|
|
Mình có đọc qua 2 file bạn gửi, có tí góp ý như sau:
- Với file .htaccess bạn có thể cấu hình deny all, chỉ allow ip VN.
- Về logs file, đại đa số IP từ logs xuất phát từ TQ, các IP này mình search 1 số thì nhận thấy có thể "đối thủ" của bạn sử dụng proxy để flood (Từ 1 server nào đó, sử dụng đống proxy để flood). Để biết IP thật từ đâu, bạn thử bật X-Forwarded-For trong logs lên để detect (nếu bạn dùng server riêng).
Có khó khăn gì thì pm nick yahoo mình: wm@yahoo.com">xwm@yahoo.com.
|
|
|
Tại sao "kẻ xấu" có thể bypass một cách nhanh chóng thì bạn phải đăỵ mình vào vị trí của thằng đó chứ. Theo tớ nghĩ có thể rule của bạn chưa mạnh: có thể sử dụng recapcha, xác minh account bằng email, phone mới được post bài, hạn chế số lượng post trên 1 account....
|
|
|
Mô hình nhìn chung thế này bạn
1. Nếu lượng truy cập bình thường : client <-> webserver
2. Khi bị ddos hoặc lượng truy cập tăng cao: client <-> server trung gian <-> webserver
server trung gian mình nói cho dễ hình dung chứ thật ra có thể đó là 1 proxy hay 1 loadbalancer service nhận nhiệm vụ kiểm tra và phân tán luồng dữ liệu. Bạn có thể tìm hiểu thêm : ha, nginx, zendloadbalancer...
|
|
|
Theo tớ có một số giải pháp như sau:
- Thay đổi port mặc định của remote desktop (3389) hoặc chỉ cho remote từ các nguồn IP chỉ định (VPN chẳng hạn)
- Chặng range IP của nguồn brute force, tham khảo: http://www.cm3solutions.com/block-ip-address-ip-range-using-windows-firewall/
|
|
|
Bạn gửi 1 số site bị chèn lên mình xem thử.
|
|
|
Hì theo kinh nghiệm của tớ thì để đánh giá mức độ không an toàn thì cậu phải có mốc an toàn. Ví dụ: Cậu phải xác định được hằng ngày số connect port 80 vào khoảng bao nhiêu, server load bao nhiêu, io bao nhiêu...Qua hình thì tớ thấy cũng bình thường, không thấy dấu hiệu của ddos hay flood
|
|
|
Giờ hỏi bác lỗi rồi chẫn đoán nữa thì mất thời gian lắm. Hì.
Có gì bạn email cho mình (xwm@yahoo.com), set cái thời gian mình Teamview xem cho bạn nhé.
|
|
|
Shell này theo bạn nói thì hay con gọi là web shell, chủ yếu viết bằng php, ngoài ra còn các ngôn ngữ khác như asp, perl, python...Web shell cách đây 2-3 năm chủ yếu phục vụ cho mục đích local attack (hack các website cùng server) của attacker. Hầu như các HP hiện nay đã fix hơn 90-99% bug này.
Vì vậy để upload web shell thì bạn có thể upload bằng cách upload thông thường như các code bình thường khác (ftp, web control...)
Việc upload lên "your site" hay victim thì bạn chịu khó tìm hiểu thêm trên internet (Các web shell thông dụng như : c99.php, r57.php)
p/S: Hình như sai box
|
|
|
Đây là một số công cụ - mì ăn liền cho bạn tìm hiểu cũng như vọc phá (Nên chạy trên máy ảo vì đại đa số dính em bé): http://resources.infosecinstitute.com/dos-attacks-free-dos-attacking-tools/
|
|
|
Bạn mặc định allow port 80 trong iptables luôn nhé.
|
|
|
phuongtnotv wrote:
Các anh giúp em nguyên nhân với , ngày nào cũng nhận được mail báo lỗi thế này
Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock'
Bạn xem thêm error log của mysql để biết lỗi cụ thể do đâu nhé. Không thì post lên để mọi người xem giúp.
|
|
|
- Bạn download plugin: dpnginxda hoặc danginx về tham khảo scripts trong đó (không khó nếu bạn đọc từ từ, đừng đọc lướt).
Căn bản là như này
- Apache sẽ chạy sang port 8080, nginx sẽ chạy 80 (frontend) nên trước hết cần dùng lệnh sed hoặc find để replace tất cả 80 -> 8080 trong file virtualhost có sẳn của apache.
- Tạo templates cho file virtualhost nginx để khi mặc định tạo user nó sẽ dùng templates này.
- Bla bla
Nói chung bạn cứ làm, nếu có lỗi hoặc cần tài liệu gì thì reply lại để mọi người hỗ trợ (Cần tớ cài null DA cho test ) chứ không ai ngồi làm cho cậu từ a - z đâu.
|
|
|
- Cloudlinux sử dụng LVE (Lightweight Virtual Environments) để phân phát và giới hạn tài nguyên dùng (RAM, CPU, NUMBER PROCCESS) cho các USER. Ví dụ bạn sử dụng share hosting sử dụng Cloudlinux bạn sẽ được cung cấp 1 số lượng RAM, PROCESS nhất định, nếu vượt qua ngưỡng đó -> lỗi 500 hoặc 508, điều này giúp các HP (Hosting Provider) hạn chế mức độ ảnh hưởng từ các site hay bị ddos, các site sử dụng tài nguyên cao (phim. leech) trên server...
- Nếu bạn là ngừoi quản trị server ở mức độ vừa phải, ít user trên server thì không nên sử dung CLN vì có thể gây phí tài nguyên, kinh phí duy trì license... Bạn có thể dùng 30 ngày miễn phí để test tại trang chủ.
|
|
|
1. Nếu bạn dùng rule : SecDefaultAction "phase:2,deny,log,status:404"
thì tất nhiên xảy ra lỗi 404 NOT FOUND thì đúng rồi, để chắc chắn mod_sec hoạt động bạn thay thành :SecDefaultAction "phase:2,deny,log,status:406", nếu truy cập xuất liện lỗi: 406 not acceptable thì mod_sec của cậu đã hoạt động. (Khuyên bạn nên dùng HTTP status codes: 406 để dễ quản lý và tránh nhầm lẫn)
2. Deny ip Trung Quốc thì bạn nên dùng iptables deny theo range cho nó nhẹ.
3. Để tránh brute force các link login admin bạn có thể dùng các plugin đính kèm của joomla, wp, vbulletin... Nếu dùng mod_sec bạn có thể tham khảo link này:
http://halfelf.org/2013/wp-login-protection-modsec/
|
|
|
Không biết bạn hỏi với mục đích là nghiên cứu hay hỏi về local attack nữa
1. Theo tớ biết thì thì hosting trên là Directadmin, thường enable chức năng này để khách hàng nếu trỏ tên miền về mà DNS chưa cập nhập thì dùng IP/~user. Để disable thì cậu có thể sửa cấu hình apache (nhớ là dòng : AliasMatch) hoặc mod_security...
2. Vấn đề view /etc/password cậu nên xem lại các bài viết về phân quyền, phân quyền thì đọc được hay không, edit được hay không... chứ sao lại cũng 1 file /etc/password mà root đọc 1 đường, user đọc ra 1 nẻo.
|
|
|
- Xem lại phân quyền /home/user coi đúng chưa
- Bạn chạy PHP handler nào, nếu sử dụng suphp thì bạn nên chú ý lại phân quyền : 0755 cho folder và 0644 cho file:
find /home/username/public_html -type d -exec chmod 755 '{}' \;
find /home/username/public_html -type f -exec chmod 644 '{}' \;
find /home/username/www -type d -exec chown username:username '{}' \;
find /home/username/www -type f -exec chown username:username '{}' \;
|
|
|
Bạn sử dụng source gì (wp, joomla, opencart...) để mình tư vấn cấu hình cho.
|
|
|
Bạn search với từ khoá: Virtualisierungslösungen für den Enterprise-Bereich pdf hình như có.
Theo tớ bỏ tiền mua sẽ có hứng đọc và nghiên cứu hơn. Hì.
|
|
|
Nguyên nhân theo tớ thấy có thể có quá nhiều tiến trình apache -> cậu xem logs coi phải bị DDOS hay không
|
|
|
- Cái này chắc upload qua control trong administrator luôn anh quanta. Vì upload các modules, plugin, ảnh thì cần chmod các folder có quyền ghi như templates, images.
- Joomla thì bạn nên upgrade lên các phiên bản mới nhất, đặt password cho các folder quan trọng (htpasswd), chmod đúng cấu hình nhà cung cấp đề nghị
- Nên tìm hiểu rỏ về code cũng như lỗi các plugin mình chuẩn bị cài đặt, nên backup thường xuyên.
|
|
|
Bạn xác định cấu hình cái gì trên đó rồi trước tiên search trên HVA (mình thấy đầy đủ từ căn bản đến nâng cao), sau nữa thì google, còn nếu gặp khó khăn gì ( bí lắm ) thì post lên mọi người giúp đở cậu.
|
|
|
Mình thấy file cấu hình php-fpm bạn ok rồi. Bạn kiểm tra lại xem php-fpm coi có đang chạy không (service php-fpm status).
Nếu đang chạy mà vẫn báo lỗi bạn thử thay bằng đoạn này:
location ~ \.php$ {
root /home/admin/domains/domain.com/public_html/;
index index.php index.html index.htm;
fastcgi_pass php;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
Có thắc mắc bạn liên hệ với mình qua email root@xgr0up.net cho tiện nhé.
|
|
|
Bạn mở cấu hình php-fpm (thường nằm /etc/php-fpm.d) lên tìm dòng
listen = bla bla
thay bằng :
listen = /tmp/php-fpm.sock
Nếu vẫn không được bạn gửi mình xem file config của nginx.conf và php-fpm.conf (hoặc www.conf ) .
|
|
|
Nếu bạn sử dụng share host thì việc triển khai việc này là rất khó hoặc không thể. Vì vấn này liên quan đến việc cấu trên hệ thống nữa.
Nếu bạn dùng vps hoặc server thì bạn có thể tham khảo ý kiến của bạn consoko.
|
|
|
Bạn kiếm socks hoặc proxy khác VN rồi add vào firefox là xong mà.
|
|
|
Bạn thử download source + database về sau đó dùng KIS hoặc AVAST thử xem. Nếu trường hợp dính webshell
thì có thể search với các từ khoá như : base64_decode...
|
|
|
Bạn xem lại coi có dinh .htaccess không. Hoặc phân quyền các thư mục chưa đúng.
|
|
|
Không biết có liên quan đến vụ này không
root:root@72.8.12.162 ,,,,,,,,,,,,,,,|`PP111111b,|111
root:root@186.1.79.248 loginfailed:pleaseentercorrectusernameandpassword
root:root@149.125.248.12 Sorry,telnetisnotallowedonthisport!
root:root@186.33.91.35 loginfailed:pleaseentercorrectusernameandpassword
root:root@75.112.144.236 Pleaselogin:
root:root@220.136.123.106 Pleaselogin:
root:root@74.39.216.85
root:root@78.138.250.220 loginfailed:pleaseentercorrectusernameandpassword
root:root@209.40.215.242 loginfailed:pleaseentercorrectusernameandpassword
root:root@64.31.7.128 AuthUser/PasswithPS...fail...Pleasereconnect!.
root:root@5.2.1.144 loginfailed:pleaseentercorrectusernameandpassword
root:root@46.44.101.215
root:root@188.248.207.79 loginfailed:pleaseentercorrectusernameandpassword
root:root@108.58.23.42 ,,,,,,,,,,,,,,,|`PP111111b,|111
root:root@24.238.107.229 Pleaselogin:
root:root@31.214.44.11 loginfailed:pleaseentercorrectusernameandpassword
root:root@186.33.120.127 loginfailed:pleaseentercorrectusernameandpassword
root:root@186.1.122.64 loginfailed:pleaseentercorrectusernameandpassword
root:root@209.40.212.125 loginfailed:pleaseentercorrectusernameandpassword
root:root@189.57.91.117 BusyBoxv1.01(2006.12.06-11:11+0000)Built-inshell(ash)Enter'help'foralistofbuilt-incommands.
root:root@208.115.195.90 AuthUser/PasswithPS...fail...Pleasereconnect!.
root:root@5.102.4.157 loginfailed:pleaseentercorrectusernameandpassword
root:root@78.35.231.254 [4h
root:root@24.119.119.162 ,,,,,,,,,,,,,,,|`PP111111b,|111
root:root@188.135.169.66 loginfailed:pleaseentercorrectusernameandpassword
root:root@108.162.40.58 ,,,,,,,,,,,,,,,|`PP111111b,|111
root:root@146.251.25.194 loginfailed:pleaseentercorrectusernameandpassword
root:root@46.184.15.203 loginfailed:pleaseentercorrectusernameandpassword
|
|
|
sodonlet wrote:
Xin chào các anh em trong diễn đàn HVA,em đang cài đặt TCPDUMP cho Centos 6.3 mà không biết cài đặt thế nào,anh em nào biết cách cài đặt thì hướng dẫn em cài với,em xin chân thành cám ơn.
Thấy bạn nói mà mâu thuẩn quá. Hì.
Nếu bạn đang cài thì bị lỗi chổ nào, cài bằng gì (yum hay từ gói ?)??
|
|
|
conmale wrote:
Đọc kỹ cái này:
http://au2.php.net/manual/en/install.unix.php
Vâng cảm ơn chú, do thiếu mấy thư viện. Xong rồi
|
|
|
|
|
|
|