タグ付けされた質問 「hacking」

私は今少しおかしくなりました。最近委託したリモートサーバーにSSH接続しています。私はこれをルートとしてやっています。fail2banをインストールしましたが、ログに大量の禁止IPがありました。 前回ログインしたときに、端末が本当に遅れていることに気付き、インターネット接続が切断されました。約5分後にバックアップを購入したとき、サーバーに再度ログインし、「誰」にログインし、2人のrootユーザーがログインしていることに気付きました。接続が終了すると、最後のセッションからのプロセスはサーバーで停止しましたか？ 接続が最初に切断されたときに、「書き込みに失敗しました：パイプが壊れています」で接続が終了しました。他のルートとのbashセッションを終了しました。sshセキュリティについてはあまり知りませんが、セッションがハイジャックされる可能性はありますか？これを確認する方法はありますか？sshを使用してログインを続ける必要があります。どのような予防策を講じる必要がありますか？私が何らかの方法でプロキシを経由してサーバーに到達した場合（中間攻撃者のように）、彼らは私のsshセッションをハイジャックできますか？

14 linux  ssh  security  unix  hacking 

Internet Storm Centerによると、SSHゼロデイエクスプロイトがそこにあるようです。 ここにいくつかの概念実証コードといくつかのリファレンスがあります： http://secer.org/hacktools/0day-openssh-remote-exploit.html http://isc.sans.org/diary.html?storyid=6742 これは深刻な問題と思われるため、すべてのLinux / Unixシステム管理者は注意する必要があります。 この問題が時間通りに修正されない場合、どうすれば自分を守ることができますか？または、一般的にゼロデイ攻撃をどのように処理しますか？ *提案を返信に掲載します。

13 linux  security  ssh  hacking  exploit 

Windows 2000以降を実行しているコンピューターが提供されていて、パスワードがない場合、システムを使用できるように管理者特権でアクセスするにはどのような方法を使用しますか？

13 windows  password  hacking 

これはどういう意味ですか？lastb最後のユーザーログインを表示するようなコマンドを試しましたが、中国からの奇妙なログインが表示されます（サーバーはEUですが、私はEUにいます）。これらがログイン試行であるのか、それともログイン成功であるのか疑問に思っていましたか？ これらは非常に古く、通常はポート22を自分のIPのみにロックしています。しばらくの間ポートを開いていたと思います。最後のログは7月です。 root ssh:notty 222.92.89.xx Sat Jul 9 12:26 - 12:26 (00:00) root ssh:notty 222.92.89.xx Sat Jul 9 12:04 - 12:04 (00:00) oracle ssh:notty 222.92.89.xx Sat Jul 9 11:43 - 11:43 (00:00) gary ssh:notty 222.92.89.xx Sat Jul 9 11:22 - 11:22 (00:00) root ssh:notty 222.92.89.xx Sat Jul 9 11:01 - …

13 ssh  log-files  login  hacking 

質問： VMが破損（ハッキング）した場合、同じ物理マシン上で実行されている他のVMで何が危険になりますか？ 同じ物理ホストで実行されているVM間には、どのようなセキュリティ上の問題がありますか？ それらの（潜在的な）弱点や問題のリストはありますか（作成できますか）？ 警告： 多くの仮想化のタイプ/ソリューションが存在し、さまざまな弱点があることを知っています。ただし、特定のベンダーのバグではなく、仮想化技術に関する一般的なセキュリティ問題を主に探しています。 実際の事実、（深刻な）研究、経験した問題、技術的な説明を提供してください。具体的に。意見を述べないでください。 例： 2年前、MMU（他のマシンのメインメモリへのアクセス、私は思う）に関連するセキュリティ問題があるかもしれないと聞いたことがありますが、それが今日の実用的な脅威であるのか、単に理論的な研究であるのかわかりません件名。 編集： GnuPGが別の VMで実行されている場合でも、L3 CPUキャッシュを悪用することにより、同じ物理マシンでGnuPG秘密鍵を取得できる「Flush + Reload」攻撃も見つかりました。GnuPGにはパッチが適用されています。

12 security  virtualization  virtual-machines  hacking  hypervisor 

ubuntu 10.10マシン上の私のsshdバイナリには、次のasciiアートワークが含まれています。 ng: %.100sToo many lines in environment file %sUser %.100s not allowed because %s exists YOU WANNA . SMOKE M A SPLIFF ? dM ROLL ME MMr %d TIMES 4MMML . MMMMM. xf . MMMMM .MM- Mh.. MMMMMM .MMMM .MMM. .MMMMML. MMMMMh )MMMh. MMMMMM MMMMMMM 3MMMMx. MMMMMMf xnMMMMMM '*MMMMM …

12 ubuntu  ssh  hacking 

404ログを調べると、次の2つのURLに気付きました。どちらも1回発生しました。 /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ そして /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 問題のページには、半ダースの異なる許容値をlibrary.php持つtype変数が必要idです。次に変数が必要です。したがって、有効なURLは library.php?type=Circle-K&id=Strange-Things-Are-Afoot IDはすべてmysql_real_escape_string、データベースのクエリに使用される前にすべて実行されます。 私は新人ですが、これらのリンクの両方がwebrootに対する単純な攻撃であるように思えますか？ 1） 404以外のこれらの種類の事柄から保護する最善の方法は？ 2）責任のあるIPをパーマバンする必要がありますか？ 編集：また、これに気づいた /library.php=http://www.basfalt.no/scripts/danger.txt 編集2： 3つの攻撃すべての攻撃IPは216.97.231.15、ロサンゼルスのすぐ外にあるLunar Pagesと呼ばれるISP に由来します。 編集3：金曜日の朝、現地時間にISPに電話して、電話で連絡できる人と問題について話し合うことにしました。ここに結果を24時間ほどで投稿します。 編集4：私は最終的に彼らの管理者にメールを送り、彼らは最初に「彼らはそれを探していた」と答え、1日後に「この問題は今すぐ解決されるべきだ」と答えた。悲しいことに、それ以上の詳細はありません。

12 security  mysql  php  hacking 

現在のところ、この質問はQ＆A形式には適していません。回答は事実、参考文献、または専門知識によってサポートされると予想されますが、この質問は議論、議論、世論調査、または広範な議論を求める可能性があります。この質問を改善し、場合によっては再開できると思われる場合は、ヘルプセンターをご覧ください。 8年前に閉鎖されました。 ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け入れていません。 他の誰かが所有する実際のシステムをハッキングすることは倫理的ですか？利益のためではなく、セキュリティの知識をテストし、新しいことを学ぶためです。私は、システムに損害を与えないハッキングについてのみ話しますが、セキュリティホールがあることを証明します。

12 security  hacking 

小型（Windowsベース）サーバーを実行しています。ログを確認すると、パスワード推測によるハッキングの試みが（成功しなかった）安定して流れていることがわかります。これらの試みをソースIPアドレスの所有者に報告しようとするべきでしょうか、それとも最近の試みは完全に正常であると考えられているのでしょうか。

12 security  hacking  abuse 

これらはある種のボットだと思いますが、彼らが私のサーバーに対して何をしようとしているのか知りたいのです。 質問のログインは以下であり、IPアドレスは元のアドレスから変更されています。 12.34.56.78 - - [18/Oct/2012:16:48:20 +0100] "\x86L\xED\x0C\xB0\x01|\x80Z\xBF\x7F\xBE\xBE" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:16:50:28 +0100] "\x84K\x1D#Z\x99\xA0\xFA0\xDC\xC8_\xF3\xAB1\xE2\x86%4xZ\x04\xA3)\xBCN\x92r*\xAAN\x5CF\x94S\xE3\xAF\x96r]j\xAA\xC1Y_\xAE\xF0p\xE5\xBAQiz\x14\x9F\x92\x0C\xCC\x8Ed\x17N\x08\x05" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:16:58:32 +0100] "g\x82-\x9A\xB8\xF0\xFA\xF4\xAD8\xBA\x8FP\xAD\x0B0\xD3\xB2\xD2\x1D\xFF=\xAB\xDEC\xD5\xCB\x0B*Z^\x187\x9C\xB6\xA6V\xB8-D_\xFE" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:17:06:59 +0100] "\xA61[\xB5\x02*\xCA\xB6\xC6\xDB\x92#o.\xF4Kj'H\xFD>\x0E\x15\x0E\x90\xDF\xD0R>'\xB8A\xAF\xA3\x13\xB3c\xACI\xA0\xAA\xA7\x9C\xCE\xA3\x92\x85\xDA\xAD1\x08\x07\xFC\xBB\x0B\x95\xA8Z\xCA\xA1\xE0\x88\xAEP" 400 172 "-" "-" 12.34.56.78 - - [18/Oct/2012:17:13:53 +0100] "b\xC4\xA24Z\xA2\x95\xEFc\xAF\xF1\x93\xE8\x81\xFD\xB4\xDEo\x92\xC0v\x1Fe\xD8W\x85\xC7O\x9D\x8C\x89<" 400 172 …

12 nginx  logging  hacking 

私の会社には、北米でホストされているGoogle Compute Engineサーバーがあります。ポート11に要求を送信する非常に多くの中国のIPアドレスを取得しているため、イングレスの費用がかかります。当社のファイアウォールは、当社のアプリケーションにアクセスするビジネスがないため、すでに中国へのすべての接続をブロックしています。 これらの接続を完全に無視する方法や、帯域幅を使い果たしないようにブロックする方法はありますか？

11 firewall  linux-networking  hacking  google-compute-engine  china 

最近（しかし、これは繰り返し起こる質問でもあります）、ハッキングとセキュリティに関する3つの興味深いスレッドを見ました： 侵害されたサーバーに対処するにはどうすればよいですか？。 ハッキングされたサーバーがハッキングされた方法を見つける ファイルのアクセス許可に関する質問 最後の1つは直接関連していませんが、Webサーバーの管理を台無しにするのがいかに簡単かを強調しています。 いくつかのことができるので、何か悪いことが起こる前に、攻撃の裏側の影響を制限し、悲しい場合にどのように対応するかについての良い慣行に関してあなたの提案が欲しいです。 サーバーとコードを保護するだけでなく、監査、ログ記録、および対策も重要です。 グッドプラクティスのリストはありますか、またはWebサーバーを継続的に分析するソフトウェアまたは専門家に頼ることを好みますか（またはまったくありませんか）。 はいの場合、リストとあなたのアイデア/意見を共有できますか？ 更新 いくつかの良い興味深いフィードバックを受け取りました。 簡単なリストを用意したいので、ITセキュリティ管理者だけでなく、Web ファクトタムマスターにも役立ちます。 誰もが正しく正しい答えを出したとしても、現時点では、Robertが最も単純で明確で簡潔であり、sysadmin1138が最も完全で正確であるため、私はRobertを好みます。 しかし、ユーザーの視点と認識を誰も考慮していません。最初に考慮する必要があると思います。 ユーザーが自分のハッキングされたサイトにいつアクセスするか、ユーザーが賢明なデータを所有している場合はそれがはるかにわかります。データをどこに保存するかだけでなく、怒っているユーザーをどのように落ち着かせるかが問題になります。 データ、メディア、当局、競合他社はどうですか？

11 security  logging  hacking 

デスクトップUbuntuディストリビューションを実行しているホームサーバーがあります。私はこれを私のcrontabで見つけました * * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1 そして、そのディレクトリ（username /の後のスペースはディレクトリ名）を見ると、明らかにすべきでないことをしている多くのスクリプトを見つけました。 そのコンピューターをワイプし、ものを再インストールする前に、セキュリティ侵害の原因とその時期を調べたいと思います。だから、私は再び同じ穴を開けません。 どのログファイルを調べる必要がありますか？私が知っているサーバー上で実行されているサーバーは、sshdとlighttpdだけです。 このようなことが再び起こるかどうかを検出するにはどうすればよいですか？

11 linux  ubuntu  security  hacking  forensic-analysis 

昨日から、私のWebサイトの1つで奇妙なことが起こっています。 IIS上の私のワードプレスサイトのindex.phpが1 kbから80 KBに変更されました。また、map.xmlとsitemap.xmlがディレクトリに新しく追加されました。いくつかの追加ファイルは、wp-content / themesまたはwp-content / includesフォルダーにもあります。b.phpやe.aspなど。 ログで、私が考えるプロセスを示しているエントリを見つけることができます。POST /wordpress/wordpress/wp-content/plugins/easyrotator-for-wordpress/b.php-80またはPOST /wp-content/themes/koppers12/library/e.asp | 26 | 800a0408 | Invalid_character 80 これはおそらく私のセキュリティ設定があまり厳しくないかもしれないという事実と関係がありますが、私はセキュリティを厳しくする方法を理解できませんが、ワードプレス自体、テーマ、プラグインの更新メカニズムを機能させます。 現在、権限（iusr）は、Webサイト全体の書き込みを読み取りに設定されています。読み取り専用に変更すると、権限が少なくなるため、更新メカニズム全体が失敗します ウェブサイトでの不要なファイルの挿入を防ぐだけでなく、ワードプレス、テーマ、プラグインを更新できる方法はありますか？ 使用されたインジェクションは、いくつかのプラグインの悪用である可能性がありますか、それとも、サイトに不要なファイルがインジェクトされる権利があるためでしょうか？ （これを引き起こしたIPアドレスをブロックしましたが、この注入方法は他のIPアドレス/範囲で既に見られているため、それはあまり役に立ちません。）

10 iis  permissions  wordpress  hacking 

ログインを必要とするWebサイトのSSLを支払うように顧客を説得しようとしています。送信されているパスワードが誰かに見られる可能性がある主なシナリオを正しく理解したいと思います。 私の理解では、途中のどのホップでもパケットアナライザーを使用して何が送信されているかを表示できます。 これには、ハッカー（またはそのマルウェア/ボットネット）が、パケットが宛先に到達するために通過するホップのいずれかと同じサブネット上にある必要があるようです。そうですか？ このサブネット要件のいくつかのフレーバーが当てはまると仮定すると、すべてのホップまたは最初のホップのみについて心配する必要がありますか？誰もが傍聴している可能性があるため、パブリックWifiネットワーク上にあるかどうかを最初に心配することができます。 パケットがこの外部を通過するサブネットで何が起こっているのか心配する必要がありますか？ ネットワークトラフィックについてはわかりませんが、主要な通信事業者のデータセンターを通過していて、そこには多くのジューシーな攻撃ベクトルがないと思いますが、間違っている場合は修正してください。 パケットアナライザーで聞いている誰かの外で心配される他のベクトルはありますか？ 私はネットワーキングとセキュリティの初心者なので、このいずれかで間違った用語を使用している場合は、遠慮なく設定してください。

10 security  ssl  https  hacking  packet-sniffer