私はマシンがログインテキストボックスにまだ不明なユーザーの名前でログオフされていることを発見しました。さらに調査したところ、2人のWindowsユーザーが作成され、アンチウイルスがアンインストールされ、.exeファイルのごく一部がC：ドライブにドロップされたことがわかりました。 私が知りたいのは、これが二度と起こらないようにするためにどのような措置を講じるべきか、そしてエントリーの道を決定するために集中すべき領域です。どのポートが開いているかを確認するために、すでにnetstat -aをチェックしました。MySQLのデータフォルダーで不明なファイルを見つけましたが、これがエントリポイントである可能性があると考えていますが、よくわかりません。 将来的にこれを回避できるように、サーバーハックの適切な事後分析を実行する手順を本当に感謝しています。 調査後レビュー いくつかの調査の後、私は何が起こったかを見つけたと思います。まず、マシンは08年8月から09年10月の期間中にオンラインになりませんでした。その期間中に、セキュリティの脆弱性、MS08-067の脆弱性が発見されました。「これはリモートコード実行の脆弱性です。攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムをリモートで完全に制御できる可能性があります。MicrosoftWindows 2000ベース、Windows XPベース、およびWindows Server 2003ベースのシステムでは、攻撃者が悪用する可能性があります認証なしのRPCに対するこの脆弱性は、任意のコードを実行する可能性があります。」この脆弱性は、2008年10月にリリースされたKB958644セキュリティアップデートで修正されました。 マシンはその時点でオフラインであり、この更新プログラムを逃したため、'09年10月にマシンがオンラインに戻った直後にこの脆弱性が悪用されたと思います。bycnboy.exeプログラムへの参照が見つかりました。このプログラムは、感染したシステムに大混乱を引き起こすバックドアプログラムとして記述されています。マシンがオンラインになるとすぐに、自動更新によりパッチがインストールされ、システムのリモート制御ができなくなりました。バックドアが閉じられたため、攻撃者はマシン上に物理的なアカウントを作成し、何が起きているか気づくまでさらに1週間マシンを利用できたと思います。 悪意のあるコード（.exeおよび.dll）を積極的に削除し、セルフホスティングWebサイトとユーザーアカウントを削除すると、マシンは再び動作状態になります。近い将来、システムを監視し、サーバーログを確認して、インシデントの繰り返しが発生しているかどうかを判断します。 提供された情報と手順をありがとう。

29 windows-server-2003  security  hacking 

悪意のあるSSH試行の失敗から「ユーザー」について何を学ぶことができますか？ 入力されたユーザー名（/var/log/secure） 入力されたパスワード（構成されている場合、つまりPAMモジュールを使用して） 送信元IPアドレス（/var/log/secure） 他に何かを抽出する方法はありますか？ログファイル、ランダムトリック、またはサードパーティのツールなどから隠された情報かどうか

24 linux  ssh  logging  pam  hacking 

ITサービス会社は、IPアドレス範囲10.10.150.1〜10.10.150.254を内部で使用するネットワーク再構成を提案しています。これは、192.168.1.xの製造元のデフォルトを使用する現在のIPスキームが「悪用しやすい」と述べているためです。 これは本当ですか？内部IPスキームを知っている/知らないことにより、ネットワークはどのように悪用されますか すべての内部システムは、SonicWall NATおよびファイアウォールルーターの背後にあります。

24 networking  tcpip  hacking 

phpMyAdmin（yes）がインストールされていない状態で、LAMPスタックを実行しています。Apacheサーバーのログを調べていると、次のようなことがわかりました。 66.184.178.58 - - [16/Mar/2010:13:27:59 +0800] "GET / HTTP/1.1" 200 1170 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 200.78.247.148 - - [16/Mar/2010:15:26:05 +0800] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 506 "-" "-" 206.47.160.224 - - [16/Mar/2010:17:27:57 +0800] "GET / HTTP/1.1" 200 1170 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" 190.220.14.195 - - …

18 apache-2.2  security  hacking 

インドのデリーにあるスクリプトキディは、昨夜からサイトをハッキングしようとしています。彼は、太陽の下ですべてを試みて、私たちのサーバーの要求を大規模なネストされたループで行うブラウザースクリプトを書きました。 彼はどこにも行かず、基本的な防御さえも通過していません（しかし、彼はログファイルをいっぱいにしています）。 403 Unauthorizedリクエストが届くとすぐに返信しますが、リクエストをより速くブロックするほど、スクリプトはより速く実行されます。 403応答を送り返す前に、何らかの「遅延」を導入したいと思います。長いほど良い。 質問：サイトの他の部分に影響を与えることなく、ハッキングの試みをどのように遅らせることができますか？ 彼のスレッドのSleep（15000）は、他のサイト訪問者にとっては悪いニュースだと思います。 彼のためだけに新しいスレッドを作成するのは、やり過ぎのようです。 遅延応答を送信する別の方法はありますか？ 彼のブラウザをどれだけ待つことができますか？彼が403 Unauthorizedエラーを受け取ったり、最終的にタイムアウトになるかどうかはあまり気にしないので、おそらく無期限/無限の待機を行うこともできます。

17 asp.net  hacking 

私のクライアントには、ボットネットからのブルートフォースログイン試行の対象となるサーバーがあります。サーバーとクライアントのクライアントの気まぐれにより、ファイアウォール、ポートの変更、またはログインアカウント名の変更による試行を簡単にブロックすることはできません。 攻撃にさらされたままにすることを決定しましたが、パスワードを安全に保つ方法を見つけます。管理者と他のコンサルタントの一部は、パスワードローテーションソフトウェアをインストールして、10分ごとにパスワードをローテーションし、ログインする必要があるユーザーに新しいパスワードを提供することが最善であると判断しました。 総当たり攻撃は毎秒2回発生しています。 12〜15文字の強力なパスワードを実装する方が簡単で無料のソリューションであることを実証する必要があります。私は数学でこれを証明する方法を知っていますが、私は「私たちのパスワードには多くの可能な順列があり、攻撃者は1日にn回しか試行できないので、x /パスワードを推測するまでに、平均で2日かかります。」これのより標準的な「証拠」はありますか？

16 security  password  hacking  brute-force-attacks 

他の管理者はサーバーをどのように監視して、不正アクセスやハッキングの試みを検出していますか？大規模な組織では問題に人々をさらすのは簡単ですが、小規模なショップではどのようにサーバーを効果的に監視できますか？ 私はサーバーログをスキャンして、私に飛びつくものを探しますが、見逃すのは本当に簡単です。あるケースでは、ハードドライブの空き容量が足りなかったため、サーバーがFTPサイトとして引き継がれました。FATテーブルをいじってファイルを隠すのは素晴らしい仕事でした。フォルダーの特定の名前がわからない限り、エクスプローラー、DOSから、またはファイルの検索時に表示されません。 他にどのようなテクニックやツールを使用していますか？

16 hacking 

ハッキング後のlinux boxのフォレンジック分析を行う主な手順は何ですか？ 汎用のLinuxサーバーmail / web / database / ftp / ssh / sambaだとしましょう。そして、他のシステムをスキャンし、スパムを送信し始めました。

15 linux  security  hacking  forensic-analysis