1^# 跳轉(zhuǎn)到 » 正序看帖

字體大小: tT

發(fā)表于 2016-4-18 14:20 | 只看該作者

提問三步曲: 提問先看教程/FAQ索引(wdcp,wdcp_v3,一鍵包)及搜索,會讓你更快解決問題
1 提供詳細，如系統(tǒng)版本,wdcp版本,軟件版本等及錯誤的詳細信息,貼上論壇或截圖發(fā)論壇
2 做過哪些操作或改動設(shè)置等

溫馨提示：信息不詳,很可能會沒人理你！論壇有教程說明的，也可能沒人理！因為,你懂的

[求助] @admin 木馬被抓住了，看來是wdcp的問題

本帖最后由 impig33 于 2016-4-25 15:27 編輯

@admin

過程是這樣的：
14日早上，接到ISP的郵件，說是在過去兩個小時內(nèi)，我的vps cpu占用100%，并且流量巨大，被封了。

于是通過第三方的面板進去，查進程有一個www用戶運行著host命令，cpu占用100%。

由于我的機子平時比較注意，ftp ssh wdlinux都已改過端口，并且開機并不啟動服務(wù)，對外只提供了80端口。
基于安全，我還是進去看了日志，這幾個都沒有問題。

那問題最大的可能是在80了，我下載了出問題時間點半個月以內(nèi)的日志。

發(fā)現(xiàn)有大量的基于目錄的猜測，比如(晚上補圖)：

/phpmyadmin
/phpmyadmin2.8
/phpmyadmin3.0
...
/admin
/admincp.php
...

還有大量的
access_log (注意是127.0.0.1和post操作)
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208

和
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat

這個xmlrpc.php是wordpress平臺常見的一個漏洞。但上述的猜測地址/xmlrpc.php并不存在，所以留下大量日志。
注意，問題是來源ip是127.0.0.1

我的猜測是，黑客之前已經(jīng)通過掃描某些漏洞，比如html在線編輯器的上傳，把某些工具傳到了服務(wù)器，然后通過http://xxx/工具在操作。

于是我做了兩件事:
1.將/user/bin/host 鎖住，給于000權(quán)限。
2.將blog的/xmlrpc.php 改名并給000權(quán)限。

這時，流量和cpu占用都恢復(fù)了，但是木馬還在體內(nèi)，經(jīng)過一天的觀察，127.0.0.對本機的xmlrpc.php的post操作，還在繼續(xù)產(chǎn)生大量日志。
127.0.0.1 - - [15/Apr/2016:10:10:42 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208

請大家支招，謝謝！

-----20160419----------------

木馬被抓到了，確認是從web上傳了木馬，然后用www用戶執(zhí)行了，幸好沒有搞到root。

木馬樣本發(fā)上來，供@admin 分析。

鏈接: http://pan.baidu.com/s/1hr48axu 密碼: zsac

接來來的問題是：

1.怎樣找出漏洞地址?
2.怎么補系統(tǒng)漏洞?

.

AI導(dǎo)航網(wǎng)，AI網(wǎng)站大全，AI工具大全，AI軟件大全，AI工具集合，AI編程，AI繪畫，AI寫作，AI視頻生成，AI對話聊天等，盡在aiaiV.cn