Aggregator

文章介绍了通过 Fail2Ban 自动化防护体系应对日益猖獗的 WordPress 站点网络扫描攻击的方法，包括 Fail2Ban 的安装配置、专用过滤规则创建、系统防火墙联动及 Nginx 层面增强防护等措施，并提供了效果验证与监控脚本及高级防护策略建议，构建了多层安全防护体系以有效减少恶意请求并提高网站安全性。

HackerNews 编译，转载请注明出处： 经发现，黑客正利用搜索引擎优化投毒与搜索引擎广告推广伪造的微软 Teams 安装程序，向 Windows 设备植入 Oyster 后门程序，借此获取企业网络的初始访问权限。 Oyster 恶意软件又称 Broomstick 和 CleanUpLoader，是一款于 2023 年年中首次出现的后门程序，此后与多起攻击活动相关联。该恶意软件能让攻击者远程访问受感染设备，执行命令、部署额外有效载荷（恶意代码）并传输文件。 Oyster 通常通过伪装成热门 IT 工具（如 PuTTY、WinSCP）的恶意广告活动传播。勒索软件团伙（如 Rhysida 团伙）也曾利用该恶意软件入侵企业网络。 伪造微软 Teams 安装程序传播恶意软件 网络安全公司 Blackpoint 的安全运营中心（SOC）发现，在一场新的恶意广告与 SEO 投毒攻击活动中，威胁攻击者推广了一个伪造网站 —— 当用户搜索 “Teams download（Teams 下载）” 时，该网站会出现在搜索结果中。 尽管这些广告和域名并未仿冒微软官方域名，但会引导用户进入 “teams-install [.] top” 网站 —— 该网站伪装成微软 Teams 的官方下载页面。点击页面中的下载链接，会下载一个名为 “MSTeamsSetup.exe” 的文件，而这与微软官方 Teams 安装程序的文件名完全一致。 这款恶意的 “MSTeamsSetup.exe” 文件（可在 VirusTotal 查询）还使用了来自 “4th State Oy” 和 “NRM NETWORK RISK MANAGEMENT INC” 两家公司的数字证书进行代码签名，以此增加文件的 “合法性”，降低用户警惕。 然而，当用户执行该伪造安装程序时，程序会将一个名为 “CaptureService.dll” 的恶意动态链接库（可在 VirusTotal 查询）植入系统的 “% APPDATA%\Roaming” 文件夹（用户漫游配置文件夹）。 为实现持久化控制（确保恶意软件在设备重启后仍能运行），该伪造安装程序会创建一个名为 “CaptureService” 的计划任务，每 11 分钟执行一次上述恶意 DLL，从而保证后门程序持续活跃。 此类攻击手法与此前 “伪造谷歌 Chrome 浏览器安装程序”“伪造微软 Teams 安装程序” 传播 Oyster 恶意软件的行为高度相似，也印证了 “SEO 投毒 + 恶意广告” 仍是攻击者入侵企业网络的常用手段。 Blackpoint 在报告中指出：“此次攻击活动表明，攻击者仍在滥用 SEO 投毒与恶意广告，以‘可信软件’为伪装传播大众化后门程序。” “与今年早些时候发现的‘伪造 PuTTY 安装程序’攻击活动类似，威胁攻击者正利用用户对‘搜索结果’和‘知名品牌’的信任，获取（企业网络的）初始访问权限。” 由于 IT 管理员是攻击者的重点目标（攻击者希望通过攻陷管理员账户获取高权限凭证），因此建议 IT 管理员仅从经验证的官方域名下载软件，且避免点击搜索引擎中的广告链接。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了错误代码521的原因及其对网络连接的影响，并提供了排查和解决该问题的方法。

OpenAI在ChatGPT中测试新的安全路由器，自动切换至严格安全模型以应对敏感或情绪化话题，如自残或自杀倾向，并可能报警干预青少年。此举旨在解决AI安全性问题，但引发隐私争议。

HackerNews 编译，转载请注明出处： 黑客正积极利用 Fortra 公司 GoAnywhere MFT（托管文件传输）软件中的一个最高严重级别漏洞（CVE-2025-10035）。该漏洞允许攻击者在无需身份验证的情况下远程注入命令。 供应商（Fortra）于 9 月 18 日披露了此漏洞，但该公司在一周前就已知晓相关情况，且未透露该漏洞的发现方式，也未说明其是否已被用于攻击活动。 CVE-2025-10035 是 GoAnywhere 托管文件传输软件 “许可证服务端程序（License Servlet）” 中存在的反序列化漏洞。“持有伪造有效许可证响应签名的攻击者” 可利用该漏洞注入命令。 尽管 Fortra 的安全公告尚未更新，未纳入该漏洞已被用于攻击活动的相关信息，但安全研究机构 WatchTowr Labs 表示，他们已获得 “可靠证据”，证明 Fortra GoAnywhere 的 CVE-2025-10035 漏洞正被作为零日漏洞（指未被供应商修复就已被利用的漏洞）利用。 WatchTowr 的报告中写道：“我们已获得可靠证据，证明早在 2025 年 9 月 10 日，就有人在实际攻击中利用 Fortra GoAnywhere 的 CVE-2025-10035 漏洞。” 研究人员指出：“这比 Fortra 于 2025 年 9 月 18 日发布公开公告的时间早了 8 天。” “这也解释了为何 Fortra 后来决定发布有限的入侵指标（IOCs），目前我们强烈建议防御人员立即改变对（漏洞相关）时间线和风险的认知。” WatchTowr 证实，其分析的数据中包含与漏洞利用及后门账户创建相关的堆栈跟踪信息，具体攻击行为包括： 利用该未授权反序列化漏洞实现远程命令执行； 创建名为 “admin-go” 的后门管理员账户； 通过该账户创建网络用户，以获取 “合法” 访问权限； 上传并执行多个二级有效载荷（恶意代码）。 从 WatchTowr 在报告末尾公布的入侵指标可知，相关有效载荷的文件名为 “zato_be.exe” 和 “jwunst.exe”。 其中，“jwunst.exe” 本是远程访问工具 SimpleHelp 的合法二进制文件，但在此次攻击中，攻击者滥用该文件对已攻陷的终端实现持久化手动控制。 研究人员还指出，攻击者执行了 “whoami/groups” 命令（该命令可显示当前用户账户及所属的 Windows 用户组），并将执行结果保存到文本文件 “test.txt” 中，以便后续窃取该文件。 通过这种操作，威胁攻击者能够确认被攻陷账户的权限，并寻找在已入侵环境中横向移动（即从一个受感染设备扩散到其他设备）的机会。 已观测到的漏洞利用痕迹 CVE-2025-10035 漏洞已观测到的利用痕迹来源：WatchTowr Labs BleepingComputer（科技媒体）已联系 Fortra，请求其就 WatchTowr 的发现发表评论，但截至目前尚未收到回复。 鉴于 CVE-2025-10035 漏洞正被积极利用，建议尚未采取应对措施的系统管理员将 GoAnywhere MFT 升级至修复版本，可选择最新版本 7.8.4 或长期支持版本（Sustain Release）7.6.3。 其中一项缓解措施（指在无法立即修复时降低风险的临时手段）是移除 GoAnywhere 管理控制台（GoAnywhere Admin Console）的公网访问权限。 Fortra 还建议管理员检查日志文件，查看是否存在包含 “SignedObject.getObject” 字符串的错误信息，以此判断自身的 GoAnywhere 实例是否已受到影响。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了错误代码521的原因及解决方法。该错误通常由Cloudflare服务引起,常见于网络配置问题或服务器故障。建议检查网络连接、联系ISP或Cloudflare技术支持以解决问题。

Linus Torvalds发布Linux 6.17并开启6.18合并窗口。新特性包括Spectre漏洞缓解优化、Arm 64位实时补丁支持、改进pidfd及文件系统调用等。详细信息可访问kernelnewbies.org/Linux_6.17。

Linus Torvalds 在内核邮件列表上宣布释出 Linux 6.17，Linux 6.18 合并窗口开启。Linux 6.17 的主要新特性包括：更好的控制针对 x86 CPU Spectre 漏洞的缓解措施；64 位 Arm 平台的实时补丁（live patching）支持；改进 pidfd；移除对单处理器系统的特殊支持；初步支持代理执行；file_getattr() 和 file_setattr()系统调用；Btrfs 文件系统的大页（large folio）实验性支持；支持 DualPI2 拥塞控制协议，等等。更多可浏览 kernelnewbies 网页。

HackerNews 编译，转载请注明出处： 上周，网络安全专家和科技公司对一次广泛的软件供应链入侵事件发出警报。这次事件涉及“Shai-Hulud”——一种自我复制的蠕虫，被用于感染500多个嵌入在各种软件中的包。 本周，美国联邦政府发布警告，称发生了一起黑客事件，攻击者入侵了数百个开发人员用于构建软件的包。美国网络安全与基础设施安全局（CISA）表示，黑客在获得初始访问权限后，“部署了恶意软件来扫描环境中的敏感凭证”。攻击者的目标是 GitHub 个人访问令牌（PATs）和主要云服务的应用程序接口（API）密钥。 随后，恶意软件被用来窃取凭证，将其上传到公共代码库，并利用自动化流程快速传播，将恶意代码注入到其他包中。 CISA敦促所有机构对使用 npm 包生态系统的软件进行全面审查，重点检查可能受到影响的特定文件。该机构补充说，所有开发者的凭证都应及时更换，并且要警惕异常的网络行为。 GitHub 安全研究高级总监表示，他们于9月14日接到“Shai-Hulud”攻击的通知，并追踪到事件源自某个未具名维护者的账户被攻破。 René-Corail 在周一解释称：“由于这种蠕虫结合了自我复制功能与窃取多种秘密（不仅仅是 npm 令牌）的能力，如果不是 GitHub 与开源维护者及时采取行动，这可能会引发无休止的攻击浪潮。” GitHub 表示，在事件发生后，公司立即将500个受感染的包从 npm 注册库中移除，以防止恶意软件进一步传播。同时，GitHub 阻止了包含妥协指标（IoC）的新包上传，以切断自我复制的传播模式。 René-Corail 写道：“此类入侵破坏了对开源生态系统的信任，直接威胁到整个软件供应链的完整性与安全性。它们也凸显了为什么需要提高认证与安全发布的标准，以增强 npm 生态系统抵御未来攻击的能力。” 被污染的“构建模块” 网络安全公司 Wiz 的首席安全研究员 在接受 Recorded Future News 采访时表示，开发者日常依赖大量的小型软件构建模块（即“包”）来完成工作。 在这起事件中，黑客在部分构建模块中植入了恶意代码。他指出，这并非罕见情况。但这次的恶意代码会搜索“秘密”信息，例如密码、令牌和配置文件，有时甚至暴露原本应保持私密的项目。 McCarthy 强调：“这次事件的独特之处，也是更糟糕的地方在于，恶意代码还会尝试传播。它会检查其运行的每台机器，寻找该机器所控制的其他包。一旦找到，就会更新这些新包，使其同样带有恶意代码。这是一个供应链软件蠕虫，而且是我们在这个生态系统中首次见到成功的案例。” 这种供应链攻击的危险之处在于，一旦秘密信息泄露，攻击者就能迅速冒充服务、进入内部系统并篡改代码。由于攻击是自动扩散的，一个被攻陷的点可能会迅速演变成大规模的灾难。 McCarthy 还补充说，这次攻击的起点源于一起早前的秘密信息泄露事件，这也说明了秘密一旦暴露会带来持久的风险，以及组织必须立即采取应对措施的紧迫性。 “Shai-Hulud”事件是本月发生的第二起大规模开源安全事故，目前研究人员仍在不断发现更多遭到破坏的 npm 包。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章探讨了错误代码521的含义及其在网络连接中的影响，分析了常见原因并提供了相应的解决方法和预防措施。

Windows 11的照片应用新增AI分类功能，可自动识别并分类屏幕截图、收据等照片。该功能仅适用于搭载NPU单元的Copilot+PC，并通过本地AI处理以保护隐私。目前支持四种分类，用户可手动调整。

域名注册局Identity Digital将于10月6日起上调231个域名的注册、转移及续费价格，包括NEWS、LIVE等常用域名。用户可提前续费或转移以节省成本。

ISC Stormcast播客报道了当前网络安全威胁态势及应对措施，并提供了相关工具和资源链接。

当前环境出现异常问题，需完成验证后才能继续访问相关内容或功能。

デジタルアーツ株式会社が提供する複数のi-フィルター製品には、不適切なファイルアクセス権設定の脆弱性が存在します。

中国维修商解决iPhone Air芯片扩容问题，常规颗粒不兼容导致变砖，最终用高速硬盘成功扩容至512GB，但市场无此类颗粒供应。

A vulnerability identified as critical has been detected in Linux Kernel up to 6.10.4. The affected element is the function drm_client_modeset_probe. This manipulation causes null pointer dereference. The identification of this vulnerability is CVE-2024-43894. The attack needs to be done within the local network. There is no exploit available. You should upgrade the affected component.

A vulnerability was found in Linux Kernel up to 6.10.4 and classified as critical. This impacts the function uart_get_divisor of the file drivers/tty/serial/serial_core.c. The manipulation results in divide by zero. This vulnerability is known as CVE-2024-43893. Access to the local network is required for this attack. No exploit is available. It is suggested to upgrade the affected component.

A vulnerability was found in Linux Kernel up to 6.10.4. It has been classified as problematic. This affects the function get_free_elt. Performing manipulation results in infinite loop. This vulnerability is known as CVE-2024-43890. Access to the local network is required for this attack. No exploit is available. Upgrading the affected component is recommended.