wdcp的一个安全漏洞,非常严重,请大家及时升级和检查
[color=#ff0000][b]在九月份的时候,wdcp出了一个很严重的安全漏洞,当时也出了补丁更新,具体可看[/b][/color][color=#ff0000][/color][url=http://www.wdlinux.cn/bbs/thread-37476-1-1.html]http://www.wdlinux.cn/bbs/thread-37476-1-1.html[/url]
[color=#ff0000][/color]
[color=#ff0000][b]但近日来,发现,很多wdcp的用户都被黑,被增加数据库用户,被上传文件,恶意发包攻击,流量异常,甚至是控制了SSH的权限等[/b][/color]
[color=#ff0000][b]此次事件非常严重,影响也非常大,希望大家及时更新下补丁,以及做下安全限制[/b][/color]
[color=#ff0000][/color]
[color=#ff0000][/color]
[color=#ff0000][b]在wdcp 2.5.11以下的版本都会受到影响,请[/b][/color][color=#ff0000][b]广大用户,[/b][/color][color=#ff0000][b]IDC,云主机公司升级相应的模板等
[/b][/color]
[color=#ff0000][b]如果你的wdcp面板没有限制后台登录域名,也没有修改默认端口的,也没有升级,很可能已被黑[/b][/color]
[color=#ff0000][b]对于这类情况,可能的情况下,最好重装下系统[/b][/color]
[color=#ff0000][/color]
[color=#000000]一般常规检查
1 检查登录记录,是否有其它的IP,用户ID登录
2 检查数据库用户,是否有多出的用户ID
3 检查是否有被上传的文件
4 登录SSH检查是否有异常的进程,以及是否有ip32.rar,ip64,rar这类文件(目前发现,这是黑客上传执行程序)
请大家相互转告[/color][color=#000000]
[/color][size=5][color=#ff0000]=====[/color][b][color=#0000ff]如果被黑也不要害怕,目前已经有解决方法![/color][/b][color=#ff0000]========[/color][/size][size=5][color=#ff0000]
[/color][/size][color=#ff0000][b]
使用分割线下的查收步骤,基本可以查杀后门和恶意程序,维持服务器稳定正常运行,免去重装系统的烦恼[/b][/color][b]。[/b]
[color=#ff0000][b]============查杀流程 2014-11-13更新====================[/b][/color]
[color=#ff0000][/color][color=#000000] 部分WDCP用户的服务器没有修改默认的WDCP管理地址,没有及时更新,导致被黑客入侵。由于WDCP的稳定和方便,很多朋友使用WDCP创建了很多站点,甚至在淘宝卖起了虚拟主机。[/color]
[color=#000000]自WDCP九月份爆出漏洞一来,有部分客户被入侵,被恶意发包,让IDC机房烦恼不已,阿里云 腾讯云 先后发布安全预警,提醒用户升级,检查系统安全。[/color]
[color=#000000]WDCP被入侵后,对系统造成了一定危害,如果直接重装系统,涉及到程序数据的迁移,是很浩大的工程。[/color]
[color=#000000]鉴于此,WDCP技术团队对黑客入侵手法和痕迹的分析,整理出以下WDCP专杀修复脚本,经过测试,可以保证服务器正常运行。[/color]
[color=#000000]
[/color]
[color=#000000]1[size=2] [/size][/color][size=2]如果SSH可以正常登录系统的,跳过此步骤。[/size][color=#000000]SSH无法登陆服务器,密码被恶意修改的,可以在引导系统时,编辑启动项加入single 单用户模式。通过passwd命令 重置密码。[/color][color=#000000] 参考连接 [/color][url=http://jingyan.baidu.com/article/acf728fd1de7ebf8e510a3cb.html]http://jingyan.baidu.com/article/acf728fd1de7ebf8e510a3cb.html[/url]
[color=#000000]
2 ls -lh /bin/ps 查看文件大小和时间,正常的是100K以内。如果是1.2M 左右的就是被替换了。(ps是LINUX下的任务管理器程序)[/color]
[color=#000000] 使用[/color][url=http://www.onlinedown.net/soft/143.htm]XFTP软件[/url][color=#000000]上传覆盖对应版本(centos5和6 的不同)的ps 文件 [url=http://www.wdcdn.com/down/WDCP_FIX.zip]WDCP漏洞修复下载[/url],添加执行权限chmod +x /bin/ps。 同理 上传/bin/netstat文件 。[/color][color=#000000]
[/color]
[color=#000000] 论坛用户补充,黑客在窜改前,对上述文件进行了备份,大家也可以使用下面的命令进行恢复 原始版本的文件。[/color]
[color=#000000]cp /usr/bin/dpkgd/* /sbin/ && cp -f /usr/bin/dpkgd/* /bin/ 然后按几次Y 确认覆盖即可。
[/color]
[color=#000000]3 a.去除恶意文件的执行权限[/color]
[color=#000000]chmod 000 /tmp/gates.lod /tmp/moni.lod [/color]
[color=#000000]service sendmail stop[/color]
[color=#000000]chkconfig --level 345 sendmail off[/color]
[color=#000000]chmod -x /usr/sbin/sendmail[/color]
[color=#000000]
[/color]
[color=#000000]chmod -R 000 /root/*rar*[/color]
[color=#000000]chattr -i /root/conf.n[/color]
[color=#000000]chmod -R 000 /root/conf.n*[/color]
[color=#000000]
[/color]
rm -rf /www/wdlinux/wdcp/sys/802
rm -rf /www/wdlinux/wdcp/sys/802.1
rm -rf /usr/bin/lixww
rm -rf /usr/bin/bsd-port/getty[color=#000000]
[/color]rm -rf /tmp/gates.lock
rm -rf /tmp/moni.lock
rm -rf /usr/bin/bsd-port/getty.lock
rm -rf [size=12px]/www/wdlinux/wdcp/sys/conf.n[/size]
rm -rf /usr/bin/bsd-port/conf.n
[color=#000000]b.关闭恶意进程[/color]
[color=#000000]ps auxww 查看当前系统进程 查找恶意进程 一般是*.rar 或者使用CPU较高的[/color]
[color=#000000]kill -9 进程ID[/color]
[color=#000000]killall 进程名 比如256.rar proxy.rar 等[/color]
[color=#000000]c. 查看任务计划 [/color]
[color=#000000]crontab -e 看看是否有可疑任务,如果有多个/tmp下的随机名称的文件,那就是恶意程序,删除该任务[/color]
[color=#000000]
[/color]d.检测 /etc/rc.d/ 下的rc.local rc3.d rc5.d 目录下 是否有可疑文件,可以删除,这个是 启动项程序存放文件夹。
[color=#000000]4 修改SSH端口,黑客是脚本实现的批量入侵,修改默认端口,可以有效避免入侵。[/color]
[color=#000000]vi /etc/ssh/sshd_config 里的 #Port 22 为 Port 40822[/color]
[color=#000000]重启SSHD服务 service sshd restart [/color]
[color=#000000]
[/color]
[color=#000000]5 部分用户的WDCP密码被非法篡改了。无法使用 http://ip:8080 进行登录管理后台[/color]
[color=#000000] 可以尝试使用 http://ip:8080/phpmyadmin 登录数据库管理 重置WDCP管理员的密码 [/color]
[color=#000000] 如果忘记MYSQL的ROOT密码 ,强制修改mysql的root密码 在服务器里执行 sh /www/wdlinux/tools/mysql_root_chg.sh [/color]
[color=#000000] 点击wdcpdb数据库,选择wd_member 浏览信息,选择编辑admin这一行数据的passwd字段,[/color]
[color=#000000] 修改为 fc76c4a86c56becc717a88f651264622 即修改admin用户的密码为 123@abc[/color]
[color=#000000] [/color]
[color=#000000] 此时可以登陆WDCP管理界面了。删除其他管理员用户 一般为 test2,[/color]
[color=#000000] 登陆后还需要修改WDCP的默认8080端口,设置为40880 并在防火墙里允许该端口。[/color][color=#000000]
[/color]
[color=#000000]6 删除ssh秘钥文件登陆方式 ,经过对黑客的入侵痕迹分析,发现用户是使用WDCP面板的生成公钥功能,获取SSH权限的。[/color][color=#000]禁止使用SSH公钥登陆 [/color]
[size=3][color=#000000] [/color][color=#0000ff] [/color][/size][size=3][color=#0000ff]echo 0 > /root/.ssh/authorized_keys && chattr +i /root/.ssh/authorized_keys[/color][/size][size=3][color=#000000]
[/color][/size]
[size=3][color=#000000]
[/color][/size][color=#000000]7 设置防火墙规则 最后再设置防火墙规则,因为WDCP自带的规则设置不完善,推荐手工编辑配置文件。[/color]
[color=#000000]设置 只允许外网访问 服务器的80(web) 40822(ssh) 40880(wdcp) ftp(20000-20500) ,禁止服务器访问外网,禁止木马反弹连接。[/color][color=#000000]
如果您有固定IP 可以设置只允许您自己的IP 访问. -s 指定来源IP[/color]
[color=#000000]比如 -A INPUT -s 183.195.120.18/32 -m state --state NEW -p tcp --dport 40822 -j ACCEPT[/color]
[color=#000000]编辑防火墙规则 vi /etc/sysconfig/iptables [/color]
[color=#000000]重启防火墙 service iptables restart [/color]
[color=#000000]查看当前规则 service iptables status[/color]
[color=#000000]下面是已经编辑好的规则,如果您设置的端口 和 上面的一样,下面的规则可以直接采用。[/color]
[color=#000000]# Generated by WDCP_FIX[/color]
[color=#000000]*filter[/color]
[color=#000000]:INPUT ACCEPT [0:0][/color]
[color=#000000]:BLOCK - [0:0][/color]
[color=#000000]-A INPUT -i lo -j ACCEPT[/color]
[color=#000000]#-A INPUT -s 183.195.120.18/32 YOUR IP -j ACCEPT[/color]
[color=#000000]#-A INPUT -s 192.168.0.0/16 -p udp --dport 161 -j ACCEPT[/color]
[color=#000000]-A INPUT -j BLOCK[/color]
[color=#000000]-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT[/color]
[color=#000000]-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT[/color]
[color=#000000]-A INPUT -m state --state NEW -p tcp --dport 40822 -j ACCEPT[/color]
[color=#000000]-A INPUT -m state --state NEW -p tcp --dport 40880 -j ACCEPT[/color]
[color=#000000]-A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT[/color]
[color=#000000]#-A INPUT -m state --state NEW -p tcp -m multiport --dports 21,20000:20500 -j ACCEPT[/color]
[color=#000000]#-A INPUT -s YOUR_IP -m state --state NEW -p tcp --dport 8080 -j ACCEPT[/color]
[color=#000000]#-A INPUT -s 8.8.8.8 -m state --state NEW -p tcp --dport 8080 -j ACCEPT[/color]
[color=#000000]-A INPUT -j REJECT --reject-with icmp-port-unreachable[/color]
[color=#000000]-A OUTPUT -o lo -j ACCEPT[/color]
[color=#000000]-A OUTPUT -d 8.8.8.8 -j ACCEPT[/color]
[color=#000000]-A OUTPUT -d 8.8.4.4 -j ACCEPT[/color]
[color=#000000]#-A OUTPUT -d 183.195.120.18/32 -j ACCEPT [/color]
[color=#000000]-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT[/color]
[color=#000000]#-A OUTPUT -m state --state NEW -p tcp --sport 20 -j ACCEPT[/color]
[color=#000000]#-A OUTPUT -m state --state NEW -p tcp -m multiport --dports 22,25,443,465 -j ACCEPT[/color]
[color=#000000]-A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT[/color]
[color=#000000]#-A OUTPUT -m state --state NEW -p tcp --dport 80 -m hashlimit --hashlimit 5/sec --hashlimit-mode dstip --hashlimit-name out_http -j ACCEPT[/color]
[color=#000000]-A OUTPUT -j REJECT --reject-with icmp-port-unreachable[/color]
[color=#000000]COMMIT[/color]
[color=#000000]# Generated by WDCP_FIX.[/color]
[color=#000000]
[/color]
[color=#ff00ff]说明:禁止服务器访问外网,可能会引起采集文章和图片异常,连接远程数据库异常,建议逐个添加防火墙规则 放行端口 和IP。[/color][color=#ff00ff]具体请在 OUTPUT里放行对应的端口。[/color]
放行访问外网的80 [color=#000][size=12px]-A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT[/size][/color]
放行访问外网的3306 [color=#000][size=12px]-A OUTPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT[/size][/color]
[color=#000000]8 安全维护建议[/color]
[color=#000000]1 WDCP 可以设置访问域名。比如设置 一个很长的二级域名,只有自己知道,这样黑客就无法访问了。[/color]
[color=#000000] 更厉害点,这个域名不设置解析,自己修改本地电脑的HOSTS文件,强制指向访问,这样只有自己可以访问了。[/color][b][url=http://www.wdlinux.cn/bbs/thread-3065-1-1.html]wdcp后台访问安全设置即限制域名/IP访问设置及清除方法[/url]
[url=http://www.wdlinux.cn/bbs/thread-3355-1-1.html]wdcp安全设置,让你的后台,只有你自己能访问[/url][/b][color=#000000]
[/color]
[color=#000000]2 平时关闭 wdcp服务,需要使用时,临时开启。 不影响WEB服务的运行。[/color]
[color=#000000] 关闭服务和禁止开机启动 /etc/init.d/wdapache stop && chkconfig --level 345 wdapache off[/color]
[color=#000000] /etc/init.d/wdapache start 开启服务[/color]
[color=#ff0000][b]感谢您的支持!祝您生活愉快![/b][/color][color=#ff0000][b]WDCP漏洞修复包下载,如果您对LINUX不熟悉,可以找懂技术的朋友参考此文档帮忙清理![/b][/color]
漏洞修复包 [url=http://www.wdcdn.com/down/WDCP_FIX.zip]http://www.wdcdn.com/down/WDCP_FIX.zip[/url] 建议wdcp官方提供一个邮件或者短信订阅,大家都把手机号或者邮箱提交一下,这样以后有更新可以及时通知。可能很多人都不经常登录wdcp的 :'(我的站打不开了。。。。 能及时告知大家 支持wdcp /etc/rc.d/下还有内容呢。。。。:Q 重伤。 为什么要金币才能下载呢~ 已经 设置为免费下载了。请测试! [b]回复 [url=http://www.wdlinux.cn/bbs/redirect.php?goto=findpost&pid=65689&ptid=37766]4#[/url] [i]yourewang[/i] [/b]
已经群发邮件,稍后会继续跟进通知! 我在WDCP后台面板上面点升级到wdcp 2.5.11,然后过一会提示升级成功。
这样就可以了吗?还是要再重启一下linux系统呢? 建议最好重启下吧。 **** 作者被禁止或删除 内容自动屏蔽 **** 已经中毒状态了 求管理看看如何解决 小白菜们需要经验:lol
[attach]4920[/attach] [quote]-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT[/quote]
我想知道这句的意义,是否会引起网络请求延迟呢?……求指导! 我发现文中提到的两个可疑文件:/bin/ps 与 /bin/netstat
大小都是 1,135,000byte
于是我查找这个大小的全部文件:
find / -size 1135000c
得到如下结果
/bin/netstat
/bin/ps
/www/wdlinux/wdcp/sys/802
/www/wdlinux/wdcp/sys/802.1
/usr/bin/lixww
/usr/bin/bsd-port/getty
希望对官方能有所帮助,并指导一下我们如何处理…… 在 /tmp 目录下发现两个可疑文件:gates.lock 与 moni.lock
大小都为 4byte
于是我查找以lock结尾并且只有4byte大小的文件:
find / -name '*.lock' -size 4c
得到如下结果
/tmp/gates.lock
/tmp/moni.lock
/usr/bin/bsd-port/getty.lock
三个文件我全部删除了……希望有用……… 在 /usr/bin/bsd-port/ 目录还发现可疑文件:conf.n
大小为69byte
于是查找这个文件名一样的文件:
find / -name 'conf.n'
得到如下结果
/www/wdlinux/wdcp/sys/conf.n
/usr/bin/bsd-port/conf.n
两个文件我都删除了……希望我做的没有问题…… 意外地在 /usr/bin/ 目录发现可疑新目录 /usr/bin/dpkgd
该目录下有两个文件: ps 与 netstat
对比修改时间发现该两个文件与 /bin/ps 与 /bin/netstat 这两个文件被修改的时间一致
深刻怀疑这是攻击者做的备份所在,于是用这两个备份文件替换了/bin下的对应文件,ps与netstat又能正常使用了。
PS:使用WD官方提供的netstat文件会被系统提示:-bash: /bin/netstat: /lib/ld-linux.so.2: bad ELF interpreter: 没有那个文件或目录,说明文件还是有问题的,而且和备份的两个文件的大小并不一样!
看来,攻击者还是挺有良心的,好像也没有做任何大的动作和破坏!
谢天谢地谢这个陌生人! 支持老大。 精彩啊! 很多客户受伤了,我们也可以借助黑客的思维,设置使用SSH私钥登录,这样更安全一些。 嗯,谢谢管理员,不过我的版本无法修补,统名称:WDlinux Control Panel (简称wdCP) (WD订阅)
当前版本: wdcp_v2.5.11(20140926) 最新 wdcp_v2.5.11(20140926)更新日志
操作系统:Linux 2.6.32-279.el6.x86_64 我以为WDCP该升级了。
现在CentOS 7.0了。
但是WDCP不支持,我安装了,全乱了。。。多希望支持呀。WDCP就算收费我也支持呀。。。可惜
真的该升级一下了。。。 :)非常感谢,我真的中招了。幸好看到这个教程,才把问题解决。 完全按照这上面解决了,但是操作后后台由原来的空白变为打开,进入后升级,并没有发现 test2 账户,只有一个 admin ,现在后台运行良好,创建新站点也是 502 bad ,原来的所有网站都是 502 ,这是为何? 怎么没法直接在后台升级? 系统名称:WDlinux Control Panel (简称wdCP) (WD订阅)
当前版本: wdcp_v2.5.11(20140926) 最新 wdcp_v2.5.11(20140926) 更新日志
操作系统:Linux 2.6.32-504.1.3.el6.x86_64
弱弱的问下,这个版本要补吗 [b]回复 [url=http://www.wdlinux.cn/bbs/redirect.php?goto=findpost&pid=65856&ptid=37766]14#[/url] [i]nuctroy[/i] [/b]
感谢提醒,删除恶意文件即可 [b]回复 [url=http://www.wdlinux.cn/bbs/redirect.php?goto=findpost&pid=65936&ptid=37766]20#[/url] [i]hjk7788[/i] [/b]
[color=#ff0000]升级方法[/color]
1 直接在后台升级就可以
2 如果无法在后台升级,可用如下方法
SSH登录服务器
[size=12px]wget [/size][url=http://down.wdlinux.cn/down/wdcp_v2.5.tar.gz]http://down.wdlinux.cn/down/wdcp_v2.5.tar.gz[/url]
tar zxvf wdcp_v2.5.tar.gz -C /
完成即可 学习了。刚发现要升级,不过还很及时。 我用的是腾讯云主机,ssh被恶意改了但无法实现教程里的第一步啊,楼主求解 肿么老有漏洞
页:
[1]
2