近来发现有ip恶意扫描服务器,写个脚本自动对恶意攻击的ip进行封禁。主要原理是定期crontab任务分析secure日志(扫描尝试登陆的会有错误日志),超过错误次数就将其加入iptables DROP 链接。可以在一定程度上访问恶意攻击提供,安全性。附上脚本(代码另存为/root/block_ssh.sh。执行echo "*/5 * * * * root /root/block_ssh.sh" >>/etc/crontab 每5分钟检查一次文件。) 继续阅读
1. 最简单的一个例子:
mail -s test [email protected]
这条命令的结果是发一封标题为test的空信给后面的邮箱,如果你有mta并且后面的邮箱不会挡这种可能莫名奇妙的信的时候,就能收到这封信了。如果你不想被这种乱七八糟的事情干扰,后面的邮箱请使用本地帐户。 继续阅读
@ 数组
$x{} x名字前面是美元符号($),后面是花括号({}),则其为 hash 元素
% 要引用整个 hash,使用百分号(“ )作为前缀。前面几页中使用的 hash 的名字为%family_name。
$! 根据上下文内容返回错误号或者是系统产生的一些可读的信息;
继续阅读
用ssh登录了远程的Linux服务器,运行了一些耗时较长的任务,结果却由于网络等的不稳定导致任务中途失败。这是由于在用户注销(logout)或者网络断开时,终端会收到 HUP(hangup)信号从而关闭其所有子进程。
解决办法有两种:让进程忽略HUP信号,或让进程运行在新的会话里从而成为不属于此终端的子进程。
继续阅读
1、了解服务器异常情况。
常见异常情况:异常的流量、异常tcp链接(来源端口,往外发的端口)、异常的访问日志(大量的ip频繁的访问个别文件)
2、根据服务器情况判断(lastlog secure日志等扥),是否权限已经被攻陷。如果发现异常用户,立即修改用户密码,pkill -kill -t tty 剔除异常用户。然后进行进一步处理。
根据php木马中的一些特征字段进行搜索,就可以搜出可能含有木马的的文件,特征字段可自行根据需要添加。
find ./ -name "*.php" |xargs egrep "phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc"> /tmp/php.txt
服务器端开发工程师 : Socket,服务器端开发.
他们利Socket代理或者Http代理做成一个模块,然后捆在常规EXE里, 别人安装的时候,自动值入一个Service,然后还做一个集中的控制中心,来收集这些S5资料..然后1块钱一个卖出去.更黑的是,这个S5在停止使用 一定时间后,还会自动更换端口,又可以卖1块钱.
你天天在做 SOPC,天天在玩EPOLL,天天在玩UPNP, 看,人家用最简单的技术, 赚比你多的钱.
一、获取非法ip源:
扫描登录失败的日志:
less secure*|grep “Failed password for root from” >/tmp/gj.list
对扫描日志进行分析,非法尝试失败超过50的ip列出来,保存为gongji.ip
cat /tmp/gj.list|perl -anle ‘print $F[10]’|sort |uniq -c|sort -n |perl -anle ‘print $F[1] if $F[0]>50 ‘>/tmp/gongji.ip
《下河东》——赵匡胤亲征北汉,任欧阳芳为帅,呼延寿廷为先行官。将帅原有宿怨,欧阳方又私通了北汉(据说本是北汉旧臣),暗约敌军共劫宋营,赵匡胤几乎被俘,幸呼延寿廷兄妹出马,打败敌军,转败为胜。欧阳方奸谋未逞。斩杀寿廷并反诬其通敌叛乱。呼延寿廷之妹又被赵匡胤失手打死(据说是找赵理论赵解释其不听,后又动起手来)。呼延寿廷兄妹枉死,赵匡胤被困河东。
“三十六哭”即赵悔恨不已时所唱戏文,开头第一句为“自从把先行兄妹都丧了命,无一日王不哭三五声”,后接大段排比句,列举古人恸哭典故,借以类比自己心情。……这“三十六哭”看了之后很多都不知所云,搜了一下。找到一个比较好的注解版。
继续阅读
linux文件为了防止被人随便打开收看,可以使用那个vim自带的加密功能,对文本文件进行加密,以防止人直接看到内容。
然而在使用Vim编辑文件保存时时,有时候可能输入:X(shift键未及时按下松开),这时体统会提示: