如何通过看日志发现相关产品安全问题并处理?
今天负责的网站突然打不开,看了一下apache服务出现异常,端口80被占用
接着看了网站日志发现这几天日志有点不太正常,
通过上面日志异常看了乌云漏洞最近报了一些DISCUZ安全问题,
发现这些小黑们活动异常,逮到一个就有一个。
还好一出补丁就做了一下修复,关闭,删除很多插件。一般来插件漏洞还是比较多的。
如何防御cc攻击?
最近1,2星期 论坛经历ddos 攻击 ,前几天又被cc攻击 。
ddos攻击流量太大只有机房做防御。
网管说,我们硬件防火墙,木有应用层的防护 (如这个cc攻击),
只能在单个机器上搞一下。
话说回来一个屁大点论坛,兄弟你有必要吗?论坛程序老版本,
去找一个漏洞,不是更容易获取你想要的。
之前是在linux平台 天府社区,写个脚本程序可以防御
这哈是在windows木有现成的防御cc程序,找了一个免费的网站安全狗,
这个软件还是可以,能防御哈,
但是注意根据你页面的请求次数比大,需要把该软件准许最大请求次数稍微改大点,
不然F5刷新你网站,有可能 就会把你封了哈。哈哈!
空了,写个通用平台下的的工具搞定cc攻击
获取cc攻击截图:
某站点安全漏洞分析与建议报告
前两天对公司某频道日志做了分析
备注:xxx代表某域名或某信息
一、日志记录分析
漏洞1:文件上传漏洞危险等级:非常严重
通过日志分析,发现黑客在2014年2月22日用http://xxx/css_edit/css.php(后来更改为cssx.php)文件上传漏洞,获取webshell权限,并且在服务器上植入木马程序。
黑客分别在2014年2月27日和2014年3月3日通过木马程序远程操作,植入恶意“时时彩templates_c/templates.php”。
漏洞2:数据库文件暴露危险等级:严重
http://xxx/configuration.php1205
http://xxx/configuration.php140304等
运维人员不正确备份数据文件
下面具体日志记录
1.80.76.136 – – [22/Feb/2014:16:01:26 +0800] “GET /css_edit/css.php HTTP/1.1” 200 45841
1.80.76.136 – – [22/Feb/2014:16:01:43 +0800] “POST /css_edit/css.php HTTP/1.1” 200 45969
1.80.76.136 – – [22/Feb/2014:16:03:30 +0800] “POST /css_edit/css.php HTTP/1.1” 200 45943
1.80.76.136 – – [22/Feb/2014:16:06:43 +0800] “POST /css_edit/css.php HTTP/1.1” 200 45958
如何解决nfs一些安全问题?
一、我看了很多网上的资料,开启nfs的时候都把linux防火墙关闭,我觉得这样不太好!
解决办法:在防火墙里加入nfs所需开放的端口 nfs需要依赖portmapper、nlockmgr、mountd等服务 ,
可以用rpcinfo -p localhost 来获取所需的端口 然后加入iptables配置文件 如下:
PHP过滤特殊字符(set_magic_quotes_runtime(0|1) 和 magic_quotes_gpc、addslashes、 stripslashes)
对于字符的过滤,是相当重要的,一般入侵都来源于程序漏洞! 一、magic_quotes_gpc 不能在代码中动态开启或关闭,需要到php.ini将magic_quotes_gpc设置为on或off, 作用范围是:WEB客户服务端; 作用时间:请求开始是,例如当脚本运行时. 二、addslashes 在程序中使用 相当于 magic_quotes_gpc开启的时候 添加数据到数据库之前,我们手动对数据进行addslashes(),而从数据库取出数据时,则作相反操作,即stripslashes()。 三、magic_quotes_runtime 一般来说公共的头部文件,一般 set_magic_quotes_runtime(0) 关闭了。 否则从数据库读取出来的数据单引号、双引号和反斜杠都会被加上\,导致显示不正常 作用范围:从文件中读取的数据或执行exec()的结果或是从SQL查询中得到的; 作用时间:每次当脚本访问运行状态中产生的数据 四、 stripslashes 对于要序列化的内容
有效防御PHP木马攻击的技巧
、防止跳出web目录 首先修改httpd.conf,如果你只允许你的php脚本程序在web目录里操作,还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs,那么在httpd.conf里加上这么几行: php_admin_value open_basedir /usr/local/apache /htdocs 这样,如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许,如果错误显示打开的话会提示这样的错误: Warning: open_basedir restriction in effect. File is in wrong directory in /usr/local/apache/htdocs/open.php on line 4 等等。 2、防止php木马执行webshell 打开safe_mode, 在,php.ini中设置 disable_functions= passthru,exec,shell_exec,system 二者选一即可,也可都选 3、防止php木马读写文件目录 在php.ini中的 disable_functions=
网站打不开,难道是DNS 被攻击了?
最近部分网友反应,网站打不开,可是大部分也打得开! 就查哈原因! 有了3 个网友 ip 从服务器上做了路由器查询(如下图所示) IP: 10.104.199.111 IP: 125.71.78.219 IP: 112.193.93.250 到达某一段就搞不通了!唉,说不定是 服务提供商的DNS 被攻击了!哈哈 不过也没有办法,超出来我的射程了! 只能希望,服务提供商尽快搞定了! 目前的解决办法:让网友打服务电话!
