学习
实践
活动
工具
TVP
写文章

暗网市场RaidForums一锅端了

根据美国司法部4月12日发布的新闻,由美国方面主导、欧洲刑警组织-欧洲网络犯罪中心协调,英国、瑞典、葡萄牙和罗马尼亚的执法机构联合参与进行的国际执法行动 TOU...

11710

服务器攻击分析?

服务器一直在裸奔,三年多来也一直没有啥问题,直到最近发现访问非常缓慢,一开始我们也没有在意,因为所处的机房,近些日子线路问题不断,以为是线路问题,直到机房通知服务器攻击了,由于已经影响到了其他机子 最终,开了个会分析了下,最终分析如下: 攻击分两种: 是攻击 是当做肉鸡了 那么按照现在还能偶尔连上,还能偶尔操作下,而且程序都正常。估计是当做肉鸡了。因为如果是攻击了。 但是可能就找不到攻击的原因了。 先找出攻击的原因,解决攻击源,当然,这样肯定是能够解决问题的。 讨论过后,发现,第二点,难度太大,主要原因是服务器基本连不上。 等到防火墙脚本弄出来了,拖到服务器上一跑,打开防火墙,一下子服务器就正常了。然后检查业务,业务一切正常。现在就可以开始愉快的去找木马了。 由于很多系统文件替换了。 如果有条件,KVM一定要搭建,起码在被攻击的时候,也能愉快的连接服务器。 碰到问题,好好分析,才是解决问题的王道,不然一股脑去百度去,就是南辕北辙了。 上一篇文章: 服务器攻击方式及防御措施?

75830
  • 广告
    关闭

    云服务器应用教程

    手把手教您从零开始搭建网站/Minecraft游戏服务器/图床/网盘、部署应用、开发测试、GPU渲染训练等,畅享云端新生活。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    服务器攻击怎么处理

    很多客户网站服务器入侵,攻击,找到我们SINE安全公司寻求技术支持与帮助,有些网站篡改,跳转,首页内容替换,服务器植入木马后门,服务器卡顿,服务器异常网络连接,有的客户使用的是阿里云服务器,经常被提醒服务器有挖矿程序 ,安全的处理时间也需要尽快的处理,根据我们的处理经验,我们总结了一些服务器攻击,被黑的排查办法,专门用来检查服务器第一时间的安全问题,看发生在哪里,服务器是否被黑,是否攻击,那些篡改等等。 如何排查服务器攻击? 在我们处理客户服务器攻击的时候发现很多服务器的命令篡改,比如正常的PS查看进程的,查询目录的 cd的命令都给篡改了,让服务器无法正常使用命令,检查服务器安全造成了困扰。 对服务器的启动项进行检查,有些服务器植入木马后门,即使重启服务器也还是攻击,木马会自动的启动,检查linux的init.d的文件夹里是否有多余的启动文件,也可以检查时间,来判断启动项是否有问题。

    6K20

    服务器入侵的教训

    今天一台服务器突然停了,因为是阿里云的服务器,赶紧去阿里云查看,发现原因是阿里云监测到这台服务器不断向其他服务器发起攻击,便把这台服务器封掉了 明显是入侵做为肉鸡了 处理过程 (1)查看登陆的用户 可以看到是设置ssh免密码登陆了,漏洞就是redis 检查redis的配置文件,密码很弱,并且没有设置bind,修改,重启redis 删除定时任务文件中的那些内容,重启定时服务 (6)把阿里云中云盾的监控通知项全部选中 (7)配置iptables,严格限制各个端口 总结教训 根本原因就是安全意识薄弱,平时过多关注了公司产品层面,忽略了安全基础 从上面的处理过程可以看到,没有复杂的东西,都是很基本的处理方式 对服务器的安全配置不重视 、阿里云已有的安全设置没有做、阿里云的安全监控通知没有重视 网络安全是很深奥的,但如果提高安全意识,花点心思把安全基础做好,肯定可以避免绝大部分的安全事故 这个教训分享给向我一样系统安全意识不高的服务器管理者

    1.1K70

    PHP的Git服务器入侵,源代码添加后门

    在最新的软件供应链攻击中,PHP官方Git仓库被黑客攻击,代码库篡改。 ? PHP Git服务器植入RCE后门 PHP是一种开源的计算机脚本语言,为互联网上超过79%的网站提供动力。因此,事件一经曝光引起了强烈关注。 他们表示,虽然调查还在继续,但为了减少自己的Git基础设施所面对的风险,他们决定关闭git.php.net的服务器。原本只是镜像的GitHub上的存储库,之后将成为正式服务器。 并且,从现在开始,任何修改都要直接推送到GitHub上而不是原先的服务器。 那些想要帮助PHP的人可以申请在GitHub上添加为PHP组织的一部分。 目前,PHP还在检查除了那两个恶意提交外的威胁,并且检查是否有任何代码在恶意提交被发现之前分发到下游。

    38550

    服务器入侵当做挖矿肉鸡

    早上到公司发现zabbix有一个报警:一台服务器的CPU使用率达到100%! 1.立即登录该服务器查看CPU top10 ps aux | head -1; | ps aux | grep -v PID | sort -rn -k 4 |head 发现 有一个yam开头的进程CPU 已经占用120%,(此处无截图) 经确认,并非业务上的应用,凭经验分析,可以断定是入侵了。

    32320

    phpmyadmin连接MySQL服务器拒绝

    显示: phpMyAdmin 尝试连接到MySQL服务器,但服务器拒绝连接。您应该检查配置文件中的主机、用户名和密码,并确认这些信息与 MySQL 服务器管理员所给出的信息一致。

    97130

    linux服务器入侵查询木马

    记录一次查询清除木马过程  木马名称: Linux.BackDoor.Gates.5 链接:https://forum.antichat.ru/threads/413337/ 前两天服务器扫描后 明显不认识呐,我的服务器跑了什么我还不知道? 干掉!咦,干掉自己起来。明显是自启!!! 查,/etc/rc.local 1 2 ? 进程杀了又起来,文件删了又自动生成,无奈之下只好想了一个怪招,把/bin/bash重命名一下  再查询基础命令是否掉包: ? 对比下其他在正常服务器的显示如下: ? 怒了有没有! 那就删掉更改的,从其他同配置服务器拷贝一份。 记的拷贝过来要给予755 权限。 1 ? 注意rm命令也掉包了,需要更换!

    2.5K41

    服务器攻击怎么办?

    32430

    【说站】判断服务器IP否墙 是否TCP阻断

    现在国内很多购买国外主机服务器的,但往往很多主机商的机子用的人多了,国内使用者用这些服务器做啥的都有,正儿八经的做外贸其实没多大事情,但往往有些人就是不遵守法律法规,长此以往用的人多了,这些国外的主机商提供的服务器 今天教大家如何简单的判断我们所购买的服务器ip是否墙。 我们必须要了解的就是服务器正常情况下是可以ping通的(正常情况下是指服务器开机状态且未设置禁Ping),如果不能Ping通肯定就是墙了。 判断服务器IP否墙、是否TCP阻断,我们推荐大家用搬瓦工的官网工具: http://port.ping.pe/ 第一步:打开上面的网址: 输出要检测的IP,也可以直接输入域名检测。 如果USA(美国)地区链接正常,China(国内)链接失败,说明TCP阻断,或端口被封,我们可以更换端口(如SSH端口)再试,如果还是失败就是彻底阻断了。 收藏 | 0点赞 | 0打赏

    13830

    服务器恶意攻击是什么体验?

    再看一下阿里云发来的通知,说服务器存在挖矿活动。 尼玛,难顶啊。 要不先提交个工单吧。 在线智能机器人提示说可以使用云安全中心查杀,还有什么建议不要放行所有 IP 登录服务器。 搜索关键字“服务器挖矿”。 点击此处立即购买云安全中心,发现一年 270,贵啊,买阿里云的服务器,你不保护我,还得尼玛买防病毒包,国内的厂家恶心就恶心在这上,先培养你,然后养肥了,各种收割。 看了一眼警告信息,确实是盯上了。 心不累,就是眼睛盯着屏幕盯久了,是真的难受,于是我开始像好朋友楼仔求助了,楼仔是我最近认识的一个技术大佬,文章非常硬核,关键是我俩上来就很投机。 同时,为了让网站能先访问,我在本地把 VuePress 先 build 了一下,然后再把静态文件上传上去,因为直接在服务器上 build 会把内存直接拉满。 文章先写到这吧,写的比较乱,服务器还在被恶意脚本攻击中,等搞定了,再来给大家通报。 实在不行再重装系统。。。。

    6010

    初创公司如何避免服务器攻击

    前不久和小伙伴们讨论了一个基础的安全问题:一个朋友开的公司的服务器集群被黑了,攻击者在机器上安装了远程操作程序——肉鸡了。但经过讨论后发现,机器的最基本的防护都没有。 服务器是如何攻破的 线上服务器,无论是自建机房还是云服务,管理员都不太可能直接接触到机器本身。大多数时候管理者都是通过网络与服务器通讯。这就涉及到了服务器一定要打开一些端口才能允许这种交互。 但无论哪一种,对于攻击者来说都是巨大的损失。轻则所有机器要reset,重新安装部署;重则一个公司彻底信誉扫地,垮掉(比如大量用户信息丢失,篡改)。 So, take it seriously. 我已经见过太多案例,开发者在服务器上装了个mongo或者mysql就不管了,结果别人整库拖库的事情。数据库属于内部服务,根本就没有打开的必要。 反复输入密码会进一步增加密码记录的概率。记得,你和服务器之间隔着互联网,你永远不知道有谁在中间。 2015年已经有消息报道RSA-1024可以通过暴力破解,但是耗费了相当大的计算资源。

    2.3K50

    服务器入侵了怎么办

    思路细化 一、核实信息(运维/安全人员) 根据安全事件通知源的不同,分为两种: 1.外界通知:和报告人核实信息,确认服务器/系统是否入侵。 此时,为保护服务器和业务,避免服务器攻击者继续利用,应尽快歉意业务,立即下线机器; 如果不能立即处理,应当通过配置网络ACL等方式,封掉该服务器对网络的双向连接。 4.其他入侵 其他服务器跳板到本机 5.后续行为分析 History日志:提权、增加后门,以及是否清理。 3、getshell的服务器中是否有敏感文件和数据库,如果有请检查是否有泄漏。 4、hosts文件中对应的host关系需要重新配置,攻击者可以配置hosts来访问测试环境。 这次主要介绍了服务器入侵时推荐的一套处理思路。

    30130

    VULTR服务器墙解决方案

    前言 今天由于某些特殊原因(不做过多解释),导致许多国内朋友服务器墙。具体表现为 ping不通,网站无法访问。 今天小文就教大家如何解决这个问题。 教程开始 服务器墙,ping不通,唯一解决方案是换一台能用的服务器。换服务器之前,你要是不想你的数据丢失,就得备份数据。 由于快照的缘故,新服务器的连接密码与旧服务器相同,所以之前你不保存旧服务器的连接密码,此时新服务器是无法连接的。 可用机房实时更新 2018年4月墙机房陆续恢复,建议日本机房 实战视频 云盘下载 在线播放(可能很慢) https://freed.ga/video/VULTR.mp4 误区纠正 1.我新建一台服务器岂不是又要扣费 答:出现这种情况的朋友多半是先删除了旧服务器然后新建的服务器,解决办法为:先新建一台服务器,等新服务器IP分配好(此时IP绝对和旧服务器IP不通),再删除旧的服务器

    5.3K40

    VULTR服务器墙解决方案

    前言 今天由于某些特殊原因(不做过多解释),导致许多国内朋友服务器墙。具体表现为 ping不通,网站无法访问。 今天小文就教大家如何解决这个问题。 教程开始 服务器墙,ping不通,唯一解决方案是换一台能用的服务器。换服务器之前,你要是不想你的数据丢失,就得备份数据。 4.善后处理 服务器按小时扣费,此时删除原来的服务器即可停止计费(Destroy) 由于快照的缘故,新服务器的连接密码与旧服务器相同,所以之前你不保存旧服务器的连接密码,此时新服务器是无法连接的。 可用机房实时更新 2018年4月墙机房陆续恢复,建议日本机房 实战视频 云盘下载 误区纠正 1.我新建一台服务器岂不是又要扣费5美元? 答:出现这种情况的朋友多半是先删除了旧服务器然后新建的服务器,解决办法为:先新建一台服务器,等新服务器IP分配好(此时IP绝对和旧服务器IP不通),再删除旧的服务器

    4.1K90

    【教你搭建服务器系列】(6)如何判断服务器入侵

    如果你买的是云服务器,比如说腾讯云、阿里云这种,一旦你登录了你的服务器,随后没有设置安全组、密钥、用户、IP,或者没有修改密码、默认端口,那么你的服务器就很容易入侵,一般是挖矿,或者操控当做DDOS 可以说,只要你不设置安全组、防火墙,那么你的服务器基本上就没了,别问我为什么知道,因为我的三台服务器就是这么被黑掉的。 我经历过的三种被黑的情况: 挖矿(目前也是最多的) DDOS(操控你的服务器攻击其他网站) 勒索(删库) 本篇文章来介绍一些常见的服务器入侵排查方法。 1、宕机 这个是最常见的,一般你的服务器入侵了,服务器的进程就被杀死了,万一某一天你的网站打不开了,MySQL、Redis都挂了,基本上就是被黑了。 2、日志 2.1、日志记录 入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否清空。

    38610

    服务器攻击导致网站篡改该如何查找木马文件,痕迹

    很对客户网站以及服务器攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通过老客户的介绍很多客户在遇到网站攻击后找到我们 对网站进行全面的防御与加固,我们在对客户网站进行安全部署的同时,客户经常会想要了解到底网站,以及服务器是如何入侵,攻击者的IP是谁,那么我们SINESAFE技术针对这种情况,最好的办法就是通过日志进行分析 首先客户的网站以及服务器系统都有开启日志访问功能,网站的话有IIS,NGINX,APACHE的访问日志记录功能,通过对日志文件进行全面的人工安全分析审计,来溯源网站攻击的根源以及攻击者的IP,我们SINE 比如搜索IP地址,也可以进行检索,将所有包含该IP记录的日志都搜索出来,并导出到safe1.txt,名称以此类推命名的,我们在实际的攻击溯源分析的时候首先会去搜索网站攻击篡改的文件时间,通过文件修改时间 通过我们SINE安全技术上面分析的这些日志方法,溯源找到攻击者的IP,以及到底网站是如何攻击,服务器被黑的根源问题都可以通过日志的方式分析出来,细节的漏洞,就得需要做渗透测试服务,对网站以及服务器目前存在的漏洞进行检测

    91910

    适合新手:从零开发一个IM服务端(基于Netty,有完整源码)

    如上图,我们现在有两个用户:Alice和Bob连接到了服务器,当Alice发送消息message(hello)给Bob,服务端接收到消息,根据消息的destId进行转发,转发给Bob。 4、水平扩展 当用户量越来越大,必然需要增加服务器的数量,用户的连接分散在不同的机器上。此时,就需要存储用户连接在哪台机器上。 我们引入一个新的模块来管理用户的连接信息。 4.1 管理用户状态 ? 如果离线消息还在推送的过程中,Bob发送了新消息给Alice,服务器获取到Alice的session,就会立刻推送。 在离线消息推送的过程中,Alice的状态就是“未上线”,这时Bob新发送的消息只会入库im_offline,im_offline表中的数据读完之后才会“上线”开始接受新消息。这也就避免了乱序。 相信到这里,同学们已经可以自己动手搭建一个完整可用的IM服务端了

    2.6K21

    扫码关注腾讯云开发者

    领取腾讯云代金券