乌鸦叔叔回来了！水电的网站也复苏了，春天的沉闷将不再有！

爱水电

原帖由 <i>blackkidult</i> 于 2008-3-7 14:51 发表<br />
误会了，我是想询问睡袋的事情，黑客攻击我帮不上什么忙。睡袋的事情等你忙好了再说吧。打扰了，抱歉。

<br />
不好意思，刚才什么都没顾上，已经给你留言了，或者PM一个联系方式我公司销售人员直接和你联系。再次感谢！

[ 本帖最后由 爱水电 于 2008-3-8 00:52 编辑 ]

爱水电

原帖由 <i>残云</i> 于 2008-3-7 15:16 发表<br />
最近俺单位的网络也经常出问题，听说也被黑的~

<br />
服务器最高权限没有受到威胁，服务器系统目前比较安全。初步判定是由PHP程序漏洞攻击的，目前正在排查，但是可能要一些时间，请大家谅解～

爱水电

不知道是否应该感谢黑客手下留情，只有主页受到影响，行动风格非常环保，没有留下任何入侵痕迹和垃圾！就把他当作一次逍遥游吧～
无奈是道高一尺，魔高一丈，晚上我公司程序员和两个网络安全高手联合行动都没有查出明确问题（日志不全），最后还被告知这世界上没有绝对安全的服务器！：（
网站暂时“安全”，如有哪路大侠不吝指点，水电将感激不尽！

CookieMania

根据你的描述，我只可以说你的虚似主机供应商太单一依重防火墙了，估计他们在看到了黑客的IP地址后，把一段地址封锁后，就让服务器在线了，但要知道高手是永远不会用自己的真正IP进行行动的，他们都是用他人的IP来行动的。难道黑客IP是北美洲来，到最后把整个洲美洲全封锁了不提供服务吗？再者黑客可以改从欧洲来！

作为外人要处理这种事非常难，因为要作分析很多时候要用到服务器最高权限及主机供应商的防火墙细节，这些都是一般不到外人手里的东西。

你可以这样要求虚似主机供应商：如果ChinaUL.Net 不是在独立主机上运行，把它转到独立主机主机上不要加收费用，原因是在你的问题未解决前，虚似主机供应商在运行中的所有其他网站如果是处在同一软件组合及同一PATCH LEVEL 的都正在面对同一命运！！！所以最好合作对双方都有利，同时要求虚似主机供应商在你的独立主机及防火墙中间加装一台运行SEQUID PROXY SERVER 的独立服务器反向运行来截取信息及保留WEB CONNECTIONS 日志。并让你的独立主机在 HONEY-POT 的状态下运行，同时要把针对你服务器而已封锁的IP地址解防封锁来让黑客行动。
在黑客再次行动成功后，马上把系统所有软件组合升级到最新的版本及PATCH LEVEL，再看是否可以保著服务器免受以的攻击，如果到时还不成就要看看虚似主机供应商有没有能力向你提供运行于LINUX的服务器了。

基于只有主页受更改(DE-FACE)，我有理由相信是由BUFFER-OVERFLOW攻击做成的，REVERSE PROXY SERVER 对截取这类攻击信息极之有效。

这世界上没有绝对安全的服务器，这话也差不多了，但说成是有很难攻击成功的服务器及很易攻击成功的服务器更好。你的明显不是前者。我手头上一台运行REDHAT 6.2 6年之后还健在而且最近3年没有进行任何PATCH的小服务器则明显是相反。

[ 本帖最后由 CookieMania 于 2008-3-8 06:47 编辑 ]

爱水电

不过我的服务器是独立的，不是虚拟的，最高权限在我们自己手里。当时安装系统的时候，原来本来打算用Linux的系统，但是最后觉得2003Server也很安全，补丁也很全（随时更新），对于我们外行人来说也比较容易上手，运行了一年多除了换托管机房暂停一段时间外一直没有什么安全问题。这次日志没有开全是我们的疏忽。从昨晚的情况看，除了两个可以Anonymous连续多次试图登陆失败的记录外，并没有别的发现。从入侵的风格来看，很可能是高手所为，基本排除了恶意商业性攻击的可能，属于随机性玩票的行为，再次攻击的可能性不是很大。我们所能做到的就是把系统，Apache ,mysql和php方面的工作做足，开全日志，静观其变了...

[ 本帖最后由 爱水电 于 2008-3-8 10:33 编辑 ]

CookieMania

Apache，mysq，php 是否更新到软件开发商建议使用的BUG-FIXED版本。在你这个案中特别要注意Apache及php的版本问题，WIN2003补丁打足只可防只可防止AMDMINISTRATOR权限给人用上，但子系统还是是可以死掉的。

基本上现在恶意商业性攻击近符0，倒是大学里的小混混到处找机子磨功夫的多。

Apache等的BUG-FIXED版是不易容这样子倒下来的，起码我订阅的保安通告最近就没有什么它的漏洞消息。

你现在用的DISCUZ！版本起码相当老旧，不知是否因要在2003下运行的关系。PHP版本我就没了解了，反正网管中心现处于警弓之鸟状态，免得作点测试就给他们触发警报了。

爱水电

早就想升级DISCUZ，但是考虑6.0版本也存在漏洞，一直犹豫着，所以一直是4.1加补丁。
从今天的网络监控情况看，问题似乎不那么乐观。首页事件和流量异常看似是巧合，但如果用一元论来解释那就变得相当可怕，只是猜想。。。呵呵～无奈啊～

CookieMania

DISCUZ 在目前大既不是主因，因为主页不是用DISCUZ的。反正约12小时前己经暗示了，而且所有懂截取封包看人仕的都应己经知道：用的是 Apache/1.3.33 (Win32) + PHP/4.3.11 这两的版本都相当老旧，可以说一定有漏洞的，基本上可以说遇上手头上有适合攻击套件的 SCRIPT KID 系统必出问题。

彩云指南

现在倒是可以访问了，不过不正常，唉，多灾多难啊

爱水电

原帖由 <i>CookieMania</i> 于 2008-3-8 23:06 发表<br />
DISCUZ 在目前大既不是主因，因为主页不是用DISCUZ的。反正约12小时前己经暗示了，而且所有懂截取封包看人仕的都应己经知道：用的是 Apache/1.3.33 (Win32) + PHP/4.3.11 这两的版本都相当老旧，可以说一定有漏 ...

<br />
多谢CM君!情况可能就象你所说的那样.目前我们系统外程序是一直沿用下来的,感觉很稳定,看来以后还要多加防范,幸运的是所有数据没被破坏,而且都有备份.
按理说,对于水电这样一个网站,谁想到会有人和它过不去呢,呵呵~~

dreamerz

网站可以访问了，但论坛无法进入。

mc鲁迅

昨晚论坛和网页挂了
今天早上网页还好 论坛挂了

爱水电

多谢大家关心，现在可以访问了，不过还要做很多工作呢。

mc鲁迅

目前我还是访问不了 无论首页论坛
以前速度一直很快的

CookieMania

很肯定的说：水电的服务器己经成为各路黑客帮派(包括国内的黑客帮派在内)比试功力的场地了，在能调试出一台有能力抵挡各种攻击的升级版服务器来替换现有的服务器前，不要希望这现有的服务器能稳定工作，只能希望现有的服务器在系统挂掉时能把相关日志保存著，以了解漏洞出处而己。

各路黑客帮派只会在发现服务器软件升级了，各种曾经有效的攻击手段都不再有效时，才会失兴趣会而转向另一目标的。

爱水电

刚听过贝多芬第四钢琴协奏曲，终于明白了一个道理，要以柔克刚！
退一步海阔天空，既然硬堵不行，另筑长城吧！
对不住各位，看来服务器要关闭几天了，可以换的都换了，可能包括系统~再此特别感谢CM君倾力相助！

[ 本帖最后由 爱水电 于 2008-3-10 01:28 编辑 ]

dreamerz

原帖由 <i>爱水电</i> 于 2008-3-10 01:19 发表<br />
刚听过贝多芬第四钢琴协奏曲，终于明白了一个道理，要以柔克刚！<br />
退一步海阔天空，既然硬堵不行，另筑长城吧！<br />
对不住各位，看来服务器要关闭几天了，可以换的都换了，包括系统~再此特别感谢CM君倾力相助！

<br />

今天骑车随便乱拍了几张PP，还想去贴一贴呢，哎......

mc鲁迅

原帖由 <i>CookieMania</i> 于 2008-3-9 19:28 发表<br />
很肯定的说：水电的服务器己经成为各路黑客帮派(包括国内的黑客帮派在内)比试功力的场地了，在能调试出一台有能力抵挡各种攻击的升级版服务器来替换现有的服务器前，不要希望这现有的服务器能稳定工作，只能希望 ...

<br />

水电的服务器真是多灾多难 这次整个换个架构好了 让上次来转悠过得同志一下找不到北 失去兴趣了就好

nick200

换个域名？

爱水电

原帖由 <i>nick200</i> 于 2008-3-10 15:41 发表<br />
换个域名？

<br />
换域名是木有用的，即使是IP地址换了也解决不了问题，还是根治吧。