无标题文档
wdCP系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdCDN系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
wdOS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdDNS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
注册 发贴 提问 回复-必看必看 wddns免费智能 DNS 开通 本地或虚拟机使 用wdcp 一键包在mysql编 译时"卡住"
【300G高防】双线 无视攻击 wdcp官方技术支持/服务 阿里云8折优惠券 无敌云 腾讯云优惠中,现注册更有260代金额券赠送
返回列表 发帖
提问三步曲: 提问先看教程/FAQ索引(wdcp,wdcp_v3,一键包)及搜索,会让你更快解决问题
1 提供详细,如系统版本,wdcp版本,软件版本等及错误的详细信息,贴上论坛或截图发论坛
2 做过哪些操作或改动设置等

温馨提示:信息不详,很可能会没人理你!论坛有教程说明的,也可能没人理!因为,你懂的

[求助] @admin 木马被抓住了,看来是wdcp的问题

本帖最后由 impig33 于 2016-4-25 15:27 编辑

@admin

过程是这样的:
14日早上,接到ISP的邮件,说是在过去两个小时内,我的vps cpu占用100%,并且流量巨大,被封了。

于是通过第三方的面板进去,查进程有一个www用户运行着host命令,cpu占用100%。

由于我的机子平时比较注意,ftp ssh wdlinux都已改过端口,并且开机并不启动服务,对外只提供了80端口。
基于安全,我还是进去看了日志,这几个都没有问题。


那问题最大的可能是在80了,我下载了出问题时间点半个月以内的日志。

发现有大量的基于目录的猜测,比如(晚上补图):

/phpmyadmin
/phpmyadmin2.8
/phpmyadmin3.0
...
/admin
/admincp.php
...

还有大量的
access_log  (注意是127.0.0.1和post操作)
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208
127.0.0.1 - - [15/Apr/2016:10:10:35 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208



[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat
[error] [client 127.0.0.1] script '/www/web/default/xmlrpc.php' not found or unable to stat


这个xmlrpc.php是wordpress平台常见的一个漏洞。但上述的猜测地址/xmlrpc.php并不存在,所以留下大量日志。
注意,问题是来源ip是127.0.0.1



我的猜测是,黑客之前已经通过扫描某些漏洞,比如html在线编辑器的上传,把某些工具传到了服务器,然后通过http://xxx/工具 在操作。

于是我做了两件事:
1.将/user/bin/host 锁住,给于000权限。
2.将blog的/xmlrpc.php 改名并给000权限。


这时,流量和cpu占用都恢复了,但是木马还在体内,经过一天的观察,127.0.0.对本机的xmlrpc.php的post操作,还在继续产生大量日志。
127.0.0.1 - - [15/Apr/2016:10:10:42 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208


请大家支招,谢谢!



-----20160419----------------

木马被抓到了,确认是从web上传了木马,然后用www用户执行了,幸好没有搞到root。

木马样本发上来,供@admin 分析。

链接: http://pan.baidu.com/s/1hr48axu 密码: zsac


接来来的问题是:

1.怎样找出漏洞地址?
2.怎么补系统漏洞?


.

版主在哪里?
坛主在哪里?

TOP

很明白,这个是WEB漏洞或上传,与wdcp何关?
看清提问三步曲及多看教程/FAQ索引(wdcp,v3,一键包,wdOS),益处多多.wdcp工具集 阿里云主机8折优惠码

TOP

不管事谁的问题,表示关注,另如果解决了希望分享一下!

TOP

很明白,这个是WEB漏洞或上传,与wdcp何关?
admin 发表于 2016-4-20 15:16



   我的见解:


1.wdcp是不是给了过大的目录权限?


2.wdcp的php配置中没有禁用高危函数


3.希望wdcp能加入一些安全功能,比如fail2ban和网页防火墙之类的


请坛主指示!

TOP

很明白,这个是WEB漏洞或上传,与wdcp何关?
admin 发表于 2016-4-20 15:16



   请坛主看下木马样本,帮分析一下,谢谢

TOP

坛主,求关注

TOP

最近dz3.2程序的论坛被攻击,文件被随意删除,hacker极其嚣张,怀疑也是所有人为www的问题。
后来未使用wdcp,自己搭建环境,所有目录文件所有人为root,现在一切正常。

TOP

返回列表