未来往事
放下浅薄和无知,靠的不是批判他人,而是自身的壮大和重建。 [2017年 第42周/共52周]

记一次阿里云ECS DDOS攻击。。。

早上上班还不到一小时 发现生产环境主机突然无法访问且ping不同,初步考虑是否主机白名单被篡改,经查看阿里云相关统计报表判断为DDOS攻击,经过持续半小时左右时间终恢复,本文仅用于记录不做为解决方案。

ECS主机默认情况在遭受攻击(例如DDOS)时流量超过本机房设定的黑洞阈值时,阿里云会屏蔽ECS主机的外网访问。当服务器进入黑洞一段时间后,如果系统监控到攻击流量停止,黑洞会自动解封。

遭受攻击时网络拥塞截图如下:



......
+阅读全文

Nginx限制并发连接数和白名单配置-提升整体并发

背景/需求:

恶意攻击、恶意采集、恶意刷页面
秒杀、抢购并发连接限制、队列缓冲
web下载带宽限制、web请求速率限制
CC攻击

Nginx连接数限制模块:

说明:Nginx有很多模块、模块下面又分很多指令,下面就说说limitconn_zone和limit_conn两指令

limit_conn_zone模块指令配置

Nginx http模块中添加
http{
……………………
limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;

server{
……………………
}
}
PS:配置区域名称为perip、perserver,















......
+阅读全文

免费稳定SSL证书申请及服务器HTTPS协议配置支持

免费稳定SSL证书申请网站,ssl证书服务器部署,HTTPS协议配置支持

更新支持HTTPS协议的初衷/背景:
谷歌从 2017 年起,Chrome 浏览器将也会把采用 HTTP 协议的网站标记为「不安全」网站;苹果从 2017 年 iOS App 将强制使用 HTTPS;在国内热火朝天的微信小程序也要求必须使用 HTTPS 请求。

基于上述需求实现HTTPS对于可以说是势在必行,而HTTPS的起点则是获取一张SSL证书。所以亲测了下推荐以下两个免费稳定SSL证书申请地址:
1.SSL For Freehttps://www.sslforfree.com
......
+阅读全文

发现源码泄露漏洞 修复方法

漏洞描述:
目标地址/页面存在源码泄露漏洞
内容泄露:页面存在源代码泄露

危害:
1.恶意攻击者可以利用该漏洞获取目标服务器上的WEB应用程序的源码。
2.恶意攻击者可以利用获取到的WEB应用程序源码更加深入地了解应用的逻辑,或进行应用复制,或进一步地实施漏洞测试发现其潜在的安全问题,从而进一步的对目标服务器进行攻击。

修复方法:
到目标地址/页面删除如下类似代码:
< ? php ? >
< % = xxxx % >......
+阅读全文

IIS短文件名泄露漏洞 修复方法

漏洞描述:
IIS短文件名泄露漏洞,Microsoft IIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。

危害:
攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。

修复方法:
方法1、修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\Ntf......
+阅读全文

Openvpn+MySQL自动记住/输入用户名和密码

在连接openvpn的时候每次都要输入用户名密码,感觉麻烦,无法保存,当然不自动输入用户名密码会安全点,此方法还是不建议在生产运维上使用(出于安全考虑)!方法如下(主要是修改.ovpn配置文件):
  1、打开一个.ovpn的线路配置文件,使用普通的文字编辑软件即可。
  2、搜索找到“auth-user-pass”,并在后面添加“passwd.txt”,如下:
  修改前: auth-user-pass
  修改后:auth-user-pass passwd.txt

......
+阅读全文

PPTP、L2TP、IPSec和SSL VPN(如OpenVPN)的区别

VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的 信息安全体系中发挥着重要的作用。也在网络上,有关各种VPN协议优缺点的比较是仁者见仁,智者见智,很多技术人员由于出于使用目的考虑,包括访问控制、 安全和用户简单易用,灵活扩展等各方面,权衡利弊,......
+阅读全文

跨站脚本攻击(XSS)漏洞 修复方法

跨站脚本攻击(XSS)漏洞
漏洞描述:
目标存在跨站脚本攻击。
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。
2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。

危害:
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。

修复方法:
方法一:站在安全的角度看,必须过滤用户输入的危险数据,默认用户所有的输入数据都是不安全的,请根据自身网站程序做代码修改。
方法二:使用360防跨站攻击脚本。( 需要站长懂得编程并且能够修改服务器代码 )
这里列出PHP站点防护脚本,新建文件xss.php:
+阅读全文