wdcp的一个安全漏洞 2015 9 月
wdcp的一个安全漏洞,非常严重,请大家及时升级和检查
在九月份的时候,wdcp出了一个很严重的安全漏洞,当时也出了补丁更新,具体可看 http://www.wdlinux.cn/bbs/thread-37476-1-1.html 但近日来,发现,很多wdcp的用户都被黑,被增加数据库用户,被上传文件,恶意发包攻击,流量异常,甚至是控制了SSH的权限等 此次事件非常严重,影响也非常大,希望大家及时更新下补丁,以及做下安全限制 在wdcp 2.5.11以下的版本都会受到影响,请广大用户,IDC,云主机公司升级相应的模板等 如果你的wdcp面板没有限制后台登录域名,也没有修改默认端口的,也没有升级,很可能已被黑 对于这类情况,可能的情况下,最好重装下系统 一般常规检查 1 检查登录记录,是否有其它的IP,用户ID登录 2 检查数据库用户,是否有多出的用户ID 3 检查是否有被上传的文件 4 登录SSH检查是否有异常的进程,以及是否有ip32.rar,ip64,rar这类文件(目前发现,这是黑客上传执行程序) 请大家相互转告 =====如果被黑也不要害怕,目前已经有解决方法!======== 使用分割线下的查收步骤,基本可以查杀后门和恶意程序,维持服务器稳定正常运行,免去重装系统的烦恼。 ============查杀流程 2014-11-13更新==================== 部分WDCP用户的服务器没有修改默认的WDCP管理地址,没有及时更新,导致被黑客入侵。由于WDCP的稳定和方便,很多朋友使用WDCP创建了很多站点,甚至在淘宝卖起了虚拟主机。 自WDCP九月份爆出漏洞一来,有部分客户被入侵,被恶意发包,让IDC机房烦恼不已,阿里云 腾讯云 先后发布安全预警,提醒用户升级,检查系统安全。 WDCP被入侵后,对系统造成了一定危害,如果直接重装系统,涉及到程序数据的迁移,是很浩大的工程。 鉴于此,WDCP技术团队对黑客入侵手法和痕迹的分析,整理出以下WDCP专杀修复脚本,经过测试,可以保证服务器正常运行。 1如果SSH可以正常登录系统的,跳过此步骤。SSH无法登陆服务器,密码被恶意修改的,可以在引导系统时,编辑启动项加入single 单用户模式。通过passwd命令 重置密码。 参考连接 http://jingyan.baidu.com/article/acf728fd1de7ebf8e510a3cb.html 2 ls -lh /bin/ps 查看文件大小和时间,正常的是100K以内。如果是1.2M 左右的就是被替换了。(ps是LINUX下的任务管理器程序) 使用XFTP软件上传覆盖对应版本(centos5和6 的不同)的ps 文件 WDCP漏洞修复下载,添加执行权限chmod +x /bin/ps。 同理 上传/bin/netstat文件 。 论坛用户补充,黑客在窜改前,对上述文件进行了备份,大家也可以使用下面的命令进行恢复 原始版本的文件。 cp /usr/bin/dpkgd/* /sbin/ && cp -f /usr/bin/dpkgd/* /bin/ 然后按几次Y 确认覆盖即可。 3 a.去除恶意文件的执行权限 chmod 000 /tmp/gates.lod /tmp/moni.lod service sendmail stop chkconfig --level 345 sendmail off chmod -x /usr/sbin/sendmail chmod -R 000 /root/*rar* chattr -i /root/conf.n chmod -R 000 /root/conf.n* rm -rf /www/wdlinux/wdcp/sys/802 rm -rf /www/wdlinux/wdcp/sys/802.1 rm -rf /usr/bin/lixww rm -rf /usr/bin/bsd-port/getty rm -rf /tmp/gates.lock rm -rf /tmp/moni.lock rm -rf /usr/bin/bsd-port/getty.lock rm -rf /www/wdlinux/wdcp/sys/conf.n rm -rf /usr/bin/bsd-port/conf.n b.关闭恶意进程 ps auxww 查看当前系统进程 查找恶意进程 一般是*.rar 或者使用CPU较高的 kill -9 进程ID killall 进程名 比如256.rar proxy.rar 等 c. 查看任务计划 crontab -e 看看是否有可疑任务,如果有多个/tmp下的随机名称的文件,那就是恶意程序,删除该任务 d.检测 /etc/rc.d/ 下的rc.local rc3.d rc5.d 目录下 是否有可疑文件,可以删除,这个是 启动项程序存放文件夹。 4 修改SSH端口,黑客是脚本实现的批量入侵,修改默认端口,可以有效避免入侵。 vi /etc/ssh/sshd_config 里的 #Port 22 为 Port 40822 重启SSHD服务 service sshd restart 5 部分用户的WDCP密码被非法篡改了。无法使用 http://ip:8080 进行登录管理后台 可以尝试使用 http://ip:8080/phpmyadmin 登录数据库管理 重置WDCP管理员的密码 如果忘记MYSQL的ROOT密码 ,强制修改mysql的root密码 在服务器里执行 sh /www/wdlinux/tools/mysql_root_chg.sh 点击wdcpdb数据库,选择wd_member 浏览信息,选择编辑admin这一行数据的passwd字段, 修改为 fc76c4a86c56becc717a88f651264622 即修改admin用户的密码为 123@abc 此时可以登陆WDCP管理界面了。删除其他管理员用户 一般为 test2, 登陆后还需要修改WDCP的默认8080端口,设置为40880 并在防火墙里允许该端口。 6 删除ssh秘钥文件登陆方式 ,经过对黑客的入侵痕迹分析,发现用户是使用WDCP面板的生成公钥功能,获取SSH权限的。禁止使用SSH公钥登陆 echo 0 > /root/.ssh/authorized_keys && chattr +i /root/.ssh/authorized_keys 7 设置防火墙规则 最后再设置防火墙规则,因为WDCP自带的规则设置不完善,推荐手工编辑配置文件。 设置 只允许外网访问 服务器的80(web) 40822(ssh) 40880(wdcp) ftp(20000-20500) ,禁止服务器访问外网,禁止木马反弹连接。 如果您有固定IP 可以设置只允许您自己的IP 访问. -s 指定来源IP 比如 -A INPUT -s 183.195.120.18/32 -m state --state NEW -p tcp --dport 40822 -j ACCEPT 编辑防火墙规则 vi /etc/sysconfig/iptables 重启防火墙 service iptables restart 查看当前规则 service iptables status 下面是已经编辑好的规则,如果您设置的端口 和 上面的一样,下面的规则可以直接采用。 # Generated by WDCP_FIX *filter :INPUT ACCEPT [0:0] :BLOCK - [0:0] -A INPUT -i lo -j ACCEPT #-A INPUT -s 183.195.120.18/32 YOUR IP -j ACCEPT #-A INPUT -s 192.168.0.0/16 -p udp --dport 161 -j ACCEPT -A INPUT -j BLOCK -A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -m state --state NEW -p tcp --dport 40822 -j ACCEPT -A INPUT -m state --state NEW -p tcp --dport 40880 -j ACCEPT -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT #-A INPUT -m state --state NEW -p tcp -m multiport --dports 21,20000:20500 -j ACCEPT #-A INPUT -s YOUR_IP -m state --state NEW -p tcp --dport 8080 -j ACCEPT #-A INPUT -s 8.8.8.8 -m state --state NEW -p tcp --dport 8080 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-port-unreachable -A OUTPUT -o lo -j ACCEPT -A OUTPUT -d 8.8.8.8 -j ACCEPT -A OUTPUT -d 8.8.4.4 -j ACCEPT #-A OUTPUT -d 183.195.120.18/32 -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #-A OUTPUT -m state --state NEW -p tcp --sport 20 -j ACCEPT #-A OUTPUT -m state --state NEW -p tcp -m multiport --dports 22,25,443,465 -j ACCEPT -A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT #-A OUTPUT -m state --state NEW -p tcp --dport 80 -m hashlimit --hashlimit 5/sec --hashlimit-mode dstip --hashlimit-name out_http -j ACCEPT -A OUTPUT -j REJECT --reject-with icmp-port-unreachable COMMIT # Generated by WDCP_FIX. 说明:禁止服务器访问外网,可能会引起采集文章和图片异常,连接远程数据库异常,建议逐个添加防火墙规则 放行端口 和IP。具体请在 OUTPUT里放行对应的端口。 放行访问外网的80 -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT 放行访问外网的3306 -A OUTPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT 8 安全维护建议 1 WDCP 可以设置访问域名。比如设置 一个很长的二级域名,只有自己知道,这样黑客就无法访问了。 更厉害点,这个域名不设置解析,自己修改本地电脑的HOSTS文件,强制指向访问,这样只有自己可以访问了。wdcp后台访问安全设置即限制域名/IP访问设置及清除方法 wdcp安全设置,让你的后台,只有你自己能访问 2 平时关闭 wdcp服务,需要使用时,临时开启。 不影响WEB服务的运行。 关闭服务和禁止开机启动 /etc/init.d/wdapache stop && chkconfig --level 345 wdapache off /etc/init.d/wdapache start 开启服务 感谢您的支持!祝您生活愉快!WDCP漏洞修复包下载,如果您对LINUX不熟悉,可以找懂技术的朋友参考此文档帮忙清理! 漏洞修复包 http://www.wdcdn.com/down/WDCP_FIX.zip |
wdcp的一个安全漏洞 2015 9 月的更多相关文章
- 腾讯玄武实验室向(CNVD)提交了一个重大漏洞“BucketShock”
导读 11 月 21 日,在小米 IoT 安全峰会上,腾讯安全玄武实验室负责人于旸(花名:TK 教主)在演讲中透露,腾讯玄武实验室最近向国家信息安全漏洞共享平台(CNVD)提交了一个重大漏洞“Buck ...
- 一个xss漏洞到内网漫游【送多年心血打造的大礼包啦!】
i春秋作家:jasonx 原文来自:一个xss漏洞到内网漫游[送多年心血打造的大礼包啦!] 前言 渗透过程中,有时候遇某些网站,明明检测到有xss漏洞,但是盲打以后,收到的cookie还是不能登录后台 ...
- 又发现一个visual studio 2015的坑啊。
又发现一个visual studio 2015的坑啊...我的后台管理的目录名称叫@duck, 但是在新版VS2015中打开项目后编译,出现错误: Error opening response fil ...
- 一个由"2020年1月7日 京东出现的重大 Bug 漏洞"引起的思考...
2020年1月7日,京东由于优惠券设置错误,导致大量产品以0元或者超低价成交,并且发货.网传小家电被薅24万件,损失损失金额高达7000多万.很多网友表示收到货了,在网上晒出到货截图.下面为购买截图: ...
- 解决DOS批处理中一个困扰我几十个月的编码问题
DOS批处理中的编码很有意思.&是命令连接符,先执行&左边的命令,再执行&右边的命令.|是管道操作,把左边的输出当作右边的输入.此外还有&&和||,当要表示这些 ...
- Android GreenDao 在组件化项目中的一个问题 - 2018年7月5日21:15:14
组件化项目使用GreenDao时注意的事项: 1.要在组件化中的基础库(domain层)创建实体类: 2.如果sycn之后不能生产Dao文件,使用 Android Studio 的Gradle插件重新 ...
- java中的case里嵌套if条件句; 输入一个年份的某一个月份,判断这个月有多少天
public class year { public static void main(String arg[]){ Scanner a=new Scanner(System.in ...
- 安全专家发现GE Multilin SR的一个关键漏洞对全球电网构成严重威胁。
A team of researchers from New York University has found a serious vulnerability in some of GE Multi ...
- 每天一个命令ls 2015/4/1
ls命令可以说是Linux下最常用的命令 -a 列出目录下的所有文件,包括以 . 开头的隐含文件.-b 把文件名中不可输出的字符用反斜杠加字符编号(就象在C语言里一样)的形式列出.-c 输出文件的 i ...
随机推荐
- PyQt学习随笔:PyQt中捕获键盘事件后获取具体按键值的方法
在PyQt中,如果要捕获键盘事件的具体按键,可以通过重写组件对象的keyPressEvent方法或event方法来捕获具体的按键,推荐使用keyPressEvent方法,因为event方法是一个通用事 ...
- PyQt(Python+Qt)学习随笔:Qt Designer中图像资源的使用及资源文件的管理
一.概述 在Qt Designer中要使用图片资源有三种方法:通过图像文件指定.通过资源文件指定.通过theme主题方式指定,对应的设置界面在需要指定图像的属性栏如windowIcon中通过点击属性设 ...
- ABP框架使用Mysql数据库,以及基于SQLServer创建Mysql数据库的架构和数据
ABP默认的数据库是SQLServer,不过ABP框架底层是EF框架,因此也是很容易支持其他类型的数据库的,本篇随笔介绍在ABP框架使用Mysql数据库,以及基于SQLServer创建MySql数据库 ...
- 读github,deepfm,pytorch源码 记录
代码:https://github.com/chenxijun1029/DeepFM_with_PyTorch 2020/12/2首先是数据预处理文件:dataPreprocess.py1. 源数据集 ...
- C++详解(8-9)
八. C++函数的高级特性 对比于C语言的函数,C++增加了重载(overloaded).内联(inline).const和virtual四种新机制.其中重载和内联机制既可用于全局函数也可用于类的成员 ...
- sort by背后使用了什么排序算法
用到了快速排序,但不仅仅只用了快速排序,还结合了插入排序和堆排序 搬运自https://blog.csdn.net/qq_35440678/article/details/80147601
- 廖雪峰官网学习js 数组
indexOf( ) 某字符的位置 slice 相当于string 的substring 切片 a = ['a','b',1,2,3] (5) ["a", "b&q ...
- MVC部署出现403.14问题记录
1.问题截图 2.解决办法有几种 1)在system.webServer下增加,这种是不推荐的. <modules runAllManagedModulesForAllRequests=&quo ...
- DarkMode(1):产品应用深色模式分析
为什么Dark Mode变得越来越流行 2018 年的 macOS Mojave 率先支持了深色外观,紧接着 Windows 10 在 2018 年的 10 月份大版本更新中,也引入了 Dark Mo ...
- C++异常之五 异常和继承
异常和继承 异常也是类,我们可以创建自己的异常类,在异常中可以使用(虚函数,派生,引用传递和数据成员等), 下面用一个自制的数组容器Vector,在对Vector初始化时来对Vector的元素个数进行 ...