永久黄网站色视频免费直播,yy6080三理论日本中文,亚洲无码免费在线观看视频,欧美日韩精品一区二区在线播放

無(wú)標(biāo)題文檔
wdCP系統(tǒng) (介紹,功能特性,運(yùn)行環(huán)境,安裝說(shuō)明,演示,常見(jiàn)問(wèn)題,使用教程) wdCDN系統(tǒng) (介紹,功能特性,運(yùn)行環(huán)境,安裝說(shuō)明,演示,常見(jiàn)問(wèn)題,使用手冊(cè))
wdOS系統(tǒng) (介紹,功能特性,運(yùn)行環(huán)境,安裝說(shuō)明,演示,常見(jiàn)問(wèn)題,使用教程) wdDNS系統(tǒng) (介紹,功能特性,運(yùn)行環(huán)境,安裝說(shuō)明,演示,常見(jiàn)問(wèn)題,使用手冊(cè))
注冊(cè) 發(fā)貼 提問(wèn) 回復(fù)-必看必看 wddns免費(fèi)智能 DNS 開(kāi)通 本地或虛擬機(jī)使 用wdcp 一鍵包在mysql編 譯時(shí)"卡住"
AI導(dǎo)航網(wǎng)AI應(yīng)用網(wǎng)站大全 wdcp官方技術(shù)支持/服務(wù) 阿里云8折優(yōu)惠券 無(wú)敵云 騰訊云優(yōu)惠中,現(xiàn)注冊(cè)更有260代金額券贈(zèng)送
返回列表 發(fā)帖

1# 跳轉(zhuǎn)到 » 倒序看帖
打印
tT
發(fā)表于 2016-4-18 14:20 | 顯示全部帖子
提問(wèn)三步曲: 提問(wèn)先看教程/FAQ索引(wdcp,wdcp_v3,一鍵包)及搜索,會(huì)讓你更快解決問(wèn)題
1 提供詳細(xì),如系統(tǒng)版本,wdcp版本,軟件版本等及錯(cuò)誤的詳細(xì)信息,貼上論壇或截圖發(fā)論壇
2 做過(guò)哪些操作或改動(dòng)設(shè)置等

溫馨提示:信息不詳,很可能會(huì)沒(méi)人理你!論壇有教程說(shuō)明的,也可能沒(méi)人理!因?yàn)?你懂的

[求助] @admin 木馬被抓住了,看來(lái)是wdcp的問(wèn)題

本帖最后由 impig33 于 2016-4-25 15:27 編輯

@admin

過(guò)程是這樣的:
14日早上,接到ISP的郵件,說(shuō)是在過(guò)去兩個(gè)小時(shí)內(nèi),我的vps cpu占用100%,并且流量巨大,被封了。

于是通過(guò)第三方的面板進(jìn)去,查進(jìn)程有一個(gè)www用戶運(yùn)行著host命令,cpu占用100%。

由于我的機(jī)子平時(shí)比較注意,ftp ssh wdlinux都已改過(guò)端口,并且開(kāi)機(jī)并不啟動(dòng)服務(wù),對(duì)外只提供了80端口。
基于安全,我還是進(jìn)去看了日志,這幾個(gè)都沒(méi)有問(wèn)題。


那問(wèn)題最大的可能是在80了,我下載了出問(wèn)題時(shí)間點(diǎn)半個(gè)月以內(nèi)的日志。

發(fā)現(xiàn)有大量的基于目錄的猜測(cè),比如(晚上補(bǔ)圖):

/phpmyadmin
/phpmyadmin2.8
/phpmyadmin3.0
...
/admin
/admincp.php
...

還有大量的
access_log  (注意是127.0.0.1和post操作)
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208



[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat


這個(gè)xmlrpc.php是wordpress平臺(tái)常見(jiàn)的一個(gè)漏洞。但上述的猜測(cè)地址/xmlrpc.php并不存在,所以留下大量日志。
注意,問(wèn)題是來(lái)源ip是127.0.0.1



我的猜測(cè)是,黑客之前已經(jīng)通過(guò)掃描某些漏洞,比如html在線編輯器的上傳,把某些工具傳到了服務(wù)器,然后通過(guò)http://xxx/工具 在操作。

于是我做了兩件事:
1.將/user/bin/host 鎖住,給于000權(quán)限。
2.將blog的/xmlrpc.php 改名并給000權(quán)限。


這時(shí),流量和cpu占用都恢復(fù)了,但是木馬還在體內(nèi),經(jīng)過(guò)一天的觀察,127.0.0.對(duì)本機(jī)的xmlrpc.php的post操作,還在繼續(xù)產(chǎn)生大量日志。
127.0.0.1 - - [15/Apr/2016:10:10:42 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208


請(qǐng)大家支招,謝謝!



-----20160419----------------

木馬被抓到了,確認(rèn)是從web上傳了木馬,然后用www用戶執(zhí)行了,幸好沒(méi)有搞到root。

木馬樣本發(fā)上來(lái),供@admin 分析。

鏈接: http://pan.baidu.com/s/1hr48axu 密碼: zsac


接來(lái)來(lái)的問(wèn)題是:

1.怎樣找出漏洞地址?
2.怎么補(bǔ)系統(tǒng)漏洞?


.

2#
發(fā)表于 2016-4-20 09:27 | 顯示全部帖子
版主在哪里?
壇主在哪里?

TOP

3#
發(fā)表于 2016-4-21 09:20 | 顯示全部帖子
很明白,這個(gè)是WEB漏洞或上傳,與wdcp何關(guān)?
admin 發(fā)表于 2016-4-20 15:16



   我的見(jiàn)解:

1.wdcp是不是給了過(guò)大的目錄權(quán)限?


2.wdcp的php配置中沒(méi)有禁用高危函數(shù)


3.希望wdcp能加入一些安全功能,比如fail2ban和網(wǎng)頁(yè)防火墻之類(lèi)的


請(qǐng)壇主指示!

TOP

4#
發(fā)表于 2016-4-21 09:21 | 顯示全部帖子
很明白,這個(gè)是WEB漏洞或上傳,與wdcp何關(guān)?
admin 發(fā)表于 2016-4-20 15:16



   請(qǐng)壇主看下木馬樣本,幫分析一下,謝謝

TOP

5#
發(fā)表于 2016-4-25 09:07 | 顯示全部帖子
壇主,求關(guān)注

TOP

返回列表