展开

关键词

排查

一.简介环境: 资源是Nginx和php组成的,用户可以http:192.168.1.100one.jpg方式图片。只有负载均衡才有外网地址,并且防火墙只允许80端口访问。 起因: 早上10点半,在查看资源目录时,发现多了一个pc.php,问了一圈发现没人知道这个。 2.查看2台资源的日志,查看负载均衡的也行。可以发现POST提交了脚本,GET去脚本,因为资源是安装了php的,访问pc.php,nginx会默认交给php-fpm去执行脚本。 查看tmp目录也发现很多奇怪的。通过删除这些东西和重做系统解决,这次危害较小,没有控制其它机,因为无法登陆,对方也没有提权到root登陆系统做更大危害,但也要注重安全。

12220

Android从ftp

window搭建ftp的步骤在这里,亲测可行: http:blog.sina.com.cnsblog_3f7e47f20100haur.html 主要留意一下绑定的ip地址,以后要用到要想从ftp 还要用到一个ftp4j的jar包。 可以把它先下载下来再参考docmanual.en.html来使用1.把解压出来的jar放到libs目录中去2.布局 3.mainactivitypackage com.example.getpkgfromftp try { new Thread(new Runnable() { @Override public void run() { try { 参考docmanual.en.html,最后面的参数是监听

58920
  • 广告
    关闭

    云产品限时秒杀

    云服务器1核2G首年38元,还有多款热门云产品满足您的上云需求

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    记一次的调查

    小Z首先设想了三种可能性:1.存在系统漏洞2.由于前期运维在上装了一些工具软,会不会工具软的病毒3.应用层漏洞。于是,他从这三方面开始了调查。 0×5 顺藤摸瓜小Z带着好奇心,继续探索过程,直接进了这个ftp! ? web系统内网IP信息 ? ?而且通过搜索tomcat目录找到 struts的版本为2.5.10,的确是存在S2-045漏洞的版本。至此,这次的来龙去脉,小Z已经调查清楚了。 由于网站使用了struts框架 版本为2.5.10,存在struts2-045漏洞,黑客通过公网扫描找到网站,进而执行exploit把病毒程序传到里面执行,不停的病毒警告是因为不断有人在公网利用漏洞 0×9 结尾到此为止,所有的谜团一一解开,小Z结束了这次曲折的证之路。

    1.8K10

    的教训

    今天一台突然停了,因为是阿里云的,赶紧去阿里云查看,发现原因是阿里云监测到这台不断向其他发起攻击,便把这台封掉了 明显是被做为肉鸡了 处理过程 (1)查看登陆的用户 通过 发现问题,定时任中有下面的内容 REDIS0006? 可以看到是被设置ssh免密码登陆了,漏洞就是redis 检查redis的配置,密码很弱,并且没有设置bind,修改,重启redis 删除定时任中的那些内容,重启定时 (6)把阿里云中云盾的监控通知项全部选中 通知手机号改为最新的手机号 (7)配置iptables,严格限制各个端口 总结教训 根本原因就是安全意识薄弱,平时过多关注了公司产品层面,忽略了安全基础 从上面的处理过程可以看到,没有复杂的东西,都是很基本的处理方式 对的安全配置不重视 一直用默认端口、阿里云已有的安全设置没有做、阿里云的安全监控通知没有重视 网络安全是很深奥的,但如果提高安全意识,花点心思把安全基础做好,肯定可以避免绝大部分的安全事故 这个教训分享给向我一样系统安全意识不高的管理者

    1K70

    排除命令

    排除命令 1. 检查find -uid 0 -perm -4000 -printfind -size +10000k -print| xargs du -sh|sort -nr #10M以上的find - find -name core -exec ls -l {} ;(检查系统中的core)检查系统完整性rpm -qf binlsrpm -qf binloginmd5sum -b 名md5sum -t 名5. 检查系统chkconfigsystemctlrpcinfo -p #查看RPC(nfs)11.

    33010

    排查流程

    常见挖矿# 表象:CPU增高、可疑定时任、外联矿池IP。 # 告警:威胁情报(主要)、Hids、蜜罐(挖矿扩散时触发)# 动作:通过CPU确认异常情况→ 确认可疑进程 → 检查定时任、# 主机、守护进程→结束病毒进程,删除病毒->加固。 Webshell# 表象:业侧应用逻辑漏洞(允许上传脚本等造成命令执行)或者开源软低版本造成(fastjson等)导致,# 通常为反弹shell、高危命令执行,同时存在内网、恶意程序传播、数据盗等行为 # 告警:Hids(主要)、流量监控设备# 动作:确认Webshell内容与可用性→ 酌情断网,摘掉公网出口IP→ 通过日志等确认Webshell访问记录→ 确定Webshell来源,# 是业逻辑漏洞导致 # 告警:Hids(主要)、蜜罐、域控监控(ATA等)# 动作:确定边界再进行处理,通常蜜罐等存在批量扫描爆破记录,需登录前序遭确认情况,# 方便后续批量处理,这个情况较为复杂后期单独写一篇

    40450

    java程序响应报

    如果我们想得到当前主机与远程主机是否连接,或者我们想做一个小型浏览,我们需要使用socket写一个请求报。废话少说,上代码。 null; BufferedReader bufferedReader = null; try { socket = new Socket(www.baidu.com, 80); post请求,请求实体放需要的客户端数据 rnrn; get请求,请求实体为空 String getString = GET HTTP1.0 + rn + Host:www.baidu.com:80 + rnrn; head请求,只返回报头部 ,不返回请求对象 String headString=HEAD HTTP1.0 + rn + Host:www.baidu.com:80 + rnrn; System.out.println(请求报: BufferedReader(new InputStreamReader( inputStream)); String readData = null; System.out.println(响应报

    61630

    js时间

    63180

    Web域名)

    (也称为主机)是提供计算机的设备,它也是一台计算机。在网络环境下,根据提供的类型不同,又分为、数据库、应用程序、Web等。 Web一般指网站,是指驻留于因特网上的某种类型计算机的程序,可以向浏览等Web客户端提供档,也可以防止网站,让全世界浏览;可以放置数据,让全世界下载。 以下我们主要指Web。根据在网络中所在位置不同,又可分为本地和远程。可以把自己的电脑设置为本地。 本地主要在局域网中访问,如果想要在互联网中访问,可以传到远程。远程通常是别的公司为我们提供的一台电脑(主机),我们只要把网站项目传到这台电脑上,任何人都可以利用域名访问我们的网站。 3、利用cutftp软上传网站到远程。4、在浏览中输域名,即可访问我们的网站了。

    30931

    python信息

    python 通过ansible 基本信息:利用ansible的 setup 模块可以返回的详细信息 所有的信息都是以字典的格式显示的# ansible 192.168.137.152  ansible_all_ipv6_addresses: ,         ansible_architecture: x86_64      ..........2.利用subprocess模块执行命令,数据

    65920

    一次对个人的调查

    这一切还要从我收到的通知邮:“Your server is sending spam”说起。首先要说的是,这台是用来运行之前项目的静态网站,并不保存关键信息。 1 通知邮经过一夜的狂欢聚会后,我收到了提供商OVH的通知邮,邮告知我的成为了垃圾邮发送源,其中还提及了一些细节:KenaGard是我之前创建的公司,现在已经不运行了,但是基于Joomla Joomla的问题我立即进网站目录查看可疑情况:最后两行是我之前执行过的合法操作,之后的操作就不得而知了,我想我的已经变成瑞士奶酪了! 探究操作 2016-08-21的操作中包含了jtemplate.php:该PHP是经过加密的代码,经过UnPHP解密之后可以看到部分信息:实际上,上述代码的功能如下:Base64和str_rot13 以下是网友对我这篇博客的一些评论:你的已经被了,所以请别用家庭电脑远程连接来处理这类安全事在重装系统过程中使用默认配置可以使用恶意程序检测工具Linux Malware Detects和脚本

    62850

    swoole返回二进制,websocket并下载

    但 学到了的知识点颇丰:二进制传输二进制编码读、写、操作、下载二进制编码转化二进制编码转化成text形式的与file_get_contents()的读结果相同 read​AsText(, “utf8” )二进制的base64编码用javascript实现base64编码以及图片的base64编码以太网帧类型 以太网帧类型总结URL资源是存储的一种方式 例如:图片:是这个样子:Request URL: data:applicationoctet-stream;base64,的上传下载并不简单(我们平时用的普通HTTP, websocket向自定义的上传【是个很复杂的封装过程】,等多种形式 )重点1、二进制共同点:打开都是显示数字二进制用二进制传输,传输的内容都是一样(一堆不能辨识的乱码)2、二进制(用js实现)转化方式:使用readFile类的read​AsArray​Buffer 转化后怎么使用:以readAsDataURL()为例:转化结果是:URL资源,可以放在HTML的src(用于预览)、href(用于下载)属性里面,配合HTML的a标签、download属性下载二进制

    8520

    linux查询木马

    ,清理后重启,也把原来的SSH密码登陆改为公钥,仅仅过去两天,一早登陆发现一个进程直接懵了,清掉我ROOT所有。 这是etcprofile,发现!!! ? 这明显是前天我没有清理干净,又被攻击了。那就开始排查,战斗!先清理可疑程序,如:  ??明显不认识呐,我的跑了什么我还不知道?干掉! 进程杀了又起来,删了又自动生成,无奈之下只好想了一个怪招,把binbash重命名一下  再查询基础命令是否被掉包: ? 对比下其他在正常的显示如下: ?怒了有没有!明显换了。 那就删掉被更改的,从其他同配置拷贝一份。记的拷贝过来要给予755 权限。1? 加强自身安全 但是此时还不知道系统的原因,只能从两个方面考虑:暴力破解和系统及漏洞 a、yum update 更新系统(特别是bash、openssh和openssl) b、关闭一些不必要的

    2.1K41

    .netcore已注

    1、新建一个静态类public static class ServiceLocator { 提供程序,用于直接已注的类 public static IServiceProvider Instance { get; set; } }2、在Startup.cs中将生成赋值给静态类属性public void Configure(IApplicationBuilder app, IHostingEnvironment env) { Models.ServiceLocator.Instance = app.ApplicationServices; }3、操作类中通过静态类已注var myRedis = ServiceLocator.Instance.GetService

    14040

    NodeJs封装静态web、路由、读响应类型

    mine = JSON.parse(data.toString()) return mine} let app = { static: (req, res, staticPath) => { 1.地址 index.html : pathName 后缀名path.extname(pathName) let extname = path.extname(pathName) 2.通过fs模块读

    43330

    如何在 asp.net core 3.x 的 startup.cs

    Startup 中注某些我需要的了,因此本篇章主要介绍如何在 asp.net core 3.x 的 startup 二、Step by Step2.1、问题案例这个问题的发现源于我需要改造模型验证失败时返回的错误信息 ,但是因为我们在 Startup 类中通过构造函数注的形式注时,告诉程序了我需要这个的实例,从而导致在构建 WebHost 时存在了一个单独的容,并且这个容只包含了我们需要使用到的信息 ,是不是可以通过,手动去我们需要的,也就是被称为定位(Service Locator)的方式来实例当然,这似乎与依赖注的思想相左,对于依赖注来说,我们将所有需要使用的定义好 ,在应用启动前完成注册,之后在使用时由依赖注提供的实例即可,而定位则是我们已经知道存在这个了,从容出来然后由自己手动的创建实例虽然定位是一种反模式,但是在某些情况下,我们又不得不采用这里对于本篇章开篇中需要解决的问题 ,我也是采用定位的方式,通过构建一个 ServiceProvider 之后,手动的从容需要使用的实例,调整后的代码如下 添加自定义模型验证失败时返回的错误信息 集合 public

    45030

    Linux安全检测基础

    一般的迹象,包括但不局限于:由内向外发送大量数据包(DDOS肉鸡)、资源被耗尽(挖矿程序)、不正常的端口连接(反向shell等)、日志被恶意删除等。 那么既然是检测,首先要判断的是是否被,必须排除是管理员操作不当导致的问题,因此检测的第一项工作就是询问管理员的异常现象,这对之后类型的判断非常重要。 ?  在询问了相关异常信息,排除了管理员操作失误等原因后,那么便可以开始正式的上进行检测以及证操作了。 查看著名的木门后门程序:九、检查网站后门  如果上运行着web程序,那么需要检查是否通过web漏洞,具体的判断方法可以结合分析中间日志以及系统日志,但过程需要较长时间。 我们也可以通过检查上是否留有者放置的网站后门木马,以此判断黑客是否通过web应用

    35610

    当做挖矿肉鸡

    早上到公司发现zabbix有一个报警:一台的CPU使用率达到100%! 1.立即登录该查看CPU top10ps aux | head -1; | ps aux | grep -v PID | sort -rn -k 4 |head发现 有一个yam开头的进程CPU已经占用 120%,(此处无截图) 经确认,并非业上的应用,凭经验分析,可以断定是被了。 在里面的发现软的作者 ?5.清理工作 kill 掉进程 删除root家目录的包 删除etcrc.drc.local中的开机启动项 更改root密码先做这么多,大家还有什么好的建议请多指教。

    16220

    做一次黑客,一次

    后来发现是docker远程,所以就利用docker远程和redis,模拟了一次自己的。 冯:那就对了,通过docker远程了你的,然后再利用masscan扫描其他的docker远程,然后进行。 ssh公钥注实现提权 通过查阅一些资料,原理就是通过一些端口,将自己主机的公钥写到靶机,实现免密登录,靶机root用户权限。 关于ssh公钥之前也讲过。 而者通过docker远程和redis的快照功能,将某台主机的公钥写到authorized_keys,而免密登录目标主机,root权限的行为,就是ssh公钥提权。 如图,创建并运行了一个容后,直接通过bash进了容。 写公钥,实现登陆 在容中,查看authorized_keys的内容。

    54374

    java所有信息

    java所有信息代码如下 package com.sinosoft.outher.listener;import java.net.InetAddress;import java.net.UnknownHostException ,比如 FAT32、NTFS System.out.println(盘符类型: + fs.getSysTypeName()); 系统类型名,比如本地硬盘、光驱、网络系统等 System.out.println (盘符类型名: + fs.getTypeName()); 系统类型 System.out.println(盘符系统类型: + fs.getType()); FileSystemUsage () + KB); double usePercent = usage.getUsePercent() * 100D; 系统资源的利用率 System.out.println(fs.getDevName System.out.println(fs.getDevName() + 读出: + usage.getDiskReads()); System.out.println(fs.getDevName() + 写

    75530

    相关产品

    • 主机安全

      主机安全

      腾讯主机安全(CWP)利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务,主要包括密码破解阻断、异常登录审计、木马文件查杀、高危漏洞检测等安全功能,解决当前服务器面临的主要网络安全风险,帮助企业构建服务器安全防护体系。

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注云+社区

      领取腾讯云代金券