رمزنگاری – تاریخ عجیب و غریب: همکار در محل کار
من یک همکار در کار دارم که از مکبوک ایر استفاده می کند.
او به من گفت که او هک شده است. من سعی می کنم فایل های خصوصی کلیدی خود را کپی کنم. زیرا او مشغول کار کردن فایل های شخصی خود بود.
او فریاد زد که هلندی AIVD سعی در هک کردن او دارد. مردم آن را برای پلیس هلند فرستادند. او به چیزهای وحشتناکی مانند این که پورنوگرافی کودک را بر روی لپ تاپ خود دریافت کرده است و بعد از آن لپ تاپ خود را به فروش می رساند و اعتبار نامه های مربوط به ترکیه و غیره به آدرس ایمیل او متصل است و آیکلاد وی هک شده است (وی هرگز از ویندوز استفاده نمی کند، کسی که با ویندوز وارد سیستم شده بود)
در حالی که من مجبور شدم مجوز قانونی و فایل های احراز هویت را عجیب کنم، این فایل ها را که در آن رمزگذاری شده بودند و بعدا تغییر دادند، در حالی که ما در حال کپی کردن بودیم، قرار می دهیم.
در ترمینال چیزی که عجیب و غریب رخ داده بود، تاریخچه مانند کسی که
history -c بازی کرد ناپدید شد
اما این ناپدید شد.
او هکرها را هک کرد که هک کرد و هکرها را که در zoetermeer قرار دارد، هک می کردند.
پلیس به او کمک نمی کند، زیرا او هکر سابق است که می تواند او را انجام دهد جنبش انسانی آنها برای این نوع مسائل است؟
شبکه – حمله عجیب و غریب سرور CPU من فوق العاده بالا است
متوجه شدم که سرور سرور من فوق العاده بالا است و دلیل آن grep A است دستور
پس از نگاه عمیق، آنچه در اینترنت فعال من یافتم لیست اتصالات ( netstat-tupn )
tcp 0 138.xxx.140.xxx: 60752 198.1.158.134:80 ESTABLISHED 1583 / grep "A"
این کار را با تماس sudo kill -9 1583 انجام دادم و سپس یک آدرس IP مشابه با یک دستور مختلف ارتباط برقرار کرد
tcp 0 138.xxx.140.xxx: 32956 198.1.158.134:8000 ایجاد شده 13139 / id
با فراخوانی lsof نام فرآیند یافت شده bkhcdgfdv با این خطوط
bkhcdgfdv 14771 14825 ریشه 5r REG 253،1 4516064 57220 /usr/sbin/php-fpm7.1
bkhcdgfdv 14771 14826 root cwd DIR 253،1 4096 2 /
bkhcdgfdv 14771 14826 root rtd DIR 253،1 4096 2 /
bkhcdgfdv 14771 14826 root txt REG 253،1 625878 2100 / usr / bin / bkhcdgfdva
bkhcdgfdv 14771 14826 root 0u CHR 1،3 0t0 6 / dev / null
bkhcdgfdv 14771 14826 root 1u CHR 1،3 0t0 6 / dev / null
bkhcdgfdv 14771 14826 root 2u CHR 1،3 0t0 6 / dev / null
bkhcdgfdv 14771 14826 root 3u IPv4 309207 0t0 TCP MY_HOSTNAME: 32982-> 198.1.158.134:8000 (ESTABLISHED)
پرسش: چه نوع حمله ای است و چگونه می توانم آن را متوقف کنم؟
عجیب وردپرس دسترسی به / فعالیت جستجو
من یک سایت وردپرس دارم و به صورت دوره ای می بینم که این موارد در سیاهه های دسترسی وجود دارد:
256.73.103.356 - [10/Jun/2018:10:55:51 +0000] "HEAD /search/www.rijfk.cn HTTP / 1.1" 200 0 "-" "-"
256.73.103.356 - - [10/Jun/2018:13:04:28 +0000] "HEAD /search/www.asdf.com HTTP / 1.1" 200 0 "-" "-"
256.73.103.356 - - [10/Jun/2018:13:24:30 +0000] "HEAD /search/www.ionfkd.com HTTP / 1.1" 200 0 "-" "-"
256.73.103.356 - - [10/Jun/2018:13:33:28 +0000] "HEAD /search/www.rijfk.cn HTTP / 1.1" 200 0 "-" "-"
من برخی از جزئیات (آدرس IP و نام دامنه را تغییر دادم – آن ها به نظر نمی رسید بسیار مهم برای تشخیص).
من مطمئن نیستم که چرا کسی این کار را انجام می دهد. آنها چه می خواهند انجام دهند؟ آیا این خوب یا چیزی برای مبارزه است؟
