原理:利用组策略中的“IP 安全策略”功能中,安全服务器(需要安全)功能 。将 所有访问远程如13013 端口的请求筛选到该ip安全策略中来,使得该请求需要通过 双方的预共享密钥进行身份认证后才能进行连接,其中如果一方没有启用“需要安全”时,则无法进行连接,同时如果客户端的预共享密钥错误则无法与服务器进行 连接 。
在此条件下,不影响其他服务的正常运行 。操作步骤:1)打开 GPEDIT.MSC,在计算机策略中有“ IP 安全策略” ,选择“安全服务器(需要 安全)”项目属性,然后在IP 安全规则中选择“所有IP 通信”打开编辑,在“编 辑规则属性”中,双击“所有IP通信”,在 IP 筛选器中,添加或编辑一个筛选 2)退回到 “编辑规则属性” 中,在此再选择“身份验证方法”。
你会担心云服务器安全吗?
会有危险我的服务器是腾讯云的(1块钱一个月)的学生服务器,上面跑着我的小博客,今年八月完成了服务器的docker化,用nginx-proxy完成反向代理和套https 。我今天dump下了它的日志,准备看一下日志中有多少有趣的东西 。日志文件的大小足足有16M大,也许几张高清大图的大小远超16M,但是这可是纯文本文件啊 。
为了分析方便我使用脚本将日志文件分字段拆分插入了mariadb数据库,方便以后分析查询 。由于使用了nginx-proxy容器作为反向代理,只有以正确的域名访问我的服务器才会得到正确的响应,通过ip访问或者通过错误的域名访问统统503 。没想到这个不太刻意的设置居然成了我的服务器的第一道防火墙 。把服务器日志导入数据库,大概滤掉正常的请求,首先看到的是师傅们扫目录的记录 。
这些请求全部来自一个香港的IP(大概是个vps),这些大概是扫描服务器中的webshell(webshell是可以通过web直接操作服务器的后门,可以说是一种木马),也有的是扫描wp-config.php这样的WordPress配置文件,一般没有什么危害,只是作为信息收集 。继续往下看我们发现了更有趣的东西:有4834条记录与phpmyadmin的扫描有关 。
我们知道phpmyadmin是一个很好用的类MySQL数据库的管理前端,很多学艺不精的程序员很喜欢用它管理数据库,大大咧咧的把它放在了根目录,再配以祖传的弱密码 。被拖库只是时间和运气问题 。这些流量有来自香港,福建,也有北京 。是不是所有扫描都是那么简单粗暴呢,并没有,我们注意了这位师傅的扫描记录:风格一改其他师傅简单粗暴的风格,怀着好奇心我们搜寻了一下这些请求背后的故事 。
第一个payload针对的是织梦cms(Dedecms)的任意文件上传漏洞,这已经是一个老漏洞了,黑客可以利用这个漏洞上传webshell木马什么的,最终控制服务器 。第三个payload(xycms)针对的是xycms咨询公司建站系统的漏洞(都不能叫漏洞了),直接把数据库放在了web目录下,真正实现一键拖库 。
(厂商忽略此漏洞可真是太蠢了)下一个漏洞又是织梦cms的,就是那个download.php和ad_js的 。这是一个2013年的高危漏洞,因为变量未被正确初始化,黑客可以通过一套花里胡哨的操作执行sql注入,并且还能通过一个程序把数据库中的内容写入文件,最终通过一套连环操作在服务器中留下后门 。下一个是个新漏洞,这个高危漏洞今天7月才被爆出,可以远程执行代码,来自Modx Revolution漏洞全来自php?并没有,我们注意到这样一条记录:此攻击针对的是巨硬家IIS 6.0的一个安全漏洞,这是一个利用缓存区溢出的高危漏洞,可以导致远程代码执行 。
推荐阅读
- 668dd,reserved
- 详解气密性测试仪的不同测试方法,边压测试仪
- 同人火影忍者手游推荐,火影忍者同人
- vangogh,VanGogh
- 看得见的单位》,计量单位
- 2021胡润中国500强,胡润榜
- 男人如何练瑜伽 男人怎样练瑜伽的方法一百种
- 如何练好舞王式瑜伽 瑜伽舞王式正确的练法
- 瑜伽开胯的方法 瑜伽开胯的正确方法图解
- 爱羽客羽毛球网,ayk