学习
实践
活动
工具
TVP
写文章

资源服务器被黑排查

一.简介 环境: 资源服务器是Nginx和php组成的服务,用户可以http://192.168.1.100/one.jpg方式获取图片。 只有负载均衡服务器才有外网地址,并且防火墙只允许80端口访问。 起因: 早上10点半,在查看资源服务器的文件目录时,发现多了一个pc.php,问了一圈发现没人知道这个文件。 2.查看2台资源服务器的日志,查看负载均衡的也行。 可以发现POST提交了脚本,GET去获取脚本,因为资源服务器是安装了php的,访问pc.php,nginx会默认交给php-fpm去执行脚本,从而触发脚本,就像访问https://www.baidu.com 三.解决办法 这次只到资源服务器也是因为大体策略做的没问题,对方顶多是传个脚本而没法做更多操作,本次问题很清晰是程序没有做上传限制导致的,禁用post传送文件即可,也可以在nginx上配置禁止执行php

23630

Linux服务器为什么被黑

1、删除特殊的账户和账户组 Linux提供了各种不同角色的系统账号,在系统安装完成后,默认会安装很多不必要的用户和用户组,如果不需要某些用户或者组,就要立即删除它,因为账户越多,系统就越不安全,很可能被黑客利用 ,进而威胁到服务器的安全。 这种认证方式避免了被暴力破解的危险,同时只要保存在本地的专用密钥不被黑客盗用,攻击者一般无法通过密钥认证的方式进入系统。 5、删减系统登录欢迎信息 系统的一些欢迎信息或版本信息,虽然能给系统管理者带来一定的方便,但是这些信息有时候可能被黑客利用,成为攻击服务器的帮凶,为了保证系统的安全,可以修改或删除某些系统文件,需要修改或删除的文件有 chkrootkit在检查rootkit的过程中使用了部分系统命令,因此,如果服务器被黑客入侵,那么依赖的系统命令可能也已经被入侵者替换,此时chkrootkit的检测结果将变得完全不可信。

80222
  • 广告
    关闭

    云服务器应用教程

    手把手教您从零开始搭建网站/Minecraft游戏服务器/图床/网盘、部署应用、开发测试、GPU渲染训练等,畅享云端新生活。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Linux服务器被黑 排查思路(下)

    和其它机器对比,找出有问题的进程,基本上系统启动后就那几个进程,再加上服务器运行的服务,进程数量相对比较固定。 命令:ps -aux 2.找到有问题的pid号后,查看相关进程,一起kill掉杀死。 5.更改暴露在外面的服务器22端口改成别的,并禁止root直接登陆。 6.做好服务器定期镜像,因为被入侵后恢复很痛苦,最好的方法是直接还原镜像

    52920

    Linux服务器被黑 排查思路(上)

    也有可能开放的服务,例如nginx,mysql或者redis(默认没有密码),因为某些漏洞,从而被黑客进入到系统之中。 在周计划中添加条目,每隔几秒就运行一下 3.在/etc/profile等启动执行文件里添加条目 二.排查 入侵排查 登录系统去看下是否有其它人陌生人也在线上 命令: w 如果有就找到pid号,kill掉,并立即更改服务器密码

    71620

    Pwn2Own大赛上,三星旗舰手机Galaxy S21被黑

    11月2日-4日,世界顶级黑客大赛Pwn2Own 2021在美国德克萨斯州首府奥斯汀举办,比赛的第二天,参赛者成功入侵了三星手机Galaxy S21。 Galaxy S21是三星公司在今年年初发布的旗舰级产品,并在上月末获得了Android的11月更新,成为首款获得此更新的Android系统手机。 比赛首日,多个参赛队伍攻破了佳能打印机、西部数据的云存储等多项设备,而三星Galaxy S21成为了唯一一个全身而退的产品,但不败的神话在第二天就被终结。

    11020

    服务器被黑原因之nginx 设置漏洞

    服务器的安全防护中,网站环境的搭建与安全部署也是很重要的一部分,目前大多数的服务器都使用的是nginx来搭建网站的运行环境,包括windows服务器,linux服务器都在使用,nginx的安全设置对于服务器安全起到很重要的作用 关于如何设置nginx安全,以及服务器的安全部署,我们SINE安全公司来详细的给大家介绍一下: ? 大部分的网站使用nginx来做负载均衡以及前端的80端口代码来进行静态html文件的访问,nginx的安全设置如果没有设置好会导致服务器安全出现问题,可能会导致服务器被入侵,以及网站被攻击。 最常见的就是网站目录可以被任意的查看,也就是网站目录遍历漏洞,这个简单来说就是如果服务器里有很多网站,随便一个网站被攻击,都会导致服务器里的全部网站被攻击,因为可以跨目录的查看任意网站的程序代码。 关于nginx的安全设置方面,服务器的维护人员尽量严格的进行设置,对目录的浏览权限详细的分配,对https协议访问的网站也要加强302的强制跳转参数设置,如果您对服务器安全防护方面不是太懂的话,也可以找专业的安全公司处理

    1.2K10

    服务器被黑该如何查找入侵、攻击痕迹

    当公司的网站服务器被黑,被入侵导致整个网站,以及业务系统瘫痪,给企业带来的损失无法估量,但是当发生服务器被攻击的情况,作为服务器的维护人员应当在第一时间做好安全响应,对服务器以及网站应以最快的时间恢复正常运行 ,让损失减少到最低,针对于黑客攻击的痕迹应该如何去查找溯源,还原服务器被攻击的现场,SINE安全公司制定了详细的服务器被黑自查方案。 服务器被黑服务器系统中木马病毒,服务器管理员账号密码被改,服务器被攻击者远程控制,服务器的带宽向外发包,服务器被流量攻击,ARP攻击(目前这种比较少了,现在都是基于阿里云,百度云,腾讯云,西部数码等云服务器 ) 关于服务器被黑我们该如何检查被黑? 以上就是服务器被黑,该如何的查找被黑的痕迹,下一篇会跟大家讲如何更好的做好服务器的安全部署。

    2K20

    分析过程:服务器被黑安装Linux RootKit木马

    前言 疫情还没有结束,放假只能猫家里继续分析和研究最新的攻击技术和样本了,正好前段时间群里有人说服务器被黑,然后扔了个样本在群里,今天咱就拿这个样本开刀,给大家研究一下这个样本究竟是个啥,顺便也给大家分享一些关于 木马运行之后,如下所示: 该Linux RootKit木马可以通过Volatility内存检测的方法发现木马后门模块,如下所示: 笔者曾研究过多个基于Linux平台的RootKit家族样本,说不定你的服务器上就被安装了这些

    7250

    Linux服务器被黑以后的详细处理步骤

    随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考 背景信息:以下情况是在CentOS :25 hlmcen69n3 sshd[13292]: Received disconnect from 51.15.64.137: 11: Bye Bye 总结 以上所述是小编给大家介绍的Linux服务器被黑以后的详细处理步骤

    22431

    我的服务器接连被黑客攻击,我好难

    最近在几台测试服务器上跑一些业务数据,但是过了几天服务器突然变的奇慢无比,敲个命令就像卡壳一样,有时候甚至都连接不上,最开始我以为是网络问题,就强行kill掉进程,重新跑一下进程,最后实在受不了,就上阿里云后台说重启下服务器吧 看到这样我以为是因为我跑了大量的数据导致CPU飙升的,然后我就kill到了进程,并且重启了服务器,启动之后CPU正常,我以为就是我跑数据导致的,此后我就没用这台服务器跑数据了,我就单纯的以为这就算处理好了 ,将脚本植入的我们的服务器,比如我们需要安装一个Redis,那么像我英文不太好的人,可能第一时间不是去官网,而是找度娘,如果你正好找的资源里面被人植入了这种东西,那么很不凑巧,你的服务器可能要帮别人搞点东西了 查看服务器的定时任务,crontab -l,大概会看到如下的任务,没有就不用管了,你可以将此ip查一下,一般都是国外的ip。 现在服务器敲起来贼爽,再也不卡顿了。 更多精彩内容请关注微信公众号:一个程序员的成长

    31440

    CPU使用率报警100%之服务器再次被黑

    继上次服务器被黑之后,今天发现又一次被黑进当成挖矿肉鸡(当然不是同一台啦),从CPU使用率报警90%之后,登陆服务器发现有一个进程达到了100%之上,请看下图: ?

    20540

    三星的开始

    三星公司于1969年1月在韩国以三星电子工业公司的名义成立。它的创始人Lee Byung-Chul是一位韩国商人。 但是,三星与三洋的合资企业仍然存在,两家公司于1973年合并创建了三星-三洋配件。 不断成长的成功 在接下来的八年中,三星取得了成功,并于1981年售出了100万台黑白电视机。 三星还于1985年成立了三星数据系统(现称为三星SDS),以满足企业对系统开发不断增长的需求。 在这个时间点上,可以肯定地说三星表现不错。 直到1995年,即三星首次推出手机后的几年,才决定三星需要一种新的业务战略来应对其未来。三星电气工业公司董事长李坤熙是率先进行这一变革的人。 智慧的开始 2010年6月,三星发布了首款智能手机:三星GalaxyS。

    14620

    三星,再次“西征”

    文|智能相对论 作者|Alex Chiang 三星,和它的中国“结” 你是否经历过“三星霸市”的时代? 三星成立了新的中国团队,涉足领域覆盖手机、家居设备,直接向三星副董事长韩钟熙汇报。 但事情的重点,并不是三星何时宣称重返中国市场,而是如何重返? 这一次,三星能成功吗? 三星为何再次 “瞄准”国内市场? 在痛失中国这一庞大市场的前提下,三星智能手机在全球的销量仍能雄踞榜首。 此外,三星此次下一番大功夫进军中国市场,表明中国市场于三星的重要性愈加重要。 对于试图重返国内市场的三星而言,中低端市场或许已经不是三星需要重点突破的层面。

    8320

    一次linux服务器被黑客入侵后的处理

    场景: 周一上班centos服务器ssh不可用,web和数据库等应用不响应。 好在vnc可以登录 使用last命令查询,2号之前的登录信息已被清空,并且sshd文件在周六晚上被修改,周日晚上2点服务器被人远程重启 ? a 即append,设定该参数后,只能向文件中添加数据,而不能删除,多用于服务器日志文件安全,只有root才能设定这个属性 使用 chattr -ia /usr/sbin/sshd修改文件的隐藏属性,取消对应设置之后删除成功

    70890

    被黑

    话说从前些天开始,我的某台服务器不时会出现外网访问响应速度变慢的情况,不过内网访问倒是一直正常。 因为并不是核心服务器,所以一开始我便忽略了监控报警,但是随着服务器的可用性越来越差,我不得不腾出手来看看到底发生了什么。 ,让我的服务器成为一台肉鸡,进而对目标发起 DNS 反射攻击。 既然已经大概搞清楚了被攻击的原因,那么最简单的方法就是把问题服务器直接下线,重新配置一个新服务器,不过有时候事情并不简单,所以得想办法恢复它。 回想整个事件,如果我不在外网服务器上乱装服务,或者及时升级到最新版,那么可能就不会被黑;如果我没有忽视监控报警,那么可能很早就会发现问题。

    11920

    微软Exchange服务器被黑客攻击以部署Cuba勒索软件

    Bughatch是从C&C服务器获取PowerShell脚本和文件的下载器。为了逃避检测,它从远程URL加载到内存中。

    17910

    【教你搭建服务器系列】(7)一次服务器被黑的排查全过程

    1、排查日志 第一时间想到的就是登录服务器,查看异常登录的日志。 好家伙,我发现服务器竟然无法登录了! 1)VNC登录服务器 第一时间想到的应该是密码登录被禁用了。 chattr命令也删除了,服务器被黑,删chattr命令是常见的操作。 这就成功地将自己的公钥写入到ssh的authotrized_keys,无需密码直接root登录被黑的主机。 5、预防 服务器被攻击,主要的原因还是暴露的公网端口太多,特别是Redis6789,MySQL3306这种,还有就是服务器密码过于简单。 ---- 以上就是一次服务器被黑的排查过程和一些思考。 如果要了解一下 网络探测和安全审核 一个网站,可以了解一下nmap:https://nmap.org/man/zh/index.html

    33220

    微软承认遭黑客入侵:产品源代码被盗,但问题不大

    北京时间 3 月 23 日消息,微软公司在周二晚间证实,经过调查后发现,一些公司产品的部分源代码被黑客盗取。 周一晚上由“Lapsus$”黑客组织发布,一个 9GB 的压缩包可供外接下载。 据称,这些数据来自微软的 Azure DevOps 服务器。 周日清晨,Lapsus$ 在其 Telegram 频道上发布了一张屏幕截图,显示他们已闯入了微软的 Azure DevOps 服务器,该服务器含有 Bing、Cortana 及其他众多内部项目的源代码。 此前报道称,Lapsus$ 获得了英伟达 1TB 的数据,包括驱动程序、原理图或固件信息,还获得了三星 Galaxy 设备操作相关的源代码。这些入侵盗取资料行为已被英伟达、 三星官方证实。

    11720

    扫码关注腾讯云开发者

    领取腾讯云代金券