Sto utilizzando un server Web Centos7 . Ho notato alcune strane richieste HTTP GET come queste:
94.185.83.100 - - [29/Feb/2016:23:29:00 +0530] "GET http://testp1.piwo.pila.pl/testproxy.php HTTP/1.1" 404 390 "-" "Mozilla/5.0 (Windows N...
Stavo guardando il mio record di registro ufw quando ho trovato questa riga:
169.229.3.91 - - [19/Feb/2016:13:21:52 +0100] "\xCEA\x81\xCF\x02\x03\xFCAm\xB8\xBF]1\xBE~0^\xCD\xA9\x05(\x8D'\xD9\x9D\x9D\x9C\x15m" 400 166 "-" "-"
È un tentativo...
Ogni poche ore ne ottengo alcuni nei registri del server:
sshd[...]: Disconnecting: Change of username or service not allowed: (httpd,ssh-connection) -> (http,ssh-connection) [preauth]
sshd[...]: Disconnecting: Change of username or service...
Ho visto questa citazione oggi nel Guardian
David Anderson QC, the terror legislation watchdog commissioned to
report on the state of Britain’s surveillance laws in the aftermath of
Snowden’s disclosures, has previously said that inte...
Sono nuovo nel campo della sicurezza e voglio chiedere: ogni programma lascia una "impronta" in un registro di qualche tipo, in un laptop o in un PC, di qualsiasi processo venga eseguito. Se sì, possono essere analizzati?
Sto leggendo alcuni log snort da un firewall, potrei leggerne alcuni con "snort -r file"
Ma quando ho provato i registri più recenti ottengo questo errore:
snort -r snort.log
Running in packet dump mode
--== Initializing Snort =...
Ho cercato sul Web grandi set di dati (in particolare file di registro relativi al Web - MySQL, PHP, Apache e così via) che contengono dati di tentativi di intrusione / exploit. Sto facendo delle ricerche sull'intelligence delle minacce e vorrei...
Ho eseguito il patch per shellshock e sono stato bloccato dopo pochi giorni. Tuttavia, non avrei saputo che nessun tentativo fosse stato fatto se non fosse stato per un'espressione regolare che ho trovato su internet. Questo mi ha ispirato a esa...
Un mio amico lavora in un'organizzazione e un bel giorno si è reso conto che ha accesso di amministratore locale sulla sua macchina. Mi ha giurato che inizialmente non aveva il privilegio e aveva bisogno di sollevare richieste per l'installazion...
Ho alcuni log HTTP in cui vedo che l'hacker modifica il suo IP ogni richiesta e occasionalmente modifica il suo useragent.
C'è un modo per rilevarlo automaticamente? Forse una regola da sballo? o in altro modo?