wdcp的一个安全漏洞
来源:互联网 发布:ubuntu安装nodejs 编辑:程序博客网 时间:2024/05/19 01:31
在wdcp 2.5.11以下的版本都会受到影响,请广大用户,IDC,云主机公司升级相应的模板等
如果你的wdcp面板没有限制后台登录域名,也没有修改默认端口的,也没有升级,很可能已被黑
对于这类情况,可能的情况下,最好重装下系统
一般常规检查
1 检查登录记录,是否有其它的IP,用户ID登录
2 检查数据库用户,是否有多出的用户ID
3 检查是否有被上传的文件
4 登录SSH检查是否有异常的进程,以及是否有ip32.rar,ip64,rar这类文件(目前发现,这是黑客上传执行程序)
请大家相互转告
=====如果被黑也不要害怕,目前已经有解决方法!========
使用分割线下的查收步骤,基本可以查杀后门和恶意程序,维持服务器稳定正常运行,免去重装系统的烦恼。
============查杀流程 2014-11-13更新====================
部分WDCP用户的服务器没有修改默认的WDCP管理地址,没有及时更新,导致被黑客入侵。由于WDCP的稳定和方便,很多朋友使用WDCP创建了很多站点,甚至在淘宝卖起了虚拟主机。
自WDCP九月份爆出漏洞一来,有部分客户被入侵,被恶意发包,让IDC机房烦恼不已,阿里云 腾讯云 先后发布安全预警,提醒用户升级,检查系统安全。
WDCP被入侵后,对系统造成了一定危害,如果直接重装系统,涉及到程序数据的迁移,是很浩大的工程。
鉴于此,WDCP技术团队对黑客入侵手法和痕迹的分析,整理出以下WDCP专杀修复脚本,经过测试,可以保证服务器正常运行。
1 如果SSH可以正常登录系统的,跳过此步骤。SSH无法登陆服务器,密码被恶意修改的,可以在引导系统时,编辑启动项加入single 单用户模式。通过passwd命令 重置密码。 参考连接 http://jingyan.baidu.com/article/acf728fd1de7ebf8e510a3cb.html
2 ls -lh /bin/ps 查看文件大小和时间,正常的是100K以内。如果是1.2M 左右的就是被替换了。(ps是LINUX下的任务管理器程序)
使用XFTP软件上传覆盖对应版本(centos5和6 的不同)的ps 文件 WDCP漏洞修复下载,添加执行权限chmod +x /bin/ps。 同理 上传/bin/netstat文件 。
论坛用户补充,黑客在窜改前,对上述文件进行了备份,大家也可以使用下面的命令进行恢复 原始版本的文件。
cp /usr/bin/dpkgd/* /sbin/ && cp -f /usr/bin/dpkgd/* /bin/ 然后按几次Y 确认覆盖即可。
3 a.去除恶意文件的执行权限
chmod 000 /tmp/gates.lod /tmp/moni.lod
service sendmail stop
chkconfig --level 345 sendmail off
chmod -x /usr/sbin/sendmail
chmod -R 000 /root/*rar*
chattr -i /root/conf.n
chmod -R 000 /root/conf.n*
rm -rf /www/wdlinux/wdcp/sys/802
rm -rf /www/wdlinux/wdcp/sys/802.1
rm -rf /usr/bin/lixww
rm -rf /usr/bin/bsd-port/getty
rm -rf /tmp/gates.lock
rm -rf /tmp/moni.lock
rm -rf /usr/bin/bsd-port/getty.lock
rm -rf /www/wdlinux/wdcp/sys/conf.n
rm -rf /usr/bin/bsd-port/conf.n
b.关闭恶意进程
ps auxww 查看当前系统进程 查找恶意进程 一般是*.rar 或者使用CPU较高的
kill -9 进程ID
killall 进程名 比如256.rar proxy.rar 等
c. 查看任务计划
crontab -e 看看是否有可疑任务,如果有多个/tmp下的随机名称的文件,那就是恶意程序,删除该任务
d.检测 /etc/rc.d/ 下的rc.local rc3.d rc5.d 目录下 是否有可疑文件,可以删除,这个是 启动项程序存放文件夹。
4 修改SSH端口,黑客是脚本实现的批量入侵,修改默认端口,可以有效避免入侵。
vi /etc/ssh/sshd_config 里的 #Port 22 为 Port 40822
重启SSHD服务 service sshd restart
5 部分用户的WDCP密码被非法篡改了。无法使用 http://ip:8080 进行登录管理后台
可以尝试使用 http://ip:8080/phpmyadmin 登录数据库管理 重置WDCP管理员的密码
如果忘记MYSQL的ROOT密码 ,强制修改mysql的root密码 在服务器里执行 sh /www/wdlinux/tools/mysql_root_chg.sh
点击wdcpdb数据库,选择wd_member 浏览信息,选择编辑admin这一行数据的passwd字段,
修改为 fc76c4a86c56becc717a88f651264622 即修改admin用户的密码为 123@abc
此时可以登陆WDCP管理界面了。删除其他管理员用户 一般为 test2,
登陆后还需要修改WDCP的默认8080端口,设置为40880 并在防火墙里允许该端口。
6 删除ssh秘钥文件登陆方式 ,经过对黑客的入侵痕迹分析,发现用户是使用WDCP面板的生成公钥功能,获取SSH权限的。禁止使用SSH公钥登陆
echo 0 > /root/.ssh/authorized_keys && chattr +i /root/.ssh/authorized_keys
7 设置防火墙规则 最后再设置防火墙规则,因为WDCP自带的规则设置不完善,推荐手工编辑配置文件。
设置 只允许外网访问 服务器的80(web) 40822(ssh) 40880(wdcp) ftp(20000-20500) ,禁止服务器访问外网,禁止木马反弹连接。
如果您有固定IP 可以设置只允许您自己的IP 访问. -s 指定来源IP
比如 -A INPUT -s 183.195.120.18/32 -m state --state NEW -p tcp --dport 40822 -j ACCEPT
编辑防火墙规则 vi /etc/sysconfig/iptables
重启防火墙 service iptables restart
查看当前规则 service iptables status
如果你的wdcp面板没有限制后台登录域名,也没有修改默认端口的,也没有升级,很可能已被黑
对于这类情况,可能的情况下,最好重装下系统
一般常规检查
1 检查登录记录,是否有其它的IP,用户ID登录
2 检查数据库用户,是否有多出的用户ID
3 检查是否有被上传的文件
4 登录SSH检查是否有异常的进程,以及是否有ip32.rar,ip64,rar这类文件(目前发现,这是黑客上传执行程序)
请大家相互转告
=====如果被黑也不要害怕,目前已经有解决方法!========
使用分割线下的查收步骤,基本可以查杀后门和恶意程序,维持服务器稳定正常运行,免去重装系统的烦恼。
============查杀流程 2014-11-13更新====================
部分WDCP用户的服务器没有修改默认的WDCP管理地址,没有及时更新,导致被黑客入侵。由于WDCP的稳定和方便,很多朋友使用WDCP创建了很多站点,甚至在淘宝卖起了虚拟主机。
自WDCP九月份爆出漏洞一来,有部分客户被入侵,被恶意发包,让IDC机房烦恼不已,阿里云 腾讯云 先后发布安全预警,提醒用户升级,检查系统安全。
WDCP被入侵后,对系统造成了一定危害,如果直接重装系统,涉及到程序数据的迁移,是很浩大的工程。
鉴于此,WDCP技术团队对黑客入侵手法和痕迹的分析,整理出以下WDCP专杀修复脚本,经过测试,可以保证服务器正常运行。
1 如果SSH可以正常登录系统的,跳过此步骤。SSH无法登陆服务器,密码被恶意修改的,可以在引导系统时,编辑启动项加入single 单用户模式。通过passwd命令 重置密码。 参考连接 http://jingyan.baidu.com/article/acf728fd1de7ebf8e510a3cb.html
2 ls -lh /bin/ps 查看文件大小和时间,正常的是100K以内。如果是1.2M 左右的就是被替换了。(ps是LINUX下的任务管理器程序)
使用XFTP软件上传覆盖对应版本(centos5和6 的不同)的ps 文件 WDCP漏洞修复下载,添加执行权限chmod +x /bin/ps。 同理 上传/bin/netstat文件 。
论坛用户补充,黑客在窜改前,对上述文件进行了备份,大家也可以使用下面的命令进行恢复 原始版本的文件。
cp /usr/bin/dpkgd/* /sbin/ && cp -f /usr/bin/dpkgd/* /bin/ 然后按几次Y 确认覆盖即可。
3 a.去除恶意文件的执行权限
chmod 000 /tmp/gates.lod /tmp/moni.lod
service sendmail stop
chkconfig --level 345 sendmail off
chmod -x /usr/sbin/sendmail
chmod -R 000 /root/*rar*
chattr -i /root/conf.n
chmod -R 000 /root/conf.n*
rm -rf /www/wdlinux/wdcp/sys/802
rm -rf /www/wdlinux/wdcp/sys/802.1
rm -rf /usr/bin/lixww
rm -rf /usr/bin/bsd-port/getty
rm -rf /tmp/gates.lock
rm -rf /tmp/moni.lock
rm -rf /usr/bin/bsd-port/getty.lock
rm -rf /www/wdlinux/wdcp/sys/conf.n
rm -rf /usr/bin/bsd-port/conf.n
b.关闭恶意进程
ps auxww 查看当前系统进程 查找恶意进程 一般是*.rar 或者使用CPU较高的
kill -9 进程ID
killall 进程名 比如256.rar proxy.rar 等
c. 查看任务计划
crontab -e 看看是否有可疑任务,如果有多个/tmp下的随机名称的文件,那就是恶意程序,删除该任务
d.检测 /etc/rc.d/ 下的rc.local rc3.d rc5.d 目录下 是否有可疑文件,可以删除,这个是 启动项程序存放文件夹。
4 修改SSH端口,黑客是脚本实现的批量入侵,修改默认端口,可以有效避免入侵。
vi /etc/ssh/sshd_config 里的 #Port 22 为 Port 40822
重启SSHD服务 service sshd restart
5 部分用户的WDCP密码被非法篡改了。无法使用 http://ip:8080 进行登录管理后台
可以尝试使用 http://ip:8080/phpmyadmin 登录数据库管理 重置WDCP管理员的密码
如果忘记MYSQL的ROOT密码 ,强制修改mysql的root密码 在服务器里执行 sh /www/wdlinux/tools/mysql_root_chg.sh
点击wdcpdb数据库,选择wd_member 浏览信息,选择编辑admin这一行数据的passwd字段,
修改为 fc76c4a86c56becc717a88f651264622 即修改admin用户的密码为 123@abc
此时可以登陆WDCP管理界面了。删除其他管理员用户 一般为 test2,
登陆后还需要修改WDCP的默认8080端口,设置为40880 并在防火墙里允许该端口。
6 删除ssh秘钥文件登陆方式 ,经过对黑客的入侵痕迹分析,发现用户是使用WDCP面板的生成公钥功能,获取SSH权限的。禁止使用SSH公钥登陆
echo 0 > /root/.ssh/authorized_keys && chattr +i /root/.ssh/authorized_keys
7 设置防火墙规则 最后再设置防火墙规则,因为WDCP自带的规则设置不完善,推荐手工编辑配置文件。
设置 只允许外网访问 服务器的80(web) 40822(ssh) 40880(wdcp) ftp(20000-20500) ,禁止服务器访问外网,禁止木马反弹连接。
如果您有固定IP 可以设置只允许您自己的IP 访问. -s 指定来源IP
比如 -A INPUT -s 183.195.120.18/32 -m state --state NEW -p tcp --dport 40822 -j ACCEPT
编辑防火墙规则 vi /etc/sysconfig/iptables
重启防火墙 service iptables restart
查看当前规则 service iptables status
0 0
- wdcp的一个安全漏洞
- 关于安全漏洞的一个网站?
- FreeTextBox中存在一个严重的安全漏洞
- WDCP是什么 关于WDCP的详细介绍
- 安装wdcp的心得体会
- wdcp系统的安装
- wdcp的安装方法
- wdcp的安装
- Nginx + PHP CGI的一个可能的安全漏洞(转)
- Nginx + PHP CGI的一个可能的安全漏洞
- Nginx + PHP + mysql CGI的一个可能的安全漏洞
- 从一个加密程序来看安全漏洞的问题
- 《目前国内一些免费email存在的一个安全漏洞》
- 目前国内一些Web mail存在的一个安全漏洞
- PHP相关系列 - 某开源php软件的一个安全漏洞所想
- 免费的服务器面板wdcp
- WDCP的pure-ftpd配置
- USB Key的安全漏洞
- 01背包问题和完全背包问题
- Java NIO 和IO 对比
- Solr主从集群配置简要说明
- Android自定义View
- PHP+jquery实现的三级联动
- wdcp的一个安全漏洞
- 机器视觉(相机、镜头、光源)全面概括
- 仿ios可上提下拉的ScrollView
- Python的私有化
- python爬虫(二):向网页提交数据
- 机器学习实践 测试驱动的开发方法——互动出版网
- 阅读《游戏引擎架构》的思考1:BSP分割在游戏引擎中的应用
- inet_ntoa 和 inet_addr
- javascript中 if(!-[1,])