安全

2024-09-07 · 阅读 775 · 字数 1145

最近在看个人博客网站的百度统计时，经常看到一个奇怪的域名访问记录。 我自己的域名是 www.sunzhongwei.com 而这个奇怪的域名是 okinm.fun 我第一反应是，估计又被人做了网站镜像。之前在 2021 年发现过一次，这是当时的记录 📚网站第一次被恶意镜像。 💡 高明的 404 Not Found 但是，奇怪的是，我访问这个域名，无论是用 http 还是用 https，都是显示 404 错误，即访问的页面不存在。 为了以防万一，我又去我的服务器上的 Nginx 日志中排查了一下，也没有这个域名的请求记录。 同时通过 dig 命令查看了这个域名的解析记录，发现是使用了 clo ...

阅读全文...

2024-06-17 · 阅读 1053 · 字数 954

晚上，我在排查一台服务器上 docker 拉取镜像奇慢无比的原因。感觉有点卡，本来以为是用海外跳板机网络不好的原因，随手 top 命令看了一下。我直接跪地，泪流满面 load average: 4.06, 4.02, 4.00 (4核服务器) %Cpu(s): 99.6 %CPU %MEM TIME+ COMMAND 397.7 29.6 11,28 kdevtmpfsi 未知进程跑满了 CPU，心想坏了莫非中了传说中挖矿木马！Google 了一下，果然是！ 那一刻，我顿感无颜见父老乡亲，没想到机智如我，也能中了挖矿木马。这真 TM 是程序员一生的耻辱，必将永世挂在生产 ...

阅读全文...

2022-12-12 · 阅读 2851 · 字数 414

今天偶然发现网站上几个文章的阅读量异常，几个小众的内容阅读量惊人。 怀疑是被恶意扫描了，于是查看了一下 Nginx access log 中的 IP 统计。 access.log IP 统计 今天的访问记录： $ awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 10 47121 103.148.58.45 804 66.249.79.239 540 66.249.79.241 422 209.159.145.46 422 162.241.123. ...

阅读全文...

2022-08-20 · 阅读 3887 · 字数 1003

没想到这个被黑系列这么快就要更新第三期 。。。 距离第二次被入侵才过两天，前公司网站再次被攻陷。 歹徒可能发现了首页代码被锁死，无法修改。这次利用了 kangle / easypanel 的漏洞，直接修改了 kangle 的账号密码，通过配置文件，将网站 301 重定向到了一个恶意站点。 kangle 漏洞 网上搜 kangle + easypanel 的漏洞不少，而且都是严重漏洞。 还是换成 apache / nginx 靠谱，早换早享受。 还是之前的观点，用这种国产 php 一键部署工具，加面板，都是给自己挖坑。 不要接手这种项目；万不得已，不得不接手，立马换掉这些渣渣玩意。 漏洞太多怎么 ...

阅读全文...

2022-08-19 · 阅读 4588 · 字数 590

昨晚九点被拉回前公司，解决一个 php 网站被黑的问题。 现象 网站首页被篡改成了澳门特色网站。 从代码看，只有 index.php 文件被修改。确切地说是被完全覆盖了。 而且触发的时机也非常有趣，都是下午 5：31 分左右，在你正好下班的时候触发。。。 排查的思路 首先过了一遍线上变化的文件。没有发现问题。 然后在上传目录 grep 了包含 php 关键字的图片及其他格式的文件。抽查了几个，也没有问题。而且历史悠久，不太可能潜伏这么久。都没有发现问题。 因为同一个服务器上还有其他的网站也被同样篡改了。怀疑是另一个项目里有恶意代码，然后扫全盘，修改 index.php。但这也是一个猜测，需 ...

阅读全文...

2024-09-07 · 阅读 3600 · 字数 466

今天在查看百度统计时，偶然发现两个奇怪的域名访问记录，这两个域名不是我当前网站的域名，即 www.sunzhongwei.com 而是两个垃圾域名： jqnbaz.club www.jqnbaz.club 但是，打开之后，可以看到，内容完全一致，实时同步。除了图片没有之外，因为我使用了七牛云的 CDN，设置了图片防盗链。 禁止这两个域名的访问 为了确定对方的镜像机制，我访问了一下对方的页面，同时 tail 查看我服务器上的 Nginx 日志。 13.125.220.1 - - [16/Jan/2021:10:46:48 +0800] "GET /using-thunderbolt ...

阅读全文...

2020-07-16 · 阅读 5045 · 字数 673

今天下午快下班时，同事收到阿里云的报警短信，大意是我们一个服务器被 DDOS 了，超过了免费的防御阈值，所以我们的服务器公网IP被打入黑洞，300 分钟后解封。。。 接手这个业务以来，从来没遇到过 DDOS 攻击，说明行业内素质还是比较高的。为啥突然就被 D 了呢？于是赶紧停掉了网站的百度推广，正准备排查攻击日志时，这时人力资源负责人来了，说： 公司网站是不是挂了。一个明天来面试的说把咱们网站打挂了。 。。。这是我见过最愚蠢的面试者。 如何快速从阿里云黑洞解封 IP 虽然攻击源头找到了，并停止了攻击。但是网站已经无法访问了。而且按照阿里云后台的提示，要等5个小时才能解封。这谁能等得起啊。 ...

阅读全文...

2020-02-24 · 阅读 4694 · 字数 277

雪球上看到谷歌 Play 商店下架了猎豹移动所有 Android 应用的消息，还挺震惊的。没想到 Google 这么有魄力。 广告流氓软件早晚要被清理出市场。 只是时间早晚问题。Facebook 和谷歌比较干脆，确实大快人心。这些骗广告费的行为确实可耻，而且严重伤害用户体验。 最近看同事还在用 Windows 7 的电脑，那电脑屏幕，平均一分钟弹出一个广告。既有 wps，2345 这种上市公司的客户端，也有不入流的小流氓软件。用电脑管家跟本解决不了，即便是火绒安全软件也只能拦截一小部分广告。希望有一天 Windows 10 可以内置一个公司黑名单，把乱弹广告的都消灭。 美股对于科技股没有盲目追 ...

阅读全文...

2019-11-19 · 阅读 5165 · 字数 242

我目前正在实现一个文件上传功能，用来接收客户上传文件，然后工作人员后台查看。 但是，我并不确定客户会上传什么格式的文件。 起初我想直接放开限制，即，不限制用户的上传文件格式。但总觉得不对劲，似乎没有看到过哪个网站允许随意上传文件格式。于是网上查了一下，发现这样做确实非常危险。 不限制文件格式的风险包含哪些 上传的 PHP 文件，拿到文件路径之后，允许直接执行。 文件名中包含相对路径的情况，例如，"../../etc/passwd"，如果不对文件名进行更改的化，可能覆盖系统文件。例如，/etc/passwd。 预防措施 自动生成文件名。不使用用户的文件名 设置文件类型白 ...

阅读全文...

2019-07-29 · 阅读 5503 · 字数 512

调用客户会员卡系统的一个接口，大概一秒钟一次的频率，每次调用了 140 次左右时，就会出现超时现象，持续一小时后，又恢复正常。 而在不断超时的这段时间内，使用其他服务器/开发机调用这个接口，又是正常的。只有我们的生产服务器有问题。 我第一反应是可能被服务端限速，或者被加了黑名单。 需要排查的点： 阿里云防火墙是否有相应的安全规则 客户的应用层是否有限速黑名单机制 跟客户公司的技术人员沟通了一下，排除了这两种可能。然后，对方电话跟我说是安装了安全狗。。。可能是这个软件有限速功能。而这个技术人员为了避免给自己找麻烦，拒绝修改安全狗配置。。。让我联系他们销售负责人修改。。。 好吧，(ˉ▽ˉ；). ...

阅读全文...

2019-03-26 · 阅读 10709 · 字数 281

电子签章，由电子印章和数字签名组成。 电子印章 视觉上的实现。就是把公章图片，PS 或后台合成到合同上，看上去跟纸质合同上的盖章一致。 但是，不具有防篡改的能力。 数字签名 用于防合同篡改。最简单的实现就是做本地 md5 hash。每次合同变更都会导致 md5 发生变化。 但是，现实中的实现通常是由三方权威机构提供的数字证书进行加密，及认证。主要是为了保证交易双方的平等关系。 电子签章云服务 看了一下阿里云上的电子签章 API 服务，主要有这么几家 法大大电子签章服务 e签宝电子签名签署服务 云章签章服务开发包 天安云签章SAAS服务 费用上基本都是一次 API 调用一块钱，完全是抢钱的节 ...

阅读全文...

2018-05-30 · 阅读 8477

今天来了一个假客户，目的是来推销他们的一款软硬件设备。 号称是某国内上市公司的分公司，名字就不说了，名气太大，怕被跨省追捕。最滑稽的是我一直关注这货的股价，以为是国内少有的良心公司，没想到是这个鸟样。 其效果是，在线下放置一个硬件设备，其几百米范围内路过的人，能拿到大概五成的联系方式。然后就可以有针对性的进行电话推销了。 原理很容易猜到，硬件设备提供中心地理位置，流氓app提供周边人群的地理位置，然后把偷偷收集的用户隐私数据，例如电话，姓名，年龄，职业等卖给需要的销售公司。前提这是一个高频使用的 app，否则很难做到后台实时获取地理位置。有哪些高频使用的 app，大家很容易猜到。 所以啊，对于 ...

阅读全文...

2017-04-08 · 阅读 12143

这个一个严重的安全问题。如果允许访问 .git 目录，那么打开你的网站，拼接出 .git/config 文件所在地址，会发现 config 文件立马被下载到了本地，如果你的密码写在了里面，恭喜你 https://accout:password@github.com/project ... 再或者，拼接出 .git/logs/HEAD 文件地址，会看到提交的信息。 解决办法 Nginx 上将 .git 目录禁止访问 location ~ /\.git { deny all; } 更彻底的方法，最好将所有的隐藏目录都禁用掉 # or, all . directories/files in ...

阅读全文...

2017-02-24 · 阅读 12062

目前维护的一套 ecshop 系统，由于使用的是 PHP 5.2 加之历史遗留代码安全意识淡薄，所以存在诸多 SQL 注入的隐患（大量拼接 SQL 字符串的行为）。而我入门 PHP 是通过 Laravel 官方教程开始的，没有写过原生 PHP SQL 查询，对如何规避 SQL 注入一无所知。 首先看一下 PHP 官方文档 mysql_query — Send a MySQL query This extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0. Instead, the MySQLi or P ...

阅读全文...

2020-01-11 · 阅读 22686 · 字数 1740

昨天同事发布新功能的时候，发现项目目录下多了两个新的目录。 /html /news 里面是随机字符串命名的 php 文件。看了代码的确不是我们写的，第一反应，我们被黑了! 第一时间的处理措施 排查 Nginx 日志，通过访问 html, news 目录定位可疑 IP, 然后通过历史 log 定位可疑文件 将恶意代码目录，可疑 gif 文件，及 Nginx 日志打包下载 删除恶意代码目录, 及 gif 文件 在阿里云防火墙上屏蔽到恶意 IP 确认是否还存在恶意访问 第二天早上8点又登录服务器确认了一下恶意请求是否还存在 123.126.113.91 - - [16/Feb/2017:16 ...

阅读全文...