分类下相关文章
2024-09-07 · 阅读 532 · 字数 1145
最近在看个人博客网站的百度统计时,经常看到一个奇怪的域名访问记录。 我自己的域名是 www.sunzhongwei.com 而这个奇怪的域名是 okinm.fun 我第一反应是,估计又被人做了网站镜像。之前在 2021 年发现过一次,这是当时的记录 📚网站第一次被恶意镜像。 💡 高明的 404 Not Found 但是,奇怪的是,我访问这个域名,无论是用 http 还是用 https,都是显示 404 错误,即访问的页面不存在。 为了以防万一,我又去我的服务器上的 Nginx 日志中排查了一下,也没有这个域名的请求记录。 同时通过 dig 命令查看了这个域名的解析记录,发现是使用了 clo ...
2024-06-17 · 阅读 892 · 字数 954
晚上,我在排查一台服务器上 docker 拉取镜像奇慢无比的原因。感觉有点卡,本来以为是用海外跳板机网络不好的原因,随手 top 命令看了一下。我直接跪地,泪流满面 load average: 4.06, 4.02, 4.00 (4核服务器) %Cpu(s): 99.6 %CPU %MEM TIME+ COMMAND 397.7 29.6 11,28 kdevtmpfsi 未知进程跑满了 CPU,心想坏了莫非中了传说中挖矿木马!Google 了一下,果然是! 那一刻,我顿感无颜见父老乡亲,没想到机智如我,也能中了挖矿木马。这真 TM 是程序员一生的耻辱,必将永世挂在生产 ...
2022-12-12 · 阅读 2645 · 字数 414
今天偶然发现网站上几个文章的阅读量异常,几个小众的内容阅读量惊人。 怀疑是被恶意扫描了,于是查看了一下 Nginx access log 中的 IP 统计。 access.log IP 统计 今天的访问记录: $ awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 10 47121 103.148.58.45 804 66.249.79.239 540 66.249.79.241 422 209.159.145.46 422 162.241.123. ...
2022-08-20 · 阅读 3590 · 字数 1003
没想到这个被黑系列这么快就要更新第三期 。。。 距离第二次被入侵才过两天,前公司网站再次被攻陷。 歹徒可能发现了首页代码被锁死,无法修改。这次利用了 kangle / easypanel 的漏洞,直接修改了 kangle 的账号密码,通过配置文件,将网站 301 重定向到了一个恶意站点。 kangle 漏洞 网上搜 kangle + easypanel 的漏洞不少,而且都是严重漏洞。 还是换成 apache / nginx 靠谱,早换早享受。 还是之前的观点,用这种国产 php 一键部署工具,加面板,都是给自己挖坑。 不要接手这种项目;万不得已,不得不接手,立马换掉这些渣渣玩意。 漏洞太多怎么 ...
2022-08-19 · 阅读 4341 · 字数 590
昨晚九点被拉回前公司,解决一个 php 网站被黑的问题。 现象 网站首页被篡改成了澳门特色网站。 从代码看,只有 index.php 文件被修改。确切地说是被完全覆盖了。 而且触发的时机也非常有趣,都是下午 5:31 分左右,在你正好下班的时候触发。。。 排查的思路 首先过了一遍线上变化的文件。没有发现问题。 然后在上传目录 grep 了包含 php 关键字的图片及其他格式的文件。抽查了几个,也没有问题。而且历史悠久,不太可能潜伏这么久。都没有发现问题。 因为同一个服务器上还有其他的网站也被同样篡改了。怀疑是另一个项目里有恶意代码,然后扫全盘,修改 index.php。但这也是一个猜测,需 ...
2024-09-07 · 阅读 3386 · 字数 466
今天在查看百度统计时,偶然发现两个奇怪的域名访问记录,这两个域名不是我当前网站的域名,即 www.sunzhongwei.com 而是两个垃圾域名: jqnbaz.club www.jqnbaz.club 但是,打开之后,可以看到,内容完全一致,实时同步。除了图片没有之外,因为我使用了七牛云的 CDN,设置了图片防盗链。 禁止这两个域名的访问 为了确定对方的镜像机制,我访问了一下对方的页面,同时 tail 查看我服务器上的 Nginx 日志。 13.125.220.1 - - [16/Jan/2021:10:46:48 +0800] "GET /using-thunderbolt ...
2020-07-16 · 阅读 4796 · 字数 673
今天下午快下班时,同事收到阿里云的报警短信,大意是我们一个服务器被 DDOS 了,超过了免费的防御阈值,所以我们的服务器公网IP被打入黑洞,300 分钟后解封。。。 接手这个业务以来,从来没遇到过 DDOS 攻击,说明行业内素质还是比较高的。为啥突然就被 D 了呢?于是赶紧停掉了网站的百度推广,正准备排查攻击日志时,这时人力资源负责人来了,说: 公司网站是不是挂了。一个明天来面试的说把咱们网站打挂了。 。。。这是我见过最愚蠢的面试者。 如何快速从阿里云黑洞解封 IP 虽然攻击源头找到了,并停止了攻击。但是网站已经无法访问了。而且按照阿里云后台的提示,要等5个小时才能解封。这谁能等得起啊。 ...
2020-02-24 · 阅读 4497 · 字数 277
雪球上看到谷歌 Play 商店下架了猎豹移动所有 Android 应用的消息,还挺震惊的。没想到 Google 这么有魄力。 广告流氓软件早晚要被清理出市场。 只是时间早晚问题。Facebook 和谷歌比较干脆,确实大快人心。这些骗广告费的行为确实可耻,而且严重伤害用户体验。 最近看同事还在用 Windows 7 的电脑,那电脑屏幕,平均一分钟弹出一个广告。既有 wps,2345 这种上市公司的客户端,也有不入流的小流氓软件。用电脑管家跟本解决不了,即便是火绒安全软件也只能拦截一小部分广告。希望有一天 Windows 10 可以内置一个公司黑名单,把乱弹广告的都消灭。 美股对于科技股没有盲目追 ...
2019-11-19 · 阅读 4960 · 字数 242
我目前正在实现一个文件上传功能,用来接收客户上传文件,然后工作人员后台查看。 但是,我并不确定客户会上传什么格式的文件。 起初我想直接放开限制,即,不限制用户的上传文件格式。但总觉得不对劲,似乎没有看到过哪个网站允许随意上传文件格式。于是网上查了一下,发现这样做确实非常危险。 不限制文件格式的风险包含哪些 上传的 PHP 文件,拿到文件路径之后,允许直接执行。 文件名中包含相对路径的情况,例如,"../../etc/passwd",如果不对文件名进行更改的化,可能覆盖系统文件。例如,/etc/passwd。 预防措施 自动生成文件名。不使用用户的文件名 设置文件类型白 ...
2019-07-29 · 阅读 5233 · 字数 512
调用客户会员卡系统的一个接口,大概一秒钟一次的频率,每次调用了 140 次左右时,就会出现超时现象,持续一小时后,又恢复正常。 而在不断超时的这段时间内,使用其他服务器/开发机调用这个接口,又是正常的。只有我们的生产服务器有问题。 我第一反应是可能被服务端限速,或者被加了黑名单。 需要排查的点: 阿里云防火墙是否有相应的安全规则 客户的应用层是否有限速黑名单机制 跟客户公司的技术人员沟通了一下,排除了这两种可能。然后,对方电话跟我说是安装了安全狗。。。可能是这个软件有限速功能。而这个技术人员为了避免给自己找麻烦,拒绝修改安全狗配置。。。让我联系他们销售负责人修改。。。 好吧,(ˉ▽ˉ;). ...
2019-03-26 · 阅读 10484 · 字数 281
电子签章,由电子印章和数字签名组成。 电子印章 视觉上的实现。就是把公章图片,PS 或后台合成到合同上,看上去跟纸质合同上的盖章一致。 但是,不具有防篡改的能力。 数字签名 用于防合同篡改。最简单的实现就是做本地 md5 hash。每次合同变更都会导致 md5 发生变化。 但是,现实中的实现通常是由三方权威机构提供的数字证书进行加密,及认证。主要是为了保证交易双方的平等关系。 电子签章云服务 看了一下阿里云上的电子签章 API 服务,主要有这么几家 法大大电子签章服务 e签宝电子签名签署服务 云章签章服务开发包 天安云签章SAAS服务 费用上基本都是一次 API 调用一块钱,完全是抢钱的节 ...
2018-05-30 · 阅读 8277
今天来了一个假客户,目的是来推销他们的一款软硬件设备。 号称是某国内上市公司的分公司,名字就不说了,名气太大,怕被跨省追捕。最滑稽的是我一直关注这货的股价,以为是国内少有的良心公司,没想到是这个鸟样。 其效果是,在线下放置一个硬件设备,其几百米范围内路过的人,能拿到大概五成的联系方式。然后就可以有针对性的进行电话推销了。 原理很容易猜到,硬件设备提供中心地理位置,流氓app提供周边人群的地理位置,然后把偷偷收集的用户隐私数据,例如电话,姓名,年龄,职业等卖给需要的销售公司。前提这是一个高频使用的 app,否则很难做到后台实时获取地理位置。有哪些高频使用的 app,大家很容易猜到。 所以啊,对于 ...
2017-04-08 · 阅读 11860
这个一个严重的安全问题。如果允许访问 .git 目录,那么打开你的网站,拼接出 .git/config 文件所在地址,会发现 config 文件立马被下载到了本地,如果你的密码写在了里面,恭喜你 https://accout:password@github.com/project ... 再或者,拼接出 .git/logs/HEAD 文件地址,会看到提交的信息。 解决办法 Nginx 上将 .git 目录禁止访问 location ~ /\.git { deny all; } 更彻底的方法,最好将所有的隐藏目录都禁用掉 # or, all . directories/files in ...
2017-02-24 · 阅读 11847
目前维护的一套 ecshop 系统,由于使用的是 PHP 5.2 加之历史遗留代码安全意识淡薄,所以存在诸多 SQL 注入的隐患(大量拼接 SQL 字符串的行为)。而我入门 PHP 是通过 Laravel 官方教程开始的,没有写过原生 PHP SQL 查询,对如何规避 SQL 注入一无所知。 首先看一下 PHP 官方文档 mysql_query — Send a MySQL query This extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0. Instead, the MySQLi or P ...
2020-01-11 · 阅读 22479 · 字数 1740
昨天同事发布新功能的时候,发现项目目录下多了两个新的目录。 /html /news 里面是随机字符串命名的 php 文件。看了代码的确不是我们写的,第一反应,我们被黑了! 第一时间的处理措施 排查 Nginx 日志,通过访问 html, news 目录定位可疑 IP, 然后通过历史 log 定位可疑文件 将恶意代码目录,可疑 gif 文件,及 Nginx 日志打包下载 删除恶意代码目录, 及 gif 文件 在阿里云防火墙上屏蔽到恶意 IP 确认是否还存在恶意访问 第二天早上8点又登录服务器确认了一下恶意请求是否还存在 123.126.113.91 - - [16/Feb/2017:16 ...
生活 | 跑步 清单 足球 鲁班 探索 孤独的美食家 驾驶 电视剧 收纳 奶爸 健康 game 电影 周末 |
---|---|
Geek | 健身 Laravel Git Vim MySQL Linux UI Windows SVN 纪录片 管理 Shell 游记 工具 手机 BackboneJS 自建博客 Mac DNS Tornado CDN Django Python AngularJS 理财 前端 Nginx 爬虫 Redis Javascript Browser 浏览器 推广 OAuth CSS PHP Social Networks 安全 运维 创业 杂记 VueJS Android Image IDE Java ReactJS 数据分析 SQLite RESTful 读书笔记 家电 ecshop Vagrant wordpress docker SEO GTD magento mongodb nodejs weex 冷知识 ruby iOS 微信小程序 AI CMS 快应用 backpack 广告联盟 OA 短信 UWP Win CSharp Tampermonkey graphviz 钉钉 WPS 数据字典 微信公众号 Fuchsia Adobe XD SQL Server thinkphp 代码规范 商业模式 Flutter 头痛的问题 serverless 视频制作 国际化 golang 服务器 Kotlin 网站建设 5G 笔记本 图片 spark spring 物联网 InfluxDB 图像识别 postgre rust |
成长的烦恼 | 闲言碎语 待产 不睡觉 写作 程序员 孙心然语录 原则 大鸿语录 |
地球 | 植物 时间 中文 赚钱 国家地理 烟台 一生伏首拜阳明 emoji 弟子规 英文 国际贸易 |