如何通过看日志发现相关产品安全问题并处理?

分类:安全,工作记 | 作者:凹凸曼 | 发表于2016/06/03

今天负责的网站突然打不开,看了一下apache服务出现异常,端口80被占用

接着看了网站日志发现这几天日志有点不太正常,

通过上面日志异常看了乌云漏洞最近报了一些DISCUZ安全问题,

发现这些小黑们活动异常,逮到一个就有一个。

还好一出补丁就做了一下修复,关闭,删除很多插件。一般来插件漏洞还是比较多的。

博客被挂马

分类:安全 | 作者:凹凸曼 | 发表于2015/10/09

我的一个小小的博客,木事写的博文,有必要来挂些博彩的信息吗?

上面的很多站点,漏洞有很多,这都被你看上了,难以置信,

但愿你找点有价值、流量巨大的网站挂吧!

来我这里一点技术含量也木有,这样浪费你宝贵的时间。

网站被入侵,并挂马

分类:安全,工作记 | 作者:凹凸曼 | 发表于2015/07/17

安全问题,大多数时候我们并不会太注意,只有等到出现问题,才会去补救,这也是目前大多数公司领导所忽略的问题!

刚刚接手,已早被人拿下来webshell权限来,还木有摸热就把站点删除了,挺悲剧的。。。
入侵点之一:

如何防御cc攻击?

分类:安全,工作记 | 作者:凹凸曼 | 发表于2014/05/23

最近1,2星期 川报天府论坛经历ddos 攻击 ,前几天又被cc攻击 。

ddos攻击流量太大只有机房做防御。

网管说,我们硬件防火墙,木有应用层的防护 (如这个cc攻击),

只能在单个机器上搞一下。

话说回来一个屁大点论坛,兄弟你有必要吗?论坛程序老版本,

去找一个漏洞,不是更容易获取你想要的。

之前是在linux平台 天府社区,写个脚本程序可以防御

这哈是在windows木有现成的防御cc程序,找了一个免费的网站安全狗,

这个软件还是可以,能防御哈,

但是注意根据你页面的请求次数比大,需要把该软件准许最大请求次数稍微改大点,

不然F5刷新你网站,有可能 就会把你封了哈。哈哈!

空了,写个通用平台下的的工具搞定cc攻击

获取cc攻击截图:

某站点安全漏洞分析与建议报告

分类:安全,工作记 | 作者:凹凸曼 | 发表于2014/04/21

前两天对公司某频道日志做了分析

备注:xxx代表某域名或某信息

一、日志记录分析

漏洞1:文件上传漏洞危险等级:非常严重

通过日志分析,发现黑客在2014年2月22日用http://xxx/css_edit/css.php(后来更改为cssx.php)文件上传漏洞,获取webshell权限,并且在服务器上植入木马程序。

黑客分别在2014年2月27日和2014年3月3日通过木马程序远程操作,植入恶意“时时彩templates_c/templates.php”。

漏洞2:数据库文件暴露危险等级:严重

http://xxx/configuration.php1205

http://xxx/configuration.php140304等

运维人员不正确备份数据文件

下面具体日志记录

1.80.76.136 – – [22/Feb/2014:16:01:26 +0800] “GET /css_edit/css.php HTTP/1.1” 200 45841
1.80.76.136 – – [22/Feb/2014:16:01:43 +0800] “POST /css_edit/css.php HTTP/1.1” 200 45969
1.80.76.136 – – [22/Feb/2014:16:03:30 +0800] “POST /css_edit/css.php HTTP/1.1” 200 45943
1.80.76.136 – – [22/Feb/2014:16:06:43 +0800] “POST /css_edit/css.php HTTP/1.1” 200 45958

如何解决nfs一些安全问题?

分类:Linux | 作者:凹凸曼 | 发表于2012/12/26

一、我看了很多网上的资料,开启nfs的时候都把linux防火墙关闭,我觉得这样不太好!

解决办法:在防火墙里加入nfs所需开放的端口 nfs需要依赖portmapper、nlockmgr、mountd等服务 ,

可以用rpcinfo -p localhost 来获取所需的端口 然后加入iptables配置文件 如下:

打开网页报有病毒

分类:安全,问题集 | 作者:凹凸曼 | 发表于2011/04/15

今天早上来从网友那边反应又打开网页,杀毒软件报有病毒,这是怎么回事呢?先把报病毒的示意图搞出来哈!我仔细查看了哈,CVE-2011-1345病毒的介绍 名为:Microsoft IE多个远程代码执行漏洞 听起名字都很了不起哈!受影响的系统:Microsoft Internet Explorer 8.x、windows 7 漏洞详细信息:IE在实现上存在多个远程代码执行漏洞,远程攻击者可利用此漏洞在应用程序中执行任意代码,造成拒绝服务。

PHP过滤特殊字符(set_magic_quotes_runtime(0|1) 和 magic_quotes_gpc、addslashes、 stripslashes)

分类:PHP,安全 | 作者:凹凸曼 | 发表于2011/04/06

对于字符的过滤,是相当重要的,一般入侵都来源于程序漏洞! 一、magic_quotes_gpc 不能在代码中动态开启或关闭,需要到php.ini将magic_quotes_gpc设置为on或off, 作用范围是:WEB客户服务端; 作用时间:请求开始是,例如当脚本运行时. 二、addslashes 在程序中使用 相当于 magic_quotes_gpc开启的时候 添加数据到数据库之前,我们手动对数据进行addslashes(),而从数据库取出数据时,则作相反操作,即stripslashes()。 三、magic_quotes_runtime 一般来说公共的头部文件,一般 set_magic_quotes_runtime(0) 关闭了。 否则从数据库读取出来的数据单引号、双引号和反斜杠都会被加上\,导致显示不正常 作用范围:从文件中读取的数据或执行exec()的结果或是从SQL查询中得到的; 作用时间:每次当脚本访问运行状态中产生的数据 四、 stripslashes 对于要序列化的内容

有效防御PHP木马攻击的技巧

分类:PHP,安全 | 作者:凹凸曼 | 发表于2011/04/06

、防止跳出web目录   首先修改httpd.conf,如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行:   php_admin_value open_basedir /usr/local/apache   /htdocs   这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打开的话会提示这样的错误:   Warning: open_basedir restriction in effect. File is in wrong directory in   /usr/local/apache/htdocs/open.php on line 4   等等。 2、防止php木马执行webshell   打开safe_mode,   在,php.ini中设置   disable_functions= passthru,exec,shell_exec,system   二者选一即可,也可都选 3、防止php木马读写文件目录   在php.ini中的   disable_functions=

网站打不开,难道是DNS 被攻击了?

分类:安全,问题集 | 作者:凹凸曼 | 发表于2011/03/29

最近部分网友反应,网站打不开,可是大部分也打得开! 就查哈原因! 有了3 个网友 ip 从服务器上做了路由器查询(如下图所示) IP: 10.104.199.111 IP: 125.71.78.219 IP: 112.193.93.250 到达某一段就搞不通了!唉,说不定是 服务提供商的DNS 被攻击了!哈哈 不过也没有办法,超出来我的射程了! 只能希望,服务提供商尽快搞定了! 目前的解决办法:让网友打服务电话!