如何通过看日志发现相关产品安全问题并处理?

分类:安全,工作记 | 作者:凹凸曼 | 发表于2016/06/03

今天负责的网站突然打不开,看了一下apache服务出现异常,端口80被占用

接着看了网站日志发现这几天日志有点不太正常,

通过上面日志异常看了乌云漏洞最近报了一些DISCUZ安全问题,

发现这些小黑们活动异常,逮到一个就有一个。

还好一出补丁就做了一下修复,关闭,删除很多插件。一般来插件漏洞还是比较多的。

博客被挂马

分类:安全 | 作者:凹凸曼 | 发表于2015/10/09

我的一个小小的博客,木事写的博文,有必要来挂些博彩的信息吗?

上面的很多站点,漏洞有很多,这都被你看上了,难以置信,

但愿你找点有价值、流量巨大的网站挂吧!

来我这里一点技术含量也木有,这样浪费你宝贵的时间。

网站被入侵,并挂马

分类:安全,工作记 | 作者:凹凸曼 | 发表于2015/07/17

安全问题,大多数时候我们并不会太注意,只有等到出现问题,才会去补救,这也是目前大多数公司领导所忽略的问题!

刚刚接手,已早被人拿下来webshell权限来,还木有摸热就把站点删除了,挺悲剧的。。。
入侵点之一:

如何防御cc攻击?

分类:安全,工作记 | 作者:凹凸曼 | 发表于2014/05/23

最近1,2星期 川报天府论坛经历ddos 攻击 ,前几天又被cc攻击 。

ddos攻击流量太大只有机房做防御。

网管说,我们硬件防火墙,木有应用层的防护 (如这个cc攻击),

只能在单个机器上搞一下。

话说回来一个屁大点论坛,兄弟你有必要吗?论坛程序老版本,

去找一个漏洞,不是更容易获取你想要的。

之前是在linux平台 天府社区,写个脚本程序可以防御

这哈是在windows木有现成的防御cc程序,找了一个免费的网站安全狗,

这个软件还是可以,能防御哈,

但是注意根据你页面的请求次数比大,需要把该软件准许最大请求次数稍微改大点,

不然F5刷新你网站,有可能 就会把你封了哈。哈哈!

空了,写个通用平台下的的工具搞定cc攻击

获取cc攻击截图:

某站点安全漏洞分析与建议报告

分类:安全,工作记 | 作者:凹凸曼 | 发表于2014/04/21

前两天对公司某频道日志做了分析

备注:xxx代表某域名或某信息

一、日志记录分析

漏洞1:文件上传漏洞危险等级:非常严重

通过日志分析,发现黑客在2014年2月22日用http://xxx/css_edit/css.php(后来更改为cssx.php)文件上传漏洞,获取webshell权限,并且在服务器上植入木马程序。

黑客分别在2014年2月27日和2014年3月3日通过木马程序远程操作,植入恶意“时时彩templates_c/templates.php”。

漏洞2:数据库文件暴露危险等级:严重

http://xxx/configuration.php1205

http://xxx/configuration.php140304等

运维人员不正确备份数据文件

下面具体日志记录

1.80.76.136 – – [22/Feb/2014:16:01:26 +0800] “GET /css_edit/css.php HTTP/1.1” 200 45841
1.80.76.136 – – [22/Feb/2014:16:01:43 +0800] “POST /css_edit/css.php HTTP/1.1” 200 45969
1.80.76.136 – – [22/Feb/2014:16:03:30 +0800] “POST /css_edit/css.php HTTP/1.1” 200 45943
1.80.76.136 – – [22/Feb/2014:16:06:43 +0800] “POST /css_edit/css.php HTTP/1.1” 200 45958

解决linux防毒软件avira中遇到的问题?

分类:安全,问题集 | 作者:凹凸曼 | 发表于2012/02/02

linux的防毒软件还是很少的,貌似是德国产的,

历史说linux病毒屈指可数也

不过还是有些比较厉害的玩意,还是用一扫描一下服务器看,

其他专业版本的要付费,只能弄一个免费版的,耍一下

安装那些挺简单的,可以看下面那个帮助文档有提示就行了

1、安装遇到的问题

installing dazuko-3.0.0-rc4_2.6.18 …
make -C /lib/modules/`uname -r`/build SUBDIRS=”`pwd`” modules
make: *** /lib/modules/2.6.18-194.el5/build: No such file or directory. Stop.
make: *** [dazukofs_modules] Error 2

WEB(nginx、apache)服务器配置mod_ssl

分类:Linux,安全 | 作者:凹凸曼 | 发表于2011/08/22

https 则是具安全性的ssl加密传输协议,关于交易的,如银行系统那些,用的挺多的!

很久没有碰了,还是熟习一下,这些,使用的东西

一、首先看一篇不错的文章 Linux下如何颁发证书:学习使用openssl搭建一个CA

openssl生成证书 可以先看上面的这篇文章,下面是配置apache、nginx的ssl

二、安装mod_ssl,openssl 可以先自动安装下面的

# yum install mod_ssl openssl

三、Apache 配置mod_ssl

1、修改Apache SSL配置文件

为什么三大主流论坛 都可以伪造数据进行群发帖子呢?

分类:安全,问题集 | 作者:凹凸曼 | 发表于2011/07/11

最近有人反应有一款软件可以 群发三大主流论坛的帖子。可能对于推广的人来说,无疑是一件好事!

但是对于管理论坛的人来无疑是噩梦!

先可以看一下面的图是介绍它的功能是多么的强大的

个人感觉 不论是论坛还是开源的系统来说,都有一个通病!研究的你的代码 及里面的一些算法,更能找到入侵之处

造成一些不可能估计的后果!

打开网页报有病毒

分类:安全,问题集 | 作者:凹凸曼 | 发表于2011/04/15

今天早上来从网友那边反应又打开网页,杀毒软件报有病毒,这是怎么回事呢?先把报病毒的示意图搞出来哈!我仔细查看了哈,CVE-2011-1345病毒的介绍 名为:Microsoft IE多个远程代码执行漏洞 听起名字都很了不起哈!受影响的系统:Microsoft Internet Explorer 8.x、windows 7 漏洞详细信息:IE在实现上存在多个远程代码执行漏洞,远程攻击者可利用此漏洞在应用程序中执行任意代码,造成拒绝服务。

PHP过滤特殊字符(set_magic_quotes_runtime(0|1) 和 magic_quotes_gpc、addslashes、 stripslashes)

分类:PHP,安全 | 作者:凹凸曼 | 发表于2011/04/06

对于字符的过滤,是相当重要的,一般入侵都来源于程序漏洞! 一、magic_quotes_gpc 不能在代码中动态开启或关闭,需要到php.ini将magic_quotes_gpc设置为on或off, 作用范围是:WEB客户服务端; 作用时间:请求开始是,例如当脚本运行时. 二、addslashes 在程序中使用 相当于 magic_quotes_gpc开启的时候 添加数据到数据库之前,我们手动对数据进行addslashes(),而从数据库取出数据时,则作相反操作,即stripslashes()。 三、magic_quotes_runtime 一般来说公共的头部文件,一般 set_magic_quotes_runtime(0) 关闭了。 否则从数据库读取出来的数据单引号、双引号和反斜杠都会被加上\,导致显示不正常 作用范围:从文件中读取的数据或执行exec()的结果或是从SQL查询中得到的; 作用时间:每次当脚本访问运行状态中产生的数据 四、 stripslashes 对于要序列化的内容