不过真被入侵,却又点背短信被阻塞那就没法子了。 回复【3楼】rainyss
本坛最大的标题党出现了
-----------------------------------------------------------------------
支持,最高级的leader成为标题党 呵呵,支持,最高级的leader成为标题党 短信附带上时间不就好了。。加上时间用户IP就登录时候没有通知了 看了标题吓一跳,原来是虚惊一场啊!!! 后来查明是什么人入侵的了么?
抓住一定不能轻饶…… 老大要小心,或者这只是试探性的
可能隐藏着更深的阴谋~~~~ 虚惊一场,呵呵 mark 这个发送短信需要外部设备吧? 短信延时在节假日发祝福短信的高峰期经常遇到 短信的实时性是非常不可靠的 回复【16楼】armok 阿莫
-----------------------------------------------------------------------
不是已经查出来了吗?
原来报警的短信是晚上23点发出时,不知道什么原因,竟然卡在移动公司里,4个小时后才发给我。 (我在23点睡觉前进入过系统)。
-----------------------------------------------------------------------
呵呵,我理解能力差。再加上看帖不仔细。
原来是合法访问的短信被延迟了4个小时才发出……
看来以后每次访问后,要记得看看是否收到了警告短信。 阿莫以后尝试用以太网电源管理设备去开关服务器电源。 惊悚片+故事片+悬念剧+喜剧+闹剧=《深夜入侵》 如果老大用的是品牌服务器,其实可以用远程控制卡之类的。比如HP的iLO,我们用的非常好。可以远程重启、开关机、甚至有类似于远程桌面的功能。 短信延时一般在24小时之内,可以考虑在内容里加上一个字节用于表示发短信的时间,比如用a-x之间的24个字符,表示当前时间,就可以精确到1小时了,如果使用a-x,A-X,就有48个字符范围,可以精确到半小时(a表示0:00-0:30,b表示0:30-1:00...x表示11:30-12:00...X表示23:30-0:00)。这样虽然看起来费劲点,但是用一个字节换取时间信息,还是值得的。 建议用SSH证书登录,把密码登录关掉,会安全很多。
不过大多数入侵都不会直接登录系统,而是利用各种漏洞在目标系统植入木马并且提升权限,所以入侵触发远程登录报警的几率是非常低的。 逢年过节提前几天发短信是有必要的 在学校经常会短信延迟,而且是正好一个小时,一分钟也不差.不明原因... 报警短信内容中加入报警时间就可以避免这种意外,
但是不可避免的是,实时性不好,
真有入侵者,闪了4h后,才报警,黄花菜都凉了-_- 回复【28楼】armok 阿莫
回复【27楼】gzhuli 咕唧霖
建议用ssh证书登录,把密码登录关掉,会安全很多。
不过大多数入侵都不会直接登录系统,而是利用各种漏洞在目标系统植入木马并且提升权限,所以入侵触发远程登录报警的几率是非常低的。
-----------------------------------------------------------------------
我们不单在登录时发报警,在线时也会发的。
-----------------------------------------------------------------------
在线的定义是什么?举例说常见的Web入侵手法,首先是在Web应用上找到漏洞,例如SQL注入,然后利用某些数据库的shell执行能力来运行注入的木马,此时木马的身份是数据库的子进程,然后木马再利用系统漏洞提升权限,这种情况算“在线”吗?这个不改内核是无法监测的。
大部分直接在页面中嵌入数据库操作的程序,SQL注入的风险是非常高的。为什么老说PHP不安全,很大原因是大部分PHP程序员的风格就是直接在页面里面写SQL且疏于对传入参数的检查。当然,PHP本身链接了大量的第三方库也是其高风险之一。 在短信里加个时间标签吧, 不用拔电源,拔网线就行吧 回复【35楼】gongnn魔法师
不用拔电源,拔网线就行吧
-----------------------------------------------------------------------
如果真的被侵.此时已有破坏脚本在后台运行.拔网线没用. 短信和GPRS都是民用的吧,用在这里不能保证可靠性哦。
我看了标题,第一感觉就是最近的那个造假公司来捣乱来了,老大要小心了。 回复【35楼】gongnn 魔法师
不用拔电源,拔网线就行吧
-----------------------------------------------------------------------
你还没见过狠的,入侵后直接植入内核模块,隐藏木马进程和文件,接着后门大开……
然后你进入系统,看了一圈没发现异常,插上网线回去睡觉,一台肉鸡就此诞生。
我曾经帮人处理过一台Linux服务器,就是这个状况,进去看系统一切正常,但硬防火墙检测到不正常的流量,而系统找不到对应的端口占用。后来用Live CD进去才发现,所有/bin和/sbin下面的文件都被改过了,在原系统运行ls,ps,netstat这些命令看到的结果全是动过刀的。
所以系统怀疑被入侵后,安全的做法是启动一个独立的系统(WinPE或Linux Live CD),然后对系统关键文件做一次MD5校验…… 短信的文字长短有限制,我们用于显示更重要的信息的。
-----------------------------------------------------------------------
加一个确认功能就好了,就像笑话里的,老公问一句:“你在哪里?”,有正确回应就解决问题了 真正的高手会绕过报警直接进入系统。 呵呵,竟有这事 每条短信后都是发信时间的,不会这个也被延时了吧? 老大被搞怕了。 短信延时是经常发生的。以前给移动做设备的报警监控的时候,也是用的短信报警,短信丢失,延时几个小时的情况经常发生。 我边上的leader睡的像头死猪,好好笑啊! 回复【楼主位】armok 阿莫
kao! 看来有人非法闯入了我们的系统了。 我们的系统目前我可以用“固若金汤”来形容,能侵入我们系统的一定非等闲之辈。虽然我们已经挖了许多陷阱捕捉入侵者,但保护我们的服务器更重要, 我打电话给电信机房通宵值班的人员, 让他们将我们所有的服务器(六台)的电源立即全部拨掉!
-----------------------------------------------------------------------
如果是我就会让他们只吧网线拔掉,断了电许多状态就没有了,不利于追踪元凶。 短信内容里面要加上发送时间啊 节日期间短信延时很严重,还是不保险啊 单单看题目,就有种山雨欲来的感觉,看到后面类省略号,更有种引人入胜之感,看了故事前面,感觉故事必定曲折离奇,哈哈哈....最妙的是后面的 笑话......前后呼应,真是一篇好文章,哈哈哈 回复【32楼】gzhuli咕唧霖
在线的定义是什么?举例说常见的Web入侵手法,首先是在Web应用上找到漏洞,例如SQL注入,然后利用某些数据库的shell执行能力来运行注入的木马,此时木马的身份是数据库的子进程,然后木马再利用系统漏洞提升权限,这种情况算“在线”吗?这个不改内核是无法监测的。
大部分直接在页面中嵌入数据库操作的程序,SQL注入的风险是非常高的。为什么老说PHP不安全,很大原因是大部分PHP程序员的风格就是直接在页面里面写SQL且疏于对传入参数的检查。当然,PHP本身链接了大量的第三方库也是其高风险之一。
-----------------------------------------------------------------------
关于 PHP,那是因为国内程序员普遍不思进取,不会用 PDO,更不习惯用字段绑定变量
不考虑这种情况的话,PHP 本身的性能仍然是相当有优势的
另外,即使如此,只要认真规划数据库权限,或者在数据库的 Proxy 上做点处理,禁止查询中出现不当关键词序列,就可以完全避免这类问题
最后,即使发生了 SQL 注入,稍微正常一点的数据库构架也不会允许普通用户进程有 shell 权限的
对于不足总数十万分之一的极高明的攻击者来说,可能随便任何一点漏洞都能利用来进行完整的入侵,但对于剩下的十万分之九万九千九百九十九,其实能攻入系统,更需要的是一系列漏洞的同时出现和相互配合 照这个速度,4小时后才知道,人家都给你硬盘低格好几次了。 回复【38楼】gzhuli咕唧霖
回复【35楼】gongnn 魔法师
不用拔电源,拔网线就行吧
-----------------------------------------------------------------------
你还没见过狠的,入侵后直接植入内核模块,隐藏木马进程和文件,接着后门大开……
然后你进入系统,看了一圈没发现异常,插上网线回去睡觉,一台肉鸡就此诞生。
我曾经帮人处理过一台linux服务器,就是这个状况,进去看系统一切正常,但硬防火墙检测到不正常的流量,而系统找不到对应的端口占用。后来用live cd进去才发现,所有/bin和/sbin下面的文件都被改过了,在原系统运行ls,ps,netstat这些命令看到的结果全是动过刀的。
所以系统怀疑被入侵后,安全的做法是启动一个独立的系统(winpe或linux live cd),然后对系统关键文件做一次md5校验……
-----------------------------------------------------------------------
这点上,确实 Linux 有相当的不足(Windows 就不考虑了……)
如果是 BSD 系统,哪怕在最坏的情况下(入侵者已经夺取了 root 权限,并开了一个不受监控的远程控制台),也可以通过 securelevel 和 user defined flags 的配合,阻止任何安装 rootkit 的尝试,这样,哪怕入侵者留下后门,也只能经由相对麻烦和不稳妥的方式,也至少能保证,只要不启动任何定制 daemon,在本地控制台登录的 root 用户得到的一定是一个干净的系统(虽然 daemon 的数据和程序都不能确定安全) 用GPRS搞个报警模块好了,实时性强。 如果在短信内容中增加个时间应该不难吧? 最近几年还好,前几年这个短信延迟,能把人害死。。。 阿莫的服务器果然强大啊,{:smile:} 报警电话拨通以后说什么啊 弄一个远程控制断开服务器电源的吧,以后再出现这种事,直接远程控制就行了,控制完继续睡大觉,该干嘛干嘛 感觉像我的防盗系统一样,半夜报警触发也要爬起来查看,结果是小动物
页:
[1]