永久黄网站色视频免费直播,yy6080三理论日本中文,亚洲无码免费在线观看视频,欧美日韩精品一区二区在线播放

無標(biāo)題文檔
wdCP系統(tǒng) (介紹,功能特性,運(yùn)行環(huán)境,安裝說明,演示,常見問題,使用教程) wdCDN系統(tǒng) (介紹,功能特性,運(yùn)行環(huán)境,安裝說明,演示,常見問題,使用手冊(cè))
wdOS系統(tǒng) (介紹,功能特性,運(yùn)行環(huán)境,安裝說明,演示,常見問題,使用教程) wdDNS系統(tǒng) (介紹,功能特性,運(yùn)行環(huán)境,安裝說明,演示,常見問題,使用手冊(cè))
注冊(cè) 發(fā)貼 提問 回復(fù)-必看必看 wddns免費(fèi)智能 DNS 開通 本地或虛擬機(jī)使 用wdcp 一鍵包在mysql編 譯時(shí)"卡住"
AI導(dǎo)航網(wǎng)AI應(yīng)用網(wǎng)站大全 wdcp官方技術(shù)支持/服務(wù) 阿里云8折優(yōu)惠券 無敵云 騰訊云優(yōu)惠中,現(xiàn)注冊(cè)更有260代金額券贈(zèng)送
返回列表 發(fā)帖

1# 跳轉(zhuǎn)到 » 倒序看帖
打印
tT
發(fā)表于 2016-4-18 14:20 | 只看該作者
提問三步曲: 提問先看教程/FAQ索引(wdcp,wdcp_v3,一鍵包)及搜索,會(huì)讓你更快解決問題
1 提供詳細(xì),如系統(tǒng)版本,wdcp版本,軟件版本等及錯(cuò)誤的詳細(xì)信息,貼上論壇或截圖發(fā)論壇
2 做過哪些操作或改動(dòng)設(shè)置等

溫馨提示:信息不詳,很可能會(huì)沒人理你!論壇有教程說明的,也可能沒人理!因?yàn)?你懂的

[求助] @admin 木馬被抓住了,看來是wdcp的問題

本帖最后由 impig33 于 2016-4-25 15:27 編輯

@admin

過程是這樣的:
14日早上,接到ISP的郵件,說是在過去兩個(gè)小時(shí)內(nèi),我的vps cpu占用100%,并且流量巨大,被封了。

于是通過第三方的面板進(jìn)去,查進(jìn)程有一個(gè)www用戶運(yùn)行著host命令,cpu占用100%。

由于我的機(jī)子平時(shí)比較注意,ftp ssh wdlinux都已改過端口,并且開機(jī)并不啟動(dòng)服務(wù),對(duì)外只提供了80端口。
基于安全,我還是進(jìn)去看了日志,這幾個(gè)都沒有問題。


那問題最大的可能是在80了,我下載了出問題時(shí)間點(diǎn)半個(gè)月以內(nèi)的日志。

發(fā)現(xiàn)有大量的基于目錄的猜測(cè),比如(晚上補(bǔ)圖):

/phpmyadmin
/phpmyadmin2.8
/phpmyadmin3.0
...
/admin
/admincp.php
...

還有大量的
access_log  (注意是127.0.0.1和post操作)
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208



[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat


這個(gè)xmlrpc.php是wordpress平臺(tái)常見的一個(gè)漏洞。但上述的猜測(cè)地址/xmlrpc.php并不存在,所以留下大量日志。
注意,問題是來源ip是127.0.0.1



我的猜測(cè)是,黑客之前已經(jīng)通過掃描某些漏洞,比如html在線編輯器的上傳,把某些工具傳到了服務(wù)器,然后通過http://xxx/工具 在操作。

于是我做了兩件事:
1.將/user/bin/host 鎖住,給于000權(quán)限。
2.將blog的/xmlrpc.php 改名并給000權(quán)限。


這時(shí),流量和cpu占用都恢復(fù)了,但是木馬還在體內(nèi),經(jīng)過一天的觀察,127.0.0.對(duì)本機(jī)的xmlrpc.php的post操作,還在繼續(xù)產(chǎn)生大量日志。
127.0.0.1 - - [15/Apr/2016:10:10:42 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208


請(qǐng)大家支招,謝謝!



-----20160419----------------

木馬被抓到了,確認(rèn)是從web上傳了木馬,然后用www用戶執(zhí)行了,幸好沒有搞到root。

木馬樣本發(fā)上來,供@admin 分析。

鏈接: http://pan.baidu.com/s/1hr48axu 密碼: zsac


接來來的問題是:

1.怎樣找出漏洞地址?
2.怎么補(bǔ)系統(tǒng)漏洞?


.

2#
發(fā)表于 2016-4-20 09:27 | 只看該作者
版主在哪里?
壇主在哪里?

TOP

Rank: 9Rank: 9Rank: 9
3#
發(fā)表于 2016-4-20 15:16 | 只看該作者
很明白,這個(gè)是WEB漏洞或上傳,與wdcp何關(guān)?
看清提問三步曲及多看教程/FAQ索引(wdcp,v3,一鍵包,wdOS),益處多多.wdcp工具集 阿里云主機(jī)8折優(yōu)惠碼

TOP

Rank: 2
4#
發(fā)表于 2016-4-20 16:04 | 只看該作者
不管事誰的問題,表示關(guān)注,另如果解決了希望分享一下!

TOP

5#
發(fā)表于 2016-4-21 09:20 | 只看該作者
很明白,這個(gè)是WEB漏洞或上傳,與wdcp何關(guān)?
admin 發(fā)表于 2016-4-20 15:16



   我的見解:

1.wdcp是不是給了過大的目錄權(quán)限?


2.wdcp的php配置中沒有禁用高危函數(shù)


3.希望wdcp能加入一些安全功能,比如fail2ban和網(wǎng)頁防火墻之類的


請(qǐng)壇主指示!

TOP

6#
發(fā)表于 2016-4-21 09:21 | 只看該作者
很明白,這個(gè)是WEB漏洞或上傳,與wdcp何關(guān)?
admin 發(fā)表于 2016-4-20 15:16



   請(qǐng)壇主看下木馬樣本,幫分析一下,謝謝

TOP

7#
發(fā)表于 2016-4-25 09:07 | 只看該作者
壇主,求關(guān)注

TOP

Rank: 2
8#
發(fā)表于 2017-7-23 10:16 | 只看該作者
最近dz3.2程序的論壇被攻擊,文件被隨意刪除,hacker極其囂張,懷疑也是所有人為www的問題。
后來未使用wdcp,自己搭建環(huán)境,所有目錄文件所有人為root,現(xiàn)在一切正常。

TOP

返回列表