中国真实偷乱视频,东京道一本热中文字幕,久久精品国产99国产精品亚洲,欧美激情一区二区三区在线

Board logo

標(biāo)題: [求助] @admin 木馬被抓住了,看來是wdcp的問題 [打印本頁]
作者: impig33    時(shí)間: 2016-4-18 14:20     標(biāo)題: @admin 木馬被抓住了,看來是wdcp的問題

本帖最后由 impig33 于 2016-4-25 15:27 編輯

@admin

過程是這樣的:
14日早上,接到ISP的郵件,說是在過去兩個(gè)小時(shí)內(nèi),我的vps cpu占用100%,并且流量巨大,被封了。

于是通過第三方的面板進(jìn)去,查進(jìn)程有一個(gè)www用戶運(yùn)行著host命令,cpu占用100%。

由于我的機(jī)子平時(shí)比較注意,ftp ssh wdlinux都已改過端口,并且開機(jī)并不啟動(dòng)服務(wù),對(duì)外只提供了80端口。
基于安全,我還是進(jìn)去看了日志,這幾個(gè)都沒有問題。


那問題最大的可能是在80了,我下載了出問題時(shí)間點(diǎn)半個(gè)月以內(nèi)的日志。

發(fā)現(xiàn)有大量的基于目錄的猜測,比如(晚上補(bǔ)圖):

/phpmyadmin
/phpmyadmin2.8
/phpmyadmin3.0
...
/admin
/admincp.php
...

還有大量的
access_log  (注意是127.0.0.1和post操作)
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208



[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat


這個(gè)xmlrpc.php是wordpress平臺(tái)常見的一個(gè)漏洞。但上述的猜測地址/xmlrpc.php并不存在,所以留下大量日志。
注意,問題是來源ip是127.0.0.1



我的猜測是,黑客之前已經(jīng)通過掃描某些漏洞,比如html在線編輯器的上傳,把某些工具傳到了服務(wù)器,然后通過http://xxx/工具 在操作。

于是我做了兩件事:
1.將/user/bin/host 鎖住,給于000權(quán)限。
2.將blog的/xmlrpc.php 改名并給000權(quán)限。


這時(shí),流量和cpu占用都恢復(fù)了,但是木馬還在體內(nèi),經(jīng)過一天的觀察,127.0.0.對(duì)本機(jī)的xmlrpc.php的post操作,還在繼續(xù)產(chǎn)生大量日志。
127.0.0.1 - - [15/Apr/2016:10:10:42 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208


請(qǐng)大家支招,謝謝!



-----20160419----------------

木馬被抓到了,確認(rèn)是從web上傳了木馬,然后用www用戶執(zhí)行了,幸好沒有搞到root。

木馬樣本發(fā)上來,供@admin 分析。

鏈接: http://pan.baidu.com/s/1hr48axu 密碼: zsac


接來來的問題是:

1.怎樣找出漏洞地址?
2.怎么補(bǔ)系統(tǒng)漏洞?


.
作者: impig33    時(shí)間: 2016-4-20 09:27

版主在哪里?
壇主在哪里?
作者: admin    時(shí)間: 2016-4-20 15:16

很明白,這個(gè)是WEB漏洞或上傳,與wdcp何關(guān)?
作者: gutao3800    時(shí)間: 2016-4-20 16:04

不管事誰的問題,表示關(guān)注,另如果解決了希望分享一下!
作者: impig33    時(shí)間: 2016-4-21 09:20

很明白,這個(gè)是WEB漏洞或上傳,與wdcp何關(guān)?
admin 發(fā)表于 2016-4-20 15:16



   我的見解:

1.wdcp是不是給了過大的目錄權(quán)限?


2.wdcp的php配置中沒有禁用高危函數(shù)


3.希望wdcp能加入一些安全功能,比如fail2ban和網(wǎng)頁防火墻之類的


請(qǐng)壇主指示!
作者: impig33    時(shí)間: 2016-4-21 09:21

很明白,這個(gè)是WEB漏洞或上傳,與wdcp何關(guān)?
admin 發(fā)表于 2016-4-20 15:16



   請(qǐng)壇主看下木馬樣本,幫分析一下,謝謝
作者: impig33    時(shí)間: 2016-4-25 09:07

壇主,求關(guān)注
作者: fictioner    時(shí)間: 2017-7-23 10:16

最近dz3.2程序的論壇被攻擊,文件被隨意刪除,hacker極其囂張,懷疑也是所有人為www的問題。
后來未使用wdcp,自己搭建環(huán)境,所有目錄文件所有人為root,現(xiàn)在一切正常。



歡迎光臨 WDlinux官方論壇 (http://ahbydz.com/bbs/) Powered by Discuz! 7.2