事情發生在前幾天,偶然的狀況下想去修改一下當初一進實驗室所搞的系統。赫然發現php網頁原始碼最上面多了一行詭異的程式碼,心裡還想是不是自己寫上去的,畢竟自從系統上線後到現在也有半年沒去碰了。直到我修改了第二個php網頁,也看到有相同的程式碼。說實在的,就連在網頁管理上沒有什麼經驗的我,也已經可以確定那個一定是被惡意植入,一定不是我寫的。Google大神告訴了我那的確是被木馬所植入,於是乎看到base64_decode函式之後,馬上尋找解碼的網站並且將代碼複製進去,結果大致看起來跟moodle教學論壇有關係。馬上聯想到前些時候系上網管告知我們實驗室的moodle系統一直隨意發送認證通知信之類的不正常行為,我想大概跟這個脫離不了關係了。查了一下網路上能夠的解決方式不外乎就是刪掉那一行並且找出木馬之類的,而之前學長有提到要將我們的Webserver移到Linux系統上,所以那個木馬就不管他了,直接把所有php檔清乾淨就好!:D開啟空白檔案,輸入以下bash...
2009-07-12
2009-07-11
SSH跳板連線設定
11
7月, 2009
在Linux系統下,有遠端操作的需求時,通常使用的方法就是透過SSH連線(桌面的話大概就是用VNC)。若SSH安裝好後沒有經過特別的設定,基本上只要電腦是暴露在網際網路上,任何人就可以一直try帳號密碼(沒有其他安全措施保護的前提下)。所以如果在網路環境中已經擁有一台有提供安全防護機制以及可供個人登錄SSH服務的主機時,我們就可以藉由這台主機作為跳板進行連線,這樣就可以多了一層保護。例如說,現在我實驗室的桌機開了SSH連線,再沒有任何的設定時,區網(非私有網域)內外都可以嘗試對我的桌機進行SSH連線。由於系上有提供一台可供每個學生登錄的MailServer,該Server有提供一些安全防護的機制,所以我規劃了以下的連線策略:實驗室內的網段可以直接SSH連線至我的主機,而其他網域的SSH連線必須先經由該MailServer再連線進來。設定方法如下(範例):設定allow的規則$ sudo vi /etc/hosts.allow加入下列幾行:sshd:140.1xx.xxx.xxx/255.255.255.224 #允許實驗室網段對本機進行sshd程序的連線sshd:140.1xx.yyy.yyy #允許MailServer對本機進行sshd程序的連線vsftpd:ALL ...
訂閱:
文章 (Atom)
