浏览类别

信息安全

谷歌邮箱SMTP ERROR: Password command failed: 534-5.7.14错误解决

今天配置一个PHPMailer 谷歌邮箱的时候,发现怎么都无法发送邮箱,然后查看了下调试日志,出现了一个错误。 SMTP ERROR: Password command failed: 534-5.7.14 一开始的时候,觉得很奇怪,名眼看着是说密码授权错误,密码不对?不可能,为此还特地新开浏览器测试了下,密码是正常的。然后查看“转发和 POP/IMAP”设置也是打开的,安全访问也是打开的,但还是 […]…

继续阅读

[FATAL] fatal: bind: Address already in use

在测试某个东西的时候,当我第二次再进行的时候,提示了一个错误,显示已经添加了,但是我觉得很奇怪,我已经删了,可还是这个提示,其实我也想过是不是服务器端的问题,但是想想不可能啊,这是在本地电脑操作的,并且看配置文件,判断服务器端是不应该有这个错误的。 具体错误: 一开始我删掉本地电脑软件,然后重新去下载,还是这个错误。 之后我又改配置文件,删掉验证证书这段,还是这个错误。 那么现在就肯定不是软件文件 […]…

继续阅读

记录一次wordpress的Webshell后门文件

这个后门文件在服务器网站目录1个月了,一直没去处理,因为没注意过阿里云的通知,又想到那台服务器下,好像没重要的网站,开始就无视安全警告提醒了。 一、Webshell后门文件生成 在看提示的Webshell后门文件,发现生成时间是:2019年12月3日。 阿里云总提示200多次,但并非都是这个问题,所以就用了Wordfence安全插件在后台扫描,扫描出来了170个左右文件,是这个Webshell后门 […]…

继续阅读

网站套用Cloudflare CDN之后防止censys扫描源站ip

censys.io扫描ip这个功能的确强大,不过有开源的脚本,分分钟扫描全球ip4,但是对于用于网站的就不友好了。 censys能扫描到网站使用CDN之后的源站ip,我们也有很多个网站被泄漏了,但是今天全部重新整理、测试之后,发现就只有用cloudflare CDN的才会被扫描到,阿里云、腾讯云的CDN都扫描不到,当然这取决于你当时配置CDN的步骤,如果先开放了A解析,那同样能扫描到。比如这个博客 […]…

继续阅读

解决谷歌浏览器 无法同步 Request canceled的提示

前几天我遇到了这个问题,一登录谷歌邮箱之后,就弹出来说无法同步到邮箱,Request canceled.了解详情。 并且我所有谷歌账号都挂了,开始以为是我网络导致的问题,因为机场网络。。。 去看了详情介绍这里,讲到的是可以关闭同步,但是谷歌浏览器这一块的,不过我还是新开浏览器窗口登录账号之后就去关闭了同步,并且在关闭同步功能之前,还去单独设置了下,把Google Pay 中存储的付款方式和地址信息 […]…

继续阅读

浏览器破解不能选择复制的网页

最近看见一个网站,禁止了复制功能,但是没有禁止右键,文字不能复制,图片还可以单独右键。 咱复制,就是为了批量选好一键复制,一个个复制,不得累死吗。。。 所以就找了下相关资讯,我用的谷歌浏览器,那就是按照谷歌浏览器来搜索的了。 找到一段代码,把这段代码加到浏览器的书签,在不能复制的网页,点一下这个代码的书签就行了,这让我想起了,我另外一段代码,也是这种方式,不过那个代码是用来获取P站直链视频的。 把 […]…

继续阅读

谷歌浏览器批量下载网页图片插件推荐

很少用批量下载网页图片的需求,第一次用好像还是在成都工作的时候,需要上传商品详情,从其他商城里面,把图片批量下载下来,也就开始那几天,几天后技术开发好远程图片自动下载就再也没用过了。 最近要用,是涉及到测试某网站了,今天用了两款谷歌浏览器插件: 1、Fatkun图片批量下载 谷歌市场:安装 以前也是用的这个,如果网页图片不多,可以用这个,图片多就不适合了,分好几页显示,太麻烦。 Fatkun图片批 […]…

继续阅读

小程序配置CDN防盗链与防御

今天凌晨12点10分左右,一个客户的小程序遭到了恶意机器人拉取图片识别,126个IP,请求了20多万次,消耗了24G流量。 之前小程序绑定的域名做了CDN,只是简单的套上,其他什么都没做,在今天凌晨这事之后,我们收到了腾讯云的通知,就赶紧修改了CDN配置,并且拉黑了恶意IP。 1:配置QPS限制 降到了20秒/次,其实正常用户访问,基本不到10秒一次的。(当然看是什么业务) 2:宽带封顶设置 其实 […]…

继续阅读

博客服务器配置

我经常换服务器,基本都是遇到各大运营商的活动,然后趁机撸来放博客用。 静态图片:阿里云OSS CDN:腾讯云 2019年12月至今: 运营商:阿里云2核4G5M(同服务器下13个网站-1个内部商城,1个发卡,1个统计,剩下都是企业官网) 2019年11月至12月: 运营商:腾讯云 2019年7月至11月: 运营商:阿里云轻量服务器 2019年2月至2019年7月: 运营商:layerstack 2 […]…

继续阅读

电商外贸支付类网站站优化ssl证书安全规范

接手做一个电商网站的时候,发现原网站的nginx配置有点错误,并且有的代码还很老了,默认了一些一键脚本的设置,其中就包括了ssl_protocols控制。 很多人在配置网站ssl的时候,并不在意,看见什么就点什么,或者默认安装,然后就启用了: TLSv1由于是早期协议,会导致PCI DSS认为你网站的ssl不合格规范,特别是针对一些涉及支付类型的网站,如果不满足PCI安全规格,就可能不保护支付数据 […]…

继续阅读

常见ssl证书颁发机构介绍

今天对接ssl证书接口的时候,才发现这两年ssl颁发机构已经有了一些变化。原来的Comodo已经更名Sectigo,我们大多数就是买的Comodo证书,今天更新的时候才知道这事。 就顺便再去看了下,当然对于大部分用户来说,用免费的就可以了,纯免费的在阿里云,腾讯云等都可以免费申请,也方便使用。腾讯云现在的免费DV证书是TrustAsia(亚洲诚信)提供的,本网站就是用的这个。阿里云的免费Dv证书是 […]…

继续阅读

Windows和Mac修改hosts文件

hosts文件属于电脑系统文件,一般我们常用的,就是在里面添加网址,可以访问平时不能访问的网站。 Mac:(常见有两种方法,第一种毕竟麻烦) 第一种.1: 打开访达也就是Finder,然后快捷键Shift+Command+G,一起按,然后在弹出框输入:/etc/hosts 第一种.2: 复制hosts一份到桌面,然后在桌面打开修改。 这样添加: 104.28.2.109 www.jingxiala […]…

继续阅读

cloudflare设置301跳转到www

很久没用过cloudflare了,比我以前接触的时候多了很多功能选项。 最近因为中国防火墙的事,误害我损失2台服务器,为了能让国内用户还能访问网站,只好套cloudflare了。 cloudflare怎么对接就不说了,反正很简单,都有步骤提示的,就是改下域名的dns服务器。 也可以走第三方平台的cname解析,本站就是用的cname解析,自己会折腾,也可以自己找cloudflare申请开放api。 […]…

继续阅读

wordpress 4.9.6任意文件删除漏洞修复

国外的安全团队前几天发现了wordpress的新漏洞,版本低于和包括4.9.6的都有这个问题。 目前wordpress官方最新版本就是4.9.6,所以官方还没有出新版修复这个问题。 如果急的,可以临时修复下。 至于这个漏洞带来的后果就是可以重置你的网站,如果觉得网站重要就临时修复吧,不重要就等等。 毕竟wordpress官方一般处理都算快的了。 临时修复一: 修改/wp-admin/post.ph […]…

继续阅读

phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL

phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL checkPageValidity函数对外部输入过滤不严,可导致本地包含任意文件。进一步地攻击者可通过注入代码到特定文件进行包含造成远程代码执行。 这是上个月爆出的漏洞,具体流程自己搜索下吧,阿里云后台也有提示,不过你要是用阿里云安全修复,就得给钱了。 phpMyAdmin官方已经修复 […]…

继续阅读

阿里云跨账号内网VPC互连设置

最近用了2个账号的阿里云云服务器,A账号的云服务器放网站,B账号的云服务器搭建了数据库。 前提: 1:AB账号下的节点同区域,我的都是在华东区域。 2:购买高速通道请选择按量付费,因为预付费不能创建接收端,因为同区域,预付费和按量付费都是0,所以你创建的发起端账号也可以选择预付费,随便你。 3:参考:跨账号VPC互连 其实看官网教程基本就明白了,可能只是由于新的控制后台,有的人就不会看了。 所以我 […]…

继续阅读

Memcache作为DRDoS反射放大器 未授权访问漏洞修复

昨天在群里看见有人发了出自360安全的文章:[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击 进去看了下,这个利用还真不错,小成本大dd啊。 这是360最后关于这个利用漏洞的修复提示: 对于Memcache使用者 memcache的用户建议将服务放置于可信域内,有外网时不要监听 0.0.0.0,有特殊需求可以设置acl或者添加安全组。 为预防机器器扫描和ssrf等攻 […]…

继续阅读

linux nginx安装HttpGuard防止CC攻击

之前说了安装verynginx来进行cc防御和防火墙,虽然功能强大,还有控制面板,但是个人就只是防御下cc,还是找个简单的好了。 HttpGuard有免费版本和商业版,商业版也是有控制面板的,现在好像是500一年吧,原价2000。如果不懂程序或者要更多功能的,可以去买授权。 免费版本还是在,只是防御CC攻击,还是可以的。 如果要商业版可以去官方网站:HttpGuard HttpGuard也是基于l […]…

继续阅读