V2EX 首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
V2EX  ›  Linux

网站被挂马,我不断删除他们生成恶意的文件,今天把它惹毛了,删除了我的站点代码,目前我掌握的信息如下

  •  
  •   king2014 · 71 天前 · 4090 次点击
    这是一个创建于 71 天前的主题,其中的信息可能已经有所发展或是发生改变。

    1.查看 linux 的操作 history 发现有如下几行命令行记录,其他任何记录都没有,secure 日志也正常,登录 ssd 的 ip 地址都是确定安全的,也可能被黑客删除了登录记录。 1513147165:0;export HISTSIZE=0 1513147171:0;export HISTFILE=/dev/null 2.貌似也只是假设,他只能操作一个站点下面的文件和 tmp 下面生成文件,其他不能操作,不然他可以直接删掉整个服务器,是通过站点漏洞 webshell 等操作实现的吗?

    我想问下 1.站点是用了开源的框架(很老已经不维护的那种),一些重要文件我都要做 chatter + i 加过权限的,黑客可以通过站点漏洞 webshell 等删除这些加过权限的文件吗?

    2.是不是它获取了整个服务器的 root 权限?所以他可以删除哪些被我加 i 文件

    3.接下去我该怎么办,代码倒是有备份,但是找不到问题的源头,他还可以再次删除代码。

    4.服务器密码改过后,是复杂的强密码,还是被删除了代码,还直接被挑衅

    35 回复  |  直到 2017-12-16 18:02:27 +08:00
        1
    ho121   71 天前 via Android
    报警啊
        2
    king2014   71 天前
    @ho121 已经报警,没什么用,录了口供,让我自己加强防护
        3
    WordTian   71 天前 via Android
    日志没异常,那估计就是通过网站框架的远程执行命令漏洞入侵的。你启动网站框架是不是用的 root 用户?如果是的话,对方很容易得到有 root 权限的 shell。最好用非 root 权限启动网站框架
        4
    opengps   71 天前
    开启你网站后,看看对外产生了那些连接 ,使用 netstat 命令
        5
    zc666   71 天前 via iPhone
    如果是 webshell,web 服务的日志应该会有记录吧
        6
    kuretru   71 天前 via iPhone
    用 last 命令看一下,感觉是拿了 root 权限
        7
    ys0290   71 天前 via iPhone
    为什么不先改密码?
        8
    ys0290   71 天前 via iPhone
    @ys0290 请忽略我
        9
    acgnsstech   71 天前
    重装系统~!

    换程序!!!!
        10
    jimmy2010   71 天前 via Android
    http access 日志能看到他怎么进来的
        11
    king2014   71 天前
    @WordTian 确实是 root 权限,谢谢提醒
        12
    king2014   71 天前
    @kuretru last 命令看过,没有异常
        13
    king2014   71 天前
    @zc666 嗯,要看日志记录
        14
    king2014   71 天前
    @acgnsstech 苦逼啊,装系统就图片文件就要 2T,转移是个问题,而且其他目录下面还运行着其他项目。暂时不能重装
        15
    amu   71 天前
    應該是通過 web shell 獲取了 web 根目錄的 root 權限,你可以搜索一下你的开源的框架有沒有 CVE,趕緊換一個新的框架
        16
    ztaosony   71 天前
    估计你这框架漏洞不少
        17
    simple4wan   71 天前 via Android
    安全狗 阿里云盾 云锁 手工搞不定就用工具
        18
    gbin   71 天前   ♥ 3
    请问楼主是什么 WEB 环境? LAMP 吗?

    我感觉是 ``eval`` 函数的锅,站点没注入了,你可以尝试以下操作:

    1. 查看最近两天被修改过的 PHP 文件(假设你站点是 PHP )
    ```
    find -mtime -2 -type f -name \*.php
    ```
    2. 查找是否有木马
    ```
    grep -r --include=*.php '[^a-z]eval($_POST' /path/to/site/
    grep -r --include=*.php '[^a-z]eval($_' /path/to/site/
    grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' /path/to/site/
    ```

    一些建议:
    1. 如果是 PHP 环境,确保运行 PHP 的用户为一般用户,如 www
    2. 禁用 PHP 危险函数,如 eval,exec,phpinfo 等
    3. 改变 PHP 文件的权限:644
    4. 关闭上传目录的 PHP 执行权限
    5. 如果是 Apache,可以使用 mod_security 模块防止 SQL 注入、XSS 攻击。
        19
    ixiaohei   71 天前
    感觉楼主是 php 网站,我司 java 技术栈, 生产新开个 zuul 网关,access 日志看到一堆奇怪的.php 结尾 url,当时就在想 php 漏洞这么多?
        20
    selfAccomplish   71 天前
    你用的什么框架? Linux 而且还有框架的话,常见的是 jsp 程序用的 Struts-2,甚至你的 tomcat 等应用版本过老也有可能被直接攻击拿到 root 权限。这种事情还是平时安装安全软件,云平台的话启用云安全防护。出了事,如果事小只能自己报警然而如果你自己提供不了足以抓到对方的证据警察也没办法。还是找专业人士来溯源吧。
        21
    Sor   71 天前
    用云锁监控下试试,拦截未知 webshell,开启个高级防护,先在云平台看一下,不行让他们帮你看看哟
        22
    WuwuGin   71 天前 via Android
    @ixiaohei 很正常,用户多自然病毒多,参考 Windows 和 MacOS 的对比。
        23
    moult   71 天前
    find 去找最近有修改或创建的文件,看看这些文件是否有异样,可以确定是不是通过 webshell 进来的。
    其实楼主的大忌就是 webserver 用了 root 用户,最好单独给一个用户,然后除了 upload 目录以外都给只读,upload 目录配置纯静态访问,就算有漏洞,也只能往 upload 里面写脚本,可是脚本执行不了,也是白搭。
        24
    zsx   71 天前
    @ixiaohei #19 扫描器而已
        25
    pynix   71 天前
    目前最危险的还是注入。。。。
        26
    Patrick95   71 天前
    @ixiaohei #19 扫描器,基本都是 Wordpress 的扫描器。
        27
    Va1n3R   71 天前
    现在没啥办法了,这样子的项目估计也不是什么重要的系统...直接重装吧。。。留了后门都很难清除,看你的描述,对方的权限肯定不会小...这一般都是提权成功了的,服务器看来补丁打的也是很少...然后还有的建议...别用开源的小程序...都是靶子
        28
    msg7086   71 天前
    扔进虚拟机里跑呢……
    Linux 一旦被人拿到 root 权限,就没有什么他不能做的事情了。删你文件和数据库算是轻的。
        29
    u5f20u98de   71 天前
    如果进来拿了 root 权限给你装了 rootkit 都是可能的,找 rootkit 有时候也比较难,建议分析出攻击路径重装,如果没能力分析找个懂安全的帮你分析分析
    不过也有可能是别的项目出的漏洞把你祸害了
        30
    mcfog   71 天前 via Android
    一直以为被侵入的机器除非故意做蜜罐,拿来再上生产的话肯定是要格盘重装并重新正确配置所有东西的

    到底是这其实不是常识还是不具备合格的运维常识却被逼上运维角色的人太多?
        31
    king2014   71 天前
    @mcfog 被逼上运维人太多。nnd 没办法
        32
    or2me   71 天前
    看了半天也就 @moult
    @mcfog 俩人说的稍微靠谱点.对于楼主这种水平,我觉得还是直接搬到阿里云开启云盾或者装个安全狗有用点.
        33
    greatbody   71 天前
    如果有持续部署和自动备份,我想你收到的影响不会太大。人家总不至于把服务商都删了吧。
        34
    haitang   71 天前 via iPhone
    查下 web 日志,如果有注入什么的一般都会有奇怪的 url 访问吧,不过 post 的话就不好查了
        35
    boboliu   70 天前
    一首凉凉送给楼主

    关于安全:SQL 全部 prepare,外来数据全部 HTML escape,基本就稳了
    DigitalOcean
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   1821 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.0 · 54ms · UTC 07:40 · PVG 15:40 · LAX 23:40 · JFK 02:40
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1