提问三步曲: 提问先看教程/FAQ索引(wdcp,wdcp_v3,一键包)及搜索,会让你更快解决问题
1 提供详细,如系统版本,wdcp版本,软件版本等及错误的详细信息,贴上论坛或截图发论坛
2 做过哪些操作或改动设置等
温馨提示:信息不详,很可能会没人理你!论坛有教程说明的,也可能没人理!因为,你懂的
[求助] @admin 木马被抓住了,看来是wdcp的问题
本帖最后由 impig33 于 2016-4-25 15:27 编辑
@admin
过程是这样的:
14日早上,接到ISP的邮件,说是在过去两个小时内,我的vps cpu占用100%,并且流量巨大,被封了。
于是通过第三方的面板进去,查进程有一个www用户运行着host命令,cpu占用100%。
由于我的机子平时比较注意,ftp ssh wdlinux都已改过端口,并且开机并不启动服务,对外只提供了80端口。
基于安全,我还是进去看了日志,这几个都没有问题。
那问题最大的可能是在80了,我下载了出问题时间点半个月以内的日志。
发现有大量的基于目录的猜测,比如(晚上补图):
/phpmyadmin
/phpmyadmin2.8
/phpmyadmin3.0
...
/admin
/admincp.php
...
还有大量的
access_log (注意是127.0.0.1和post操作)
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
和
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
这个xmlrpc.php是wordpress平台常见的一个漏洞。但上述的猜测地址/xmlrpc.php并不存在,所以留下大量日志。
注意,问题是来源ip是127.0.0.1
我的猜测是,黑客之前已经通过扫描某些漏洞,比如html在线编辑器的上传,把某些工具传到了服务器,然后通过http://xxx/工具 在操作。
于是我做了两件事:
1.将/user/bin/host 锁住,给于000权限。
2.将blog的/xmlrpc.php 改名并给000权限。
这时,流量和cpu占用都恢复了,但是木马还在体内,经过一天的观察,127.0.0.对本机的xmlrpc.php的post操作,还在继续产生大量日志。
127.0.0.1 - - [15/Apr/2016:10:10:42 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
请大家支招,谢谢!
-----20160419----------------
木马被抓到了,确认是从web上传了木马,然后用www用户执行了,幸好没有搞到root。
木马样本发上来,供@admin 分析。
链接: http://pan.baidu.com/s/1hr48axu 密码: zsac
接来来的问题是:
1.怎样找出漏洞地址?
2.怎么补系统漏洞?
. |
发表于 2016-4-18 14:20
| 
发表于 2016-4-20 15:16
|