本文目录一览:
Linux web服务器被入侵
你这种问题很难回答的,只能给你简单答一下。
1、怎么入侵的
你的是服务器,架上internet上,大家都可以访问。服务器为了方便别人访问,总会开启一些服务如http, ftp, ssh等等。黑客可以利用服务本身的漏洞或者套取密码(暴力破解、字典破解各种方式)获取一个有效的可以登录的用户,如果正好是root用户被破解,那你的机器就完全被他控制了。
2、文件是怎么放进来的?
获取到用户后,可以利用wget,或者sftp,ftp等各种方式把文件传进来。
3、如何防御?
这个最难回答,防御比进攻难。
你说开启了iptables, selinux,但是你有好好设置吗?
关掉不必要的端口减少被攻击的可能性;
经常更新你的系统,新的软件漏洞更少;
各种服务程序不要用root用户运行,免得黑客轻易利用程序问题获取root权限;
还有很多其它 *** , *** 安全和黑客性质一样,你要知道怎么攻击别人,你就会防御了。
现在你更好是先把服务器下线,处理好后再上线,免得在处理过程中受黑客干扰。
如何攻击 Linux2.6 内核中发现了四处安全漏洞
感兴趣吧,Linux内核漏洞几乎都是在已经修复挺长时间之后并且已经有稳定更新放出来了才有人能出来攻击算法。以前有过漏洞被发现20分钟就放出内核补丁,2个小时Redhat放出官方内核升级……
iptables智能限速
*** 现状:允许所有的数据通信。 *** 可管理,需手动进行。租用的线路 *** 是2M,上传512K。
目的:达到 *** 检测的自动化,智能管理,保证 *** 畅通无阻塞。
*** :根据IP地址进行数据包分析,通过脚本实现
要求:充分利用带宽,对合理数据需要通过,不合理数据通信进行拒绝。
一:现在 *** 存在以下弊端
P2P类软件主要有:
下载类工具:迅雷,TT,Flashget, *** , 电骡,youtub……。
*** 工具:PPLIVE ,PPS,沸点,酷我音乐盒,酷狗音乐……。
1.用户下载过程若不用P2P下载,速度相对较慢。
网内若运行P2P下载软件,没有及时关闭,数据上传功能会耗尽上传带宽,导致整个 *** 速度变慢。
2.现在检测 *** 的 *** 是每天上班时间定时检查四次,将 *** 状态发信到管理员信箱,
管理 *** :发现 *** 异常后,分析通信的数据,逐步筛选,一步步定位到通信量较大的IP,整个过程用时较长。
二: *** 管理常用的 ***
1.对端口进行限制。
通过对端口进行封闭,来达到屏蔽P2P软件的目的。
*** 存在问题:
通过 *** 可绕过限制。
P2P软件很多,需知道每个软件所使用的端口号并逐个进行屏蔽。
P2P软件越来越智能,可以自定义端口号,通过UPnp技术可以使用允许的端口进行上传下载。
2.分析通信协议和数据包大小
通过对 *** 进行查看,得到以下结论:
*** 变慢的原因大部分是由于P2P软件在运行。
P2P软件通信有一个共性:使用UDP协议,且每秒钟发送的数据包都很大(每个数据包大小均超过100)每秒发送10个以上。
方案:
现在使用第二种方式,通过分析数据包协议和大小进行限制,对内网,校网间的通信进行允许策
更多详情请咨询:【中华隐士黑客联盟】
防御DDoS攻击的几种好用的方式
随着Internet互联 *** 带宽的增加和多种DDoS黑客工具的不断发布,DDoS拒绝服务攻击的实施越来越容易,DDoS攻击事件正在成上升趋势。出于商业竞争、打击报复和 *** 敲诈等多种因素,导致很多IDC托管机房、商业站点、游戏服务器、聊天 *** 等 *** 服务商长期以来一直被DDoS攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决DDoS攻击问题成为 *** 服务商必须考虑的头等大事。
DDoS是英文Distributed Denial of Service的缩写,意即分布式拒绝服务,那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常 *** 服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常 *** 资源的访问,从而达成攻击者不可告人的目的。
虽然同样是拒绝服务攻击,但是DDoS和DOS还是有所不同,DDoS的攻击策略侧重于通过很多僵尸主机(被攻击者入侵过或可间接利用的主机) 向受害主机发送大量看似合法的 *** 包,从而造成 *** 阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击 *** 包就会犹如洪水般涌向受害主机,从而把合法用户的 *** 包淹没,导致合法用户无法正常访问服务器的 *** 资源,因此,拒绝服务攻击又被称之为洪水式攻击。
常见的DDoS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致 *** 栈失效、系统崩溃、主机死机而无法提供正常的 *** 服务功能,从而造成拒绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言,危害较大的主要是DDoS攻击,原因是很难防范,至于DOS攻击,通过给主机服务器打补丁或安装防火墙软件就可以很好地防范,后文会详细介绍怎么对付DDoS攻击。三、被DDoS了吗?
DDoS的表现形式主要有两种,一种为流量攻击,主要是针对 *** 带宽的攻击,即大量攻击包导致 *** 带宽被阻塞,合法 *** 包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供 *** 服务。
当然,这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽,否则可采取Telnet主机服务器的 *** 服务端口来测试,效果是一样的。不过有一点可以肯定,假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的,突然都Ping不通了或者是严重丢包,那么假如可以排除 *** 故障因素的话则肯定是遭受了流量攻击,再一个流量攻击的典型现象是,一旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。
相对于流量攻击而言,资源耗尽攻击要容易判断一些,假如平时Ping网站主机和访问网站都是正常的,发现突然网站访问非常缓慢或无法访问了,而 Ping还可以Ping通,则很可能遭受了资源耗尽攻击,此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ESTABLISHED很少,则可判定肯定是遭受了资源耗尽攻击。
还有一种属于资源耗尽攻击的现象是,Ping自己的网站主机Ping不通或者是丢包严重,而Ping与自己的主机在同一交换机上的服务器则正常,造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令,其实带宽还是有的,否则就Ping不通接在同一交换机上的主机了。
当前主要有三种流行的DDoS攻击:
1、SYN/ACK Flood攻击:这种攻击 *** 是经典最有效的DDoS *** ,可通杀各种系统的 *** 服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK 包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。
少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态,大量的这种攻击会导致Ping失败、TCP/IP栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。
2、TCP全连接攻击:这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的,殊不知很多 *** 服务程序(如:IIS、Apache等Web服务器)能接受的TCP连接数是有限的。
一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此容易被追踪。
3、刷Script脚本攻击:这种攻击主要是针对存在ASP、 *** P、PHP、CGI等脚本程序,并调用MSSQLServer、 MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击 *** 。
一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过 Proxy *** 向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务。
常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Proxy *** 就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址。