WDlinux官方论坛 - Powered by Discuz! Board

标题: [求助] @admin 木马被抓住了，看来是wdcp的问题 [打印本页]

作者: impig33 时间: 2016-4-18 14:20 标题: @admin 木马被抓住了，看来是wdcp的问题

本帖最后由 impig33 于 2016-4-25 15:27 编辑

@admin

过程是这样的：
14日早上，接到ISP的邮件，说是在过去两个小时内，我的vps cpu占用100%，并且流量巨大，被封了。

于是通过第三方的面板进去，查进程有一个www用户运行着host命令，cpu占用100%。

由于我的机子平时比较注意，ftp ssh wdlinux都已改过端口，并且开机并不启动服务，对外只提供了80端口。
基于安全，我还是进去看了日志，这几个都没有问题。

那问题最大的可能是在80了，我下载了出问题时间点半个月以内的日志。

发现有大量的基于目录的猜测，比如(晚上补图)：

/phpmyadmin
/phpmyadmin2.8
/phpmyadmin3.0
...
/admin
/admincp.php
...

还有大量的
access_log (注意是127.0.0.1和post操作)
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208

和
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat

这个xmlrpc.php是wordpress平台常见的一个漏洞。但上述的猜测地址/xmlrpc.php并不存在，所以留下大量日志。
注意，问题是来源ip是127.0.0.1

我的猜测是，黑客之前已经通过扫描某些漏洞，比如html在线编辑器的上传，把某些工具传到了服务器，然后通过http://xxx/工具在操作。

于是我做了两件事:
1.将/user/bin/host 锁住，给于000权限。
2.将blog的/xmlrpc.php 改名并给000权限。

这时，流量和cpu占用都恢复了，但是木马还在体内，经过一天的观察，127.0.0.对本机的xmlrpc.php的post操作，还在继续产生大量日志。
127.0.0.1 - - [15/Apr/2016:10:10:42 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208

请大家支招，谢谢！

-----20160419----------------

木马被抓到了，确认是从web上传了木马，然后用www用户执行了，幸好没有搞到root。

木马样本发上来，供@admin 分析。

链接: http://pan.baidu.com/s/1hr48axu 密码: zsac

接来来的问题是：

1.怎样找出漏洞地址?
2.怎么补系统漏洞?

.

作者: impig33 时间: 2016-4-20 09:27

版主在哪里?
坛主在哪里?

作者: admin 时间: 2016-4-20 15:16

很明白，这个是WEB漏洞或上传，与wdcp何关？

作者: gutao3800 时间: 2016-4-20 16:04

不管事谁的问题，表示关注，另如果解决了希望分享一下！

作者: impig33 时间: 2016-4-21 09:20

很明白，这个是WEB漏洞或上传，与wdcp何关？
admin 发表于 2016-4-20 15:16

我的见解：

1.wdcp是不是给了过大的目录权限?

2.wdcp的php配置中没有禁用高危函数

3.希望wdcp能加入一些安全功能，比如fail2ban和网页防火墙之类的

请坛主指示！

作者: impig33 时间: 2016-4-21 09:21

很明白，这个是WEB漏洞或上传，与wdcp何关？
admin 发表于 2016-4-20 15:16

请坛主看下木马样本，帮分析一下，谢谢

作者: impig33 时间: 2016-4-25 09:07

坛主，求关注

作者: fictioner 时间: 2017-7-23 10:16

最近dz3.2程序的论坛被攻击，文件被随意删除，hacker极其嚣张，怀疑也是所有人为www的问题。
后来未使用wdcp，自己搭建环境，所有目录文件所有人为root，现在一切正常。

欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/)