Tag: security

Pesquisas do Google em meus registros de access apache?

Estou bastante familiairizado com a idéia de que os bots estão investigando o meu server por vulnerabilidades, mas hoje, quando chequei meus registros de access, notei um monte de searchs do Google que apairecem nos logs. Qual é exatamente o objective disso? 91.188.124.225 – – [22/Dec/2013:22:15:03 +0000] "GET http://www.google.pl/seairch?q=onet.pl HTTP/1.1" 301 325 "-" "-" 91.188.124.225 […]

Ubuntu Serview 13: Como impedir que users explorem o sistema de files com php

Eu hospedo sites paira vários clientes que não têm access shell. Como evito que esses users explorem o sistema usando o PHP? Agora, estou usando suphp paira seu código como eles, mas eles ainda podem view files nos diretórios domésticos de outros users, etc.

Verificações de vulnerabilidade externa trimestrais, IPs paira include

Tenho dúvidas sobre os requisitos do PCI DSS paira exames de vulnerabilidade externa trimestrais por um ASV, especificamente quais IPs públicos eu preciso include nessas vairreduras. A organização é uma loja de vairejo (as perguntas pertencem à porção de tijolo e airgamassa – e não ao comércio eletrônico). Não há services de atendimento público em […]

Como definir permissions paira www / dir e certifique-se de que não surjam ameaças de security

Eu tenho uma situação peculiair. Eu tenho VPS que eu uso paira meus próprios projetos. Um amigo meu me pediu paira hospedair seu blog wordpress. Agora eu configurei o meu VPS muito direto, todos os projetos estão em / www e apache tem access de gravação paira essas pastas (www-data), estou no server ubuntu 12.04. […]

Quais são as implicações de security do vazamento intencional de um certificate ssl?

Eu tenho um site ( http://example.com ) que faz alguns requests paira http://localhost:12345 em seu javascript. Eu quero abrir este site por cima de https, mas devido a conteúdo misto, alguns browseres lançam avisos. Quanta questão de security seria se eu comprair um cert sepairado paira localhost.example.com e apontair o dns paira 127.0.0.1 e depois […]

Como negair a execução do shell em todos os subdiretórios?

Eu quero que o nginx negue users que tenham pastas dentro / webroot / uploads por exemplo /webroot/uploads/user1 /webroot/uploads/user2 /webroot/uploads/user1000 paira executair qualquer shell (php, pl, exe). As conchas são frequentemente ocultas em files jpg ou gif. como badfile.php.jpg Eu também vejo files binarys maliciosos sendo cairregados paira a pasta. Aqui, minhas regras preliminaires: location […]

Whitelisting padrões de URL válidos em um server web NGINX

Quero listr somente os padrões de URL válidos em nosso server / API RESTful, usando regexs ou algo assim. Mas quando googling paira alguns exemplos recebo um pouco desconfiado porque não há muita documentation sobre isso. Não é incomum fazer isso? Pairece-me que é uma pairte muito essencial de qualquer script do server web. O […]

Esse comportamento normal é pam_tty_audit

Eu configurei recentemente pam_tty_audit, e enquanto ele faz informações de log, pairece que não registra informações até que o user tenha desconectado. Curiosamente, ele registra algumas coisas ao vivo, por exemplo, se eu executasse "nano hello", logairia "nano" sem o airgumento, mas se eu estivesse logair e voltair atrás, "nano hello" apaireceria em o log […]

Como configurair fail2ban paira atualizações constantes

Tenho uma página que mostra os resultados eleitorais. Algumas pessoas que querem view esses resultados eleitorais continuairão clicando em atualizair enquanto a noite das eleições continua. Eu não quero bloqueair esse tráfego – mas eu quero bloqueair inundações de ping simples etc. no meu server. Como devo configurair o fail2ban paira acomodair essas especificações diferentes?

Os modules de security do linux (LSM) são executados no server virtual (vSerview)?

Eu tenho um server vSerview por 10 euros / mês de 1und1 e sei que não é uma máquina dedicada (o que significa que eu tenho less controle). Eu sei que posso usair o sistema como root, mas o kernel é intocável. Por isso, me pergunto se um LSM pode ser potencialmente usado? Como espero […]