attacks
如何保护 Tomcat 7 免受 Slowloris 攻击
我使用 Apache Tomcat 7 在 Linux 上运行我的 Web 应用程序。我用 Acunetix 扫描了它,它告诉我我的 Web 应用程序容易受到“慢速 HTTP 拒绝服务攻击”。我该如何保护它? Acunetix 推荐我这里,但这是为了保护 Apache,而不是 Tomcat。 ...
attacks
attacks
如何防范 RAM 内攻击
由于托管服务提供商不断受到黑客的攻击,如果您关心您的用户,使用 www.truecrypt.org 之类的工具对整个文件系统(整个服务器)进行加密对我来说似乎是绝对必要的。 现在,攻击变得越来越复杂,默认情况下,托管提供商永远不值得信任。 据我了解,系统范围的加密并不能解决 RAM 内部发生的攻击。 您建议针对 RAM 内攻击的最佳对策是什么? ...
attacks
阻止访问资源的 IP
我拥有一台服务器,它不断受到脚本的攻击(这些脚本试图访问 phpMyAdmin 的设置文件和类似的东西)。我听说很多人都受到过这种攻击,但我开始担心,因为这种攻击越来越常见(上个月我受到过 2 次攻击,11 月 7 日已经有 3 次尝试(11 月 1 日、4 日和 6 日)。 我其实并不担心,因为我没有任何数据库。我在该服务器上拥有的所有信息都是绝对公开的,但我担心攻击率的增加。 所以我想我可以暂时阻止来自那些攻击者的 IP,或者做一些可以让我的服务器忽略请求 phpMyAdmin、pma、xamp 等的请求。 有类似的东西吗?我的服务器是 Linux...
attacks
服务器尝试连接到 Spamhaus DROP 网络
我有一个运行出站代理服务器的小型 Ubuntu 邮件/Web 服务器,并且最近还使用Spamhaus DROP列表来阻止来自或到其中列出的网络的连接。 我发现从我们的 postfix 邮件服务器的 25 端口到这些网络的出站连接丢失的数量几乎与入站连接丢失的数量一样多(通常在 SASL 端口上)。 有时,有问题的 IP 会尝试连接 smtp(多次),然后大约一小时后,postfix 会尝试重新连接它。例如,在实施 DROP 规则之前的 00:07:10 和实施之后的 09:47:46: Mar 09 00:07:10 postfix/smtpd[142128...
attacks
针对 AWS SES 的滥用报告攻击
在 AWS 上运行的应用程序使用 SES 向新客户发送验证电子邮件。攻击者注册该网站并将验证电子邮件报告为滥用行为。 我想知道有什么办法可以应对这种攻击。这会导致 SES 滥用指标上升。 到目前为止,我已经识别出他的模式并采取了应对措施,但这确实提出了一个严肃的问题,即如何总体处理这种情况。 使用 Cloudflare 的机器人保护确实可以防止机器人的攻击,但攻击者可能会付钱给别人手动执行此操作。 封锁雅虎和 Verizon 等未充分审查其客户的提供商。到目前为止,所有攻击都来自这些提供商,因此永久列入黑名单可能会有效,但我认为这只会延迟不可避免的事情发生...
attacks
在 Linux 服务器上保护密钥,供服务器上运行的软件使用
我不是服务器安全方面的专家,我对服务器被入侵的情况有疑问。我有一个 nodejs 应用程序,它是一个机器人,只有 https 连接才能从一些 api 端点读取数据,还会将一些数据发送到另一个端点,所有这些连接都是通过 https 进行的。该机器人使用一个非常敏感的密钥,并且该软件一直在使用它。所以我的问题是: “如果有人访问了服务器,我们如何存储密钥重要吗?“无论我们将其保存在 hashi vault、aws 还是环境变量中,或者甚至我们是否使用在运行时提供给软件的密码对其进行加密,甚至不保存在服务器内部(这使得它在应用程序内存中可用),如果攻击者获得对服务...
attacks
VM 崩溃 - 是否与 SSL 错误有关?
我不太了解服务器配置,我需要一些帮助来解决我所面临的问题。 我有一台装有 nginx 1.18.0 的 Debian 11 机器。 它经常在凌晨 2:00 至 3:00 左右崩溃。 通过检查 nginx 日志,我发现此时存在一些有关握手的错误: 7164 SSL_do_handshake() failed (SSL: error:141CF06C:SSL routines:tls_parse_ctos_key_share:bad key share) while SSL handshaking, client: 165.154.175.34, server:...
attacks
避免泄露信息,无论用户是否被拒绝访问或输入了错误的密码
我目前正在为一个拥有 10000 多名用户的大型系统修改sshd_config和/etc/security/access.d。限制用户访问的方法有很多种,我有点头晕目眩,不知道该找哪种“最佳方法”。简而言之 我们可以使用 ACL 来限制访问 使用本地防火墙限制对负载均衡器的访问 使用 sshd_config 限制访问 使用我们的 PAM 配置限制访问 我们的 sshd 的 PAM 堆栈的一个非常精简的版本如下所示 auth requisite pam_faillock.so preau...
attacks
使用 Azure Sentinel 服务检测网站攻击
我有一个基于 AKS 的网站。我的网站遭受了 DDoS 和其他类型的攻击。为了预防此类攻击,我计划使用 Azure Sentinel 服务工具。 https://learn.microsoft.com/en-us/azure/sentinel/hunting#use-the-hunting-dashboard 如何在 AZure 中存储流网站流量,并在发生异常流量冲击时与 azure + aler 集成。 提前致谢。 尝试过 Sentinel 服务。 ...
attacks
限制网站上的 url 地址字符数并阻止它
黑客正在减慢我的服务器速度他们使用不同的 IP 发送重复的请求他们不断发送很长的 URL 地址,如下所示: mysite.com/asm-nfm555sd5-nfm.mp3asm-dnfm555sd5-nfm.mp3asdnfm555sd5-nfm.mp3asm-dnfm555sd5-nfm.mp3 ... 我可以限制服务器上的 url 地址的长度吗?我有 Apache + NginX 和 cfs 防火墙的直接管理员 例如,如果 url 地址的长度超过 300 个字符,则阻止该请求并阻止其 IP 黑客向该网站发送了长度为 1200 个字符的 URL 地址的...
attacks
应用程序的数据协调
我需要制定一个计划,以应对灾难性数据丢失的情况,在这种情况下,我需要使用数据备份从裸机恢复一些服务(每个服务有多个应用程序)。这个过程(我认为)需要以下内容: 从备份中恢复二进制文件和数据。安装应用程序。(简单一点) 应用程序是相互依赖的,需要同步 - 不同的备份时间意味着我可能需要回滚某些应用程序的数据。 确定丢失数据的来源(从恢复点到事件发生时丢失的数据) 协调丢失的数据 协调缓冲事务和解决方法数据(应用程序关闭期间收集的任何数据) 验证并返回 BaU 第 4 步和第 5 步有点麻烦,我需要您的帮助。我知道这取决于应用程序类型及其功能,但有没有什么指...
attacks
阻止不接收流量的 IP
我在 OVH 游戏专用服务器上托管,该服务器的带宽为 1gbp/s,我受到了来自其他 OVH 服务器的攻击,它们以 1gbp/s 的速度饱和带宽。 OVH 不会过滤来自其他 OVH 服务器的攻击。显然,使用 iptables/防火墙软件阻止这些 IP 不起作用,因为流量仍会到达我的服务器。 OVH 不想解决这个问题,攻击者也不会被禁止,有解决方案吗?我该怎么做才能阻止流量到达我的服务器?是否有可能将 IP OVH 范围设为空路由,这样流量就不会到达我的服务器,如何做到这一点? ...
attacks
监控传出的特定流量
我有点想法,但我想咨询一下。我按照这个指南来找出哪些 php 进程会产生传出的暴力攻击。我找到了罪魁祸首,一切正常。 现在,我该如何为所有这些创建一个自动化系统?某种脚本会插入 cron 作业,创建其他脚本,设置所有内容,使用 grep 在文件中查找 IP 地址,然后分析其他文件以提供特定的 php 进程 + 域。 或者也许使用一个脚本来检查传出的流量是否与 POST /xmlrpc.php 匹配会更简单。 或者也许这一切都已经解决了,我只是在浪费时间。 具体指南:https://www.nocser.net/clients/index.php/knowle...
attacks
扫描我服务器的机器人可以更改其源 IP 吗?为什么即使阻止了 IP,我仍会不断受到攻击?
我有一个 PBX(VOIP 服务器),电话连接到该服务器以便拨打电话。我使用的 PBX 是星号。该服务器未被使用,其唯一目的是分析攻击。 如果我有其他服务(例如 mongodb),PBX 服务并不重要,我确信互联网上的机器人会搜索漏洞来攻击该数据库。 无论如何,我正在分析到达我的服务器的 UDP 端口 5060(这是 Aterisk 监听的位置)的所有数据包,到达的数据包如下所示: IP (tos 0x0, ttl 113, id 654, offset 0, flags [none], proto UDP (17), length 521) 43....
attacks
对 CSS 资源进行 HTTP POST 对 http 攻击者有何用处?
在网络活动激增之后,通过 Cloudflare 代理检查为休闲简约 WordPress 网站提供服务的 Apache 日志,我发现以下条目重复了数百次: 172.71.98.180 - - [22/Aug/2022:01:59:06 +0000] "POST /wp-content/plugins/the-social-links/assets/css/font-awesome.min.css HTTP/1.1" 302 565 "-" "Mozilla/5.0 (X11; U; Linux i686; pl; rv:1.8.1.2) Gecko/20070...