我的debian服务器出了问题。 可能在我的web-serser上有一些易受攻击的脚本,它是从www-data用户运行的。 我也安装了winbind的samba,并且samba加入了windows域。
因此,可能这个易受攻击的脚本允许黑客通过winbind unix域套接字来强制执行域控制器。
实际上我在netstat -a输出中有很多这样的行:
unix 3 [] STREAM CONNECTED 509027 / var / run / samba / winbindd_privileged / pipe
我们的DC日志包含许多来自root或来宾帐户的记录身份验证。
如何限制我的apaches访问winbind? 我有一个想法,为IPC套接字使用某种防火墙。有可能吗?
答案 0 :(得分:1)
Unix域套接字将文件系统用于端点,因此您可以使用POSIX文件权限或ACL来限制访问。
答案 1 :(得分:0)
您无法防火墙AF_UNIX套接字。我希望真正的问题是你的网络服务器上的某些登录表单允许强力尝试,并且应该以某种方式限制速率(最大尝试次数,超时等)。