V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  dendi009  ›  全部回复第 1 页 / 共 2 页
回复总数  24
1  2  
2023-01-26 23:46:17 +08:00
回复了 dendi009 创建的主题 HTML PHP 文件格式问题请教
@imnpc 感谢,加班不易, 新年快乐
2022-11-24 10:30:13 +08:00
回复了 dendi009 创建的主题 Linux Linux 宝塔环境 crond 问题排查
@julyclyde 贴的 进程就行 auditd 的记录, 189279 /usr/bin/crond -n , 父进程 是 1 ,
2022-11-24 10:12:13 +08:00
回复了 dendi009 创建的主题 Linux Linux 宝塔环境 crond 问题排查
@julyclyde 问题不像你想的那么简单。不是明文放到任务 cron 配置文件的。
/var/spool/cron/root /var/spool/cron/{any other user} . 都看过。 包括已有任务下面子任务看过。
/var/log/cron 不记录对应任务日志就能说明问题了 。
2022-11-24 09:55:59 +08:00
回复了 dendi009 创建的主题 Linux Linux 宝塔环境 crond 问题排查
@julyclyde 如下相关文件 及目录下的 配置文件。 这有啥不信。 写个脚本的对比正常机器, 就没异常
/etc/cron.d
/etc/cron.d/0hourly
/etc/cron.deny
/etc/pam.d/crond
/etc/sysconfig/crond
/usr/bin/crontab
/usr/lib/systemd/system/crond.service
/usr/sbin/crond
/usr/share/doc/cronie-1.4.11
/usr/share/doc/cronie-1.4.11/AUTHORS
/usr/share/doc/cronie-1.4.11/COPYING
/usr/share/doc/cronie-1.4.11/ChangeLog
/usr/share/doc/cronie-1.4.11/INSTALL
/usr/share/doc/cronie-1.4.11/README
/usr/share/man/man1/crontab.1.gz
/usr/share/man/man5/crontab.5.gz
/usr/share/man/man8/cron.8.gz
/usr/share/man/man8/crond.8.gz
/var/spool/cron
2022-11-13 11:50:58 +08:00
回复了 dendi009 创建的主题 Linux Linux 宝塔环境 crond 问题排查
@bjzhush 没 log ,通过审计工具 + inotify+脚本 抓的进程。 对应的任务在 /var/log 下任何位置都没出现
2022-11-09 00:17:13 +08:00
回复了 dendi009 创建的主题 Linux 标准宝塔环境 NGINX 被挂码问题排查
@virusdefender config 是 在 waf 里面运行 lua 代码, 而且是明文, 代码内容是一定概率跳转 web 请求到 灰色网站上面,跟 config 内容没什么关系
2022-11-08 18:14:00 +08:00
回复了 dendi009 创建的主题 Linux 标准宝塔环境 NGINX 被挂码问题排查
@R18 挂码内容是 lua 写的 概率跳转。 被挂了什么内容不是重点。 重点是怎么能一次次挂上去的。 参考最新发的 日志
2022-11-08 18:12:22 +08:00
回复了 dendi009 创建的主题 Linux 标准宝塔环境 NGINX 被挂码问题排查
@bobryjosin 不是自己的机器,跨部门的
2022-11-08 17:15:14 +08:00
回复了 dendi009 创建的主题 Linux 标准宝塔环境 NGINX 被挂码问题排查
type=PROCTITLE msg=audit(11/08/2022 11:35:38.933:42110) : proctitle=/usr/sbin/crond -n
type=PATH msg=audit(11/08/2022 11:35:38.933:42110) : item=1 name=/www/server/nginx/waf/config inode=2315713966 dev=fd:00 mode=file,644 ouid=root ogid=root rdev=00:00 obj=system_u:object_r:default_t:s0 objtype=CREATE cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=PATH msg=audit(11/08/2022 11:35:38.933:42110) : item=0 name=/www/server/nginx/waf/ inode=2148973883 dev=fd:00 mode=dir,755 ouid=root ogid=root rdev=00:00 obj=unconfined_u:object_r:default_t:s0 objtype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0
type=CWD msg=audit(11/08/2022 11:35:38.933:42110) : cwd=/
type=SYSCALL msg=audit(11/08/2022 11:35:38.933:42110) : arch=x86_64 syscall=open success=yes exit=10 a0=0x7fb668026ab0
a1=O_WRONLY|O_CREAT|O_TRUNC a2=0666 a3=0x24 items=2 ppid=75054 pid=125380 auid=unset uid=root
gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none)
ses=unset comm=crond exe=/usr/sbin/crond subj=system_u:system_r:crond_t:s0-s0:c0.c1023 key=config

现在能确认到 /usr/sbin/crond -n 这个命令过程执行了 create 操作。
直接 SHELL 执行, /usr/sbin/crond -n
回显 "crond: can't lock /var/run/crond.pid, otherpid may be 109408: Resource temporarily unavailable"
crond 守护进程状态正常, 通过 rpm -ql 在 逐个对比 文件 md5 也没发现被篡改的地方,
哪位老板能支支招,怎么查这个问题
2022-11-08 01:56:58 +08:00
回复了 dendi009 创建的主题 Linux 标准宝塔环境 NGINX 被挂码问题排查
@learningman 没有内网, 都是公网 IP ,各不相同的内容,不同 地区机器, 相互直接没有登陆过
2022-11-08 01:21:20 +08:00
回复了 dendi009 创建的主题 Linux 标准宝塔环境 NGINX 被挂码问题排查
补充说明,这些机器开通时间不一, 时间长的 1 年左右, 时间短的 10 天不到, 大部分机器都是近期开通的。 排除已知 ssh 安全漏洞和内部人为因素 。 肯定是外部入侵导致的
2022-11-08 01:18:40 +08:00
回复了 dendi009 创建的主题 Linux 标准宝塔环境 NGINX 被挂码问题排查
@learningman 多台服务器出现了这个情况, 部分安装 redis 部分没安装 ,切端口均不对外,
php 站点 基本可以排除 webshell , 即使有没检查到的 web 漏洞, 也不会被轻松提权到 root 。 被挂码文件是 root 权限的
ssh 爆破登入可以 100% 排除
2022-11-08 01:16:09 +08:00
回复了 dendi009 创建的主题 Linux 标准宝塔环境 NGINX 被挂码问题排查
@flywuhu 宝塔环境 + php 站点, 可以基本可以确定 php 站点 是安全的,有完整的 php 站点请求审计,不可能是 php 网站的 漏洞
@dendi009 ICMP 指定报文大小的情况( ping -s )会追加 无意义数据到 协议内容后面的 data 数据里面。鼠标多点点就懂了
wireshark 鼠标直接点 消息释义,比如 Internet Control Message 中的 Type:8 ( 8 请求 0 应答)。就能对找到对应的位。61 、62 、63 这些不是无意义, 是你打开方式不对,看对应位置,对应组合表达不同的约定意思。
@kokutou chown 和 chmod 一样的报错。owner 、owner group 都是 www
@yanzhiling2001 `lsattr cwzdy.com ` `-------------e-- wwwroot/cwzdy.com`, 有其他办法怎么打印个错误日志吗
2020-03-20 02:34:59 +08:00
回复了 DnC 创建的主题 Ubuntu 如果禁止用户使用 ssh 跳转登录?
在 B 机器上执行, chmod 750 /usr/bin/ssh , 试试. 对一般菜, 这个就能实现了.
如果 account 是 root 属组, 换成 chmod 700 /usr/bin/ssh
方法很多吧, 没有绝对的安全.
@514146235 系统区额
2019-01-29 17:52:18 +08:00
回复了 warcraft1236 创建的主题 Python 继承的父类的方法,我想修改部分逻辑,有什么好的方法吗
只想加 log 用装饰器就行 @decorator 就能满足, 逻辑小改动 装饰器应该也能满足, 取决于改什么逻辑 。 实在不行继承父类, 重写类方法 最直接。
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5790 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 26ms · UTC 06:22 · PVG 14:22 · LAX 22:22 · JFK 01:22
Developed with CodeLauncher
♥ Do have faith in what you're doing.