安全

分类下相关文章

我的个人博客网站再次被恶意镜像,这次手段高明了许多

最近在看个人博客网站的百度统计时,经常看到一个奇怪的域名访问记录。 我自己的域名是 www.sunzhongwei.com 而这个奇怪的域名是 okinm.fun 我第一反应是,估计又被人做了网站镜像。之前在 2021 年发现过一次,这是当时的记录 📚网站第一次被恶意镜像。 💡 高明的 404 Not Found 但是,奇怪的是,我访问这个域名,无论是用 http 还是用 https,都是显示 404 错误,即访问的页面不存在。 为了以防万一,我又去我的服务器上的 Nginx 日志中排查了一下,也没有这个域名的请求记录。 同时通过 dig 命令查看了这个域名的解析记录,发现是使用了 clo ...

阅读全文...

程序员一生的污点,我部署的 docker 容器中了挖矿木马 kdevtmpfsi

晚上,我在排查一台服务器上 docker 拉取镜像奇慢无比的原因。感觉有点卡,本来以为是用海外跳板机网络不好的原因,随手 top 命令看了一下。我直接跪地,泪流满面 load average: 4.06, 4.02, 4.00 (4核服务器) %Cpu(s): 99.6 %CPU %MEM TIME+ COMMAND 397.7 29.6 11,28 kdevtmpfsi 未知进程跑满了 CPU,心想坏了莫非中了传说中挖矿木马!Google 了一下,果然是! 那一刻,我顿感无颜见父老乡亲,没想到机智如我,也能中了挖矿木马。这真 TM 是程序员一生的耻辱,必将永世挂在生产 ...

阅读全文...

网站被人用 sqlmap 工具恶意扫描

今天偶然发现网站上几个文章的阅读量异常,几个小众的内容阅读量惊人。 怀疑是被恶意扫描了,于是查看了一下 Nginx access log 中的 IP 统计。 access.log IP 统计 今天的访问记录: $ awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 10 47121 103.148.58.45 804 66.249.79.239 540 66.249.79.241 422 209.159.145.46 422 162.241.123. ...

阅读全文...

夜幕降临,第三次 php 网站被黑

没想到这个被黑系列这么快就要更新第三期 。。。 距离第二次被入侵才过两天,前公司网站再次被攻陷。 歹徒可能发现了首页代码被锁死,无法修改。这次利用了 kangle / easypanel 的漏洞,直接修改了 kangle 的账号密码,通过配置文件,将网站 301 重定向到了一个恶意站点。 kangle 漏洞 网上搜 kangle + easypanel 的漏洞不少,而且都是严重漏洞。 还是换成 apache / nginx 靠谱,早换早享受。 还是之前的观点,用这种国产 php 一键部署工具,加面板,都是给自己挖坑。 不要接手这种项目;万不得已,不得不接手,立马换掉这些渣渣玩意。 漏洞太多怎么 ...

阅读全文...

第二次 php 网站被黑的经历

昨晚九点被拉回前公司,解决一个 php 网站被黑的问题。 现象 网站首页被篡改成了澳门特色网站。 从代码看,只有 index.php 文件被修改。确切地说是被完全覆盖了。 而且触发的时机也非常有趣,都是下午 5:31 分左右,在你正好下班的时候触发。。。 排查的思路 首先过了一遍线上变化的文件。没有发现问题。 然后在上传目录 grep 了包含 php 关键字的图片及其他格式的文件。抽查了几个,也没有问题。而且历史悠久,不太可能潜伏这么久。都没有发现问题。 因为同一个服务器上还有其他的网站也被同样篡改了。怀疑是另一个项目里有恶意代码,然后扫全盘,修改 index.php。但这也是一个猜测,需 ...

阅读全文...

网站被恶意镜像

今天在查看百度统计时,偶然发现两个奇怪的域名访问记录,这两个域名不是我当前网站的域名,即 www.sunzhongwei.com 而是两个垃圾域名: jqnbaz.club www.jqnbaz.club 但是,打开之后,可以看到,内容完全一致,实时同步。除了图片没有之外,因为我使用了七牛云的 CDN,设置了图片防盗链。 禁止这两个域名的访问 为了确定对方的镜像机制,我访问了一下对方的页面,同时 tail 查看我服务器上的 Nginx 日志。 13.125.220.1 - - [16/Jan/2021:10:46:48 +0800] "GET /using-thunderbolt ...

阅读全文...

一次面试引发的阿里云服务器被 DDOS 事件

今天下午快下班时,同事收到阿里云的报警短信,大意是我们一个服务器被 DDOS 了,超过了免费的防御阈值,所以我们的服务器公网IP被打入黑洞,300 分钟后解封。。。 接手这个业务以来,从来没遇到过 DDOS 攻击,说明行业内素质还是比较高的。为啥突然就被 D 了呢?于是赶紧停掉了网站的百度推广,正准备排查攻击日志时,这时人力资源负责人来了,说: 公司网站是不是挂了。一个明天来面试的说把咱们网站打挂了。 。。。这是我见过最愚蠢的面试者。 如何快速从阿里云黑洞解封 IP 虽然攻击源头找到了,并停止了攻击。但是网站已经无法访问了。而且按照阿里云后台的提示,要等5个小时才能解封。这谁能等得起啊。 ...

阅读全文...

谷歌下架猎豹移动所有应用的启示

雪球上看到谷歌 Play 商店下架了猎豹移动所有 Android 应用的消息,还挺震惊的。没想到 Google 这么有魄力。 广告流氓软件早晚要被清理出市场。 只是时间早晚问题。Facebook 和谷歌比较干脆,确实大快人心。这些骗广告费的行为确实可耻,而且严重伤害用户体验。 最近看同事还在用 Windows 7 的电脑,那电脑屏幕,平均一分钟弹出一个广告。既有 wps,2345 这种上市公司的客户端,也有不入流的小流氓软件。用电脑管家跟本解决不了,即便是火绒安全软件也只能拦截一小部分广告。希望有一天 Windows 10 可以内置一个公司黑名单,把乱弹广告的都消灭。 美股对于科技股没有盲目追 ...

阅读全文...

是否需要对上传文件的格式进行限制,不限制是否有风险

我目前正在实现一个文件上传功能,用来接收客户上传文件,然后工作人员后台查看。 但是,我并不确定客户会上传什么格式的文件。 起初我想直接放开限制,即,不限制用户的上传文件格式。但总觉得不对劲,似乎没有看到过哪个网站允许随意上传文件格式。于是网上查了一下,发现这样做确实非常危险。 不限制文件格式的风险包含哪些 上传的 PHP 文件,拿到文件路径之后,允许直接执行。 文件名中包含相对路径的情况,例如,"../../etc/passwd",如果不对文件名进行更改的化,可能覆盖系统文件。例如,/etc/passwd。 预防措施 自动生成文件名。不使用用户的文件名 设置文件类型白 ...

阅读全文...

调用服务端接口被安全狗限速

调用客户会员卡系统的一个接口,大概一秒钟一次的频率,每次调用了 140 次左右时,就会出现超时现象,持续一小时后,又恢复正常。 而在不断超时的这段时间内,使用其他服务器/开发机调用这个接口,又是正常的。只有我们的生产服务器有问题。 我第一反应是可能被服务端限速,或者被加了黑名单。 需要排查的点: 阿里云防火墙是否有相应的安全规则 客户的应用层是否有限速黑名单机制 跟客户公司的技术人员沟通了一下,排除了这两种可能。然后,对方电话跟我说是安装了安全狗。。。可能是这个软件有限速功能。而这个技术人员为了避免给自己找麻烦,拒绝修改安全狗配置。。。让我联系他们销售负责人修改。。。 好吧,(ˉ▽ˉ;). ...

阅读全文...

电子签章

电子签章,由电子印章和数字签名组成。 电子印章 视觉上的实现。就是把公章图片,PS 或后台合成到合同上,看上去跟纸质合同上的盖章一致。 但是,不具有防篡改的能力。 数字签名 用于防合同篡改。最简单的实现就是做本地 md5 hash。每次合同变更都会导致 md5 发生变化。 但是,现实中的实现通常是由三方权威机构提供的数字证书进行加密,及认证。主要是为了保证交易双方的平等关系。 电子签章云服务 看了一下阿里云上的电子签章 API 服务,主要有这么几家 法大大电子签章服务 e签宝电子签名签署服务 云章签章服务开发包 天安云签章SAAS服务 费用上基本都是一次 API 调用一块钱,完全是抢钱的节 ...

阅读全文...

没事就申请地理位置权限的app是如何窃取我隐私并谋利的

今天来了一个假客户,目的是来推销他们的一款软硬件设备。 号称是某国内上市公司的分公司,名字就不说了,名气太大,怕被跨省追捕。最滑稽的是我一直关注这货的股价,以为是国内少有的良心公司,没想到是这个鸟样。 其效果是,在线下放置一个硬件设备,其几百米范围内路过的人,能拿到大概五成的联系方式。然后就可以有针对性的进行电话推销了。 原理很容易猜到,硬件设备提供中心地理位置,流氓app提供周边人群的地理位置,然后把偷偷收集的用户隐私数据,例如电话,姓名,年龄,职业等卖给需要的销售公司。前提这是一个高频使用的 app,否则很难做到后台实时获取地理位置。有哪些高频使用的 app,大家很容易猜到。 所以啊,对于 ...

阅读全文...

网站生产环境禁用掉 .git 目录的访问

这个一个严重的安全问题。如果允许访问 .git 目录,那么打开你的网站,拼接出 .git/config 文件所在地址,会发现 config 文件立马被下载到了本地,如果你的密码写在了里面,恭喜你 https://accout:password@github.com/project ... 再或者,拼接出 .git/logs/HEAD 文件地址,会看到提交的信息。 解决办法 Nginx 上将 .git 目录禁止访问 location ~ /\.git { deny all; } 更彻底的方法,最好将所有的隐藏目录都禁用掉 # or, all . directories/files in ...

阅读全文...

PHP mysql_query SQL 注入预防措施

目前维护的一套 ecshop 系统,由于使用的是 PHP 5.2 加之历史遗留代码安全意识淡薄,所以存在诸多 SQL 注入的隐患(大量拼接 SQL 字符串的行为)。而我入门 PHP 是通过 Laravel 官方教程开始的,没有写过原生 PHP SQL 查询,对如何规避 SQL 注入一无所知。 首先看一下 PHP 官方文档 mysql_query — Send a MySQL query This extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0. Instead, the MySQLi or P ...

阅读全文...

一次 PHP 网站被黑的经历

昨天同事发布新功能的时候,发现项目目录下多了两个新的目录。 /html /news 里面是随机字符串命名的 php 文件。看了代码的确不是我们写的,第一反应,我们被黑了! 第一时间的处理措施 排查 Nginx 日志,通过访问 html, news 目录定位可疑 IP, 然后通过历史 log 定位可疑文件 将恶意代码目录,可疑 gif 文件,及 Nginx 日志打包下载 删除恶意代码目录, 及 gif 文件 在阿里云防火墙上屏蔽到恶意 IP 确认是否还存在恶意访问 第二天早上8点又登录服务器确认了一下恶意请求是否还存在 123.126.113.91 - - [16/Feb/2017:16 ...

阅读全文...