先说下情况:
现在想法:
不知道有没有人遇到过类似的问题知道原因的?有什么办法根治这个问题么?
Append回答一下一楼的问题吧,不是引战,只是的确有些东西没有说清楚:
机子本身禁止了 ROOT 登录,禁止了密码登录,用的是证书,证书有密码 答:这和证书有没有密码有毛线关系?
这个服务器是我们的服务器中唯一一个证书有密码的服务器,当然就随口提了一句。主要是表明SSH登录上的可能性不大。当然也不是完全排除这种可能性,在/var/log/auth.log 中并没有任何异常登录的情况。加上禁止ROOT,登录用户名基本属于猜不出来的随机组合,禁止密码登录(基本没有暴力破解的可能)加上证书有密码,即使因为某种情况证书泄露,也可以说完全不可能有外人登录SSH的可能。
当然,黑客无所不能,可能也的确可以作出点事情。可是我们又不是什么牛逼网站,何必呢?
应该不是机子暴露,否则为什么每次出事都是同一个网站? 答:机子暴露就必须所有网站都被挂马?不是所有网站都被挂马就可以排除机子暴露?你这逻辑真是反人类!
机子暴露不是所有网站都要挂马,这个的确没有,可是请仔细看我说的,我的问题是“每次都是同一个” 机子上总共13个网站,全部在/data/,在该目录下随机进入一个网站上传一个东西完全可以啊?要是有SSH权限或者某些权限的话,随机上传一个目录不是更有可能么?我是我做这种事,肯定随机上传目录,每次都不一样,每次都好几个文件夹,为什么一定要盯着一个目录不放呢?
当然这只是逻辑推测,的确不能排除机子暴露可能,不过上次出事之后我们修改了密码并且更新了证书和IP地址,如果这样他们也还能进来的话,那么真的是太厉害了
没有 FTP ,所以应该不是 FTP 问题 答:没有安装 FTP 就肯定不是 FTP 的问题,你又是怎么厉害”应该“一词的?
这个问题,我本来只想笑一下,但是我觉得可以说一句。没安FTP服务器,没有FTP程序在跑,你给我通过FTP上传个试试?
感觉像是 WordPress 什么权限问题,但是不清楚 答:感觉?呵呵
呵呵,你开心就好.. 反正我开心,今天老板给涨工资,所以我开心来和你逗逗乐 😘
 |
1
Vhc Nov 24, 2016
> 1. 机子本身禁止了 ROOT 登录,禁止了密码登录,用的是证书,证书有密码
答:这和证书有没有密码有毛线关系? > 2. 应该不是机子暴露,否则为什么每次出事都是同一个网站? 答:机子暴露就必须所有网站都被挂马?不是所有网站都被挂马就可以排除机子暴露?你这逻辑真是反人类! > 3. 没有 FTP ,所以应该不是 FTP 问题 答:没有安装 FTP 就肯定不是 FTP 的问题,你又是怎么厉害”应该“一词的? > 4. 感觉像是 WordPress 什么权限问题,但是不清楚 答:感觉?呵呵 |
 |
3
Tink PRO  2
有可能是 Wordpress 的插件目录或者主题目录对于普通用户是可写的,再配合 Wordpress 本身的漏洞,这种钓鱼网页放进去应该不困难
|
 |
5
bytenoob Nov 24, 2016 via Android
getshell 了
|
 |
7
jasontse Nov 24, 2016 via iPad 1
WP 可以在线编辑主题很容易被 getshell ,最好提供一下后台登录记录。
|
 |
8
wildcat007 Nov 24, 2016 5
看了一楼的其他回复··呵呵 block
|
 |
9
v2gba Nov 24, 2016 1
WordPress 是不是用了老版本的?
其他两个网站是自己写的程序吗? 有可能注入的地方么? 有正确设置权限么?有在 WordPress 那个目录写文件的权限吗? |
|
10
wildcat007 Nov 24, 2016 2
1 、机子本身禁止了 ROOT 登录,禁止了密码登录,用的是证书,证书有密码
伪分析:题主是为了说明账号安全,默认不能试用账号密码登录,在没有证书的情况下,一般黑客利用爆破 ssh 的方法是不可行的,那么可以排除了黑客拥有账号密码直接登录的可能性,但是在被黑以后可能就有权限了。 2 、应该不是机子暴露,否则为什么每次出事都是同一个网站? 伪分析:我不知道这个啥意思··· 3 、没有 FTP ,所以应该不是 FTP 问题 伪分析:没有 FTP ,当然不是 FTP 的问题。但是 wordpress 是有上传的权限的。 4 、感觉像是 WordPress 什么权限问题,但是不清楚 伪分析:可能出现的问题比较多,可能有 --1-- mysql 端口是否对外&弱口令? --2-- wordpress 后台弱口令? --3-- 一键搭建环境,是否存在服务器的解析漏洞? --4-- 其他服务造成的黑客提权? --5-- 有无 phpinfo.php 这样的类似文件存在? --6-- 其他 建议查看进程,查看 history ,查看 crontab ,查看 logs 辅助解决。 |
|
11
Vhc Nov 24, 2016
|
 |
15
helloccav Nov 24, 2016 1
赶紧查查 apache 访问日志,检查所有 POST 请求,特别留意不是发送到 wp-admin 目录的 POST 请求
|
 |
17
hahiru Nov 24, 2016 via Android 1
查日志呗,或者请专业的帮你看看。这种情况说不好的,必须实地勘察。
|
 |
19
upczww Nov 24, 2016 4
我发现最近 v 站戾气很重,真的。人家楼主是虚心来问问题的,一楼的每句话都能把别人嘲讽死,而且他却丝毫没发现自己的问题,反而觉得别人这样想是心理阴暗,在现实生活中这样生活应该很不愉快吧。
|
 |
22
9hills Nov 24, 2016
比较典型的 getshell ,解决办法很多。首先 wordpress 升级到最新版,然后把一些容易注入的地方给限制访问
|
|
23
9hills Nov 24, 2016
另外处理前,建议备份数据,重装系统
|
|
24
Vhc Nov 24, 2016
|
 |
25
zhs227 Nov 24, 2016 2
没有人说先看看目录的 owner 和 group 么,如果是 root 的话,不得了,赶紧重装系统。如果只是 www ,很有可能是 webshell 突破了部分权限,在网站根目录写了东西。
|
 |
26
lfk0000 Nov 24, 2016 via Android 1
1 楼强力歪楼...
|
 |
27
Shura Nov 24, 2016 via Android
block 真是个好东西啊
|
|
28
Vhc Nov 24, 2016
1 、我承认我在一楼的回复言辞不够委婉,这点我向楼主道歉。
2 、我在一楼的回复句句对题,指出楼主主题内容表述中的错误。并非是某些人口中的” 0 帮助“。 3 、下面那些无脑喷子也请你们扪心自问一下,你们把别人善意的回答理解为秀优越感,真的不是自己心里的阴暗与自卑吗? |
 |
29
bk201 Nov 24, 2016 via iPhone 1
你可以使用 docker 搭建这些 wordpress ,然后再分析问题所在.
|
 |
30
Izual_Yang Nov 24, 2016 via Android 5
@Vhc
别人每句话你都要回喷,还说自己戾气不重? |
|
31
Vhc Nov 24, 2016
|
 |
32
dasenlin Nov 24, 2016 1
黑阔很可能用了 php 一句话加菜刀,上传个文件夹进去不是什么问题, 这样钓鱼被查的风险转嫁到楼主头上了。
备份下网站 然后下载个护卫神扫描下整个网站文件夹,应该会有洞洞 |
|
33
Vhc Nov 24, 2016
@Izual_Yang 这个你真误会了,我回喷并不是我戾气重,而是我一直活的开心与轻松,有什么话我都会说出来,然后就会很轻松愉悦。有些人喜欢生闷气可不好。
|
 |
34
gogohigh Nov 24, 2016 1
哈哈,本来就是技术不行搞不定,直接说出来也没有什么不好呀
|
 |
35
Chrisplus Nov 24, 2016 1
曾经用 wordpress 的某些低版本的时候,被 getshell 了,然后解决方法就是升级到新版本。
P.S. 天哪,一楼是怎么了? |
 |
38
lanyusea Nov 24, 2016
大家不要这样,可能一楼只是刚刚失恋了心情不好而已。
|
 |
39
kingddc314 Nov 24, 2016 via Android
为什么 v 站没有👎
|
 |
40
phpdever Nov 24, 2016 5
凡是跟一楼有过沟通的人,我通通都送了铜币...
|
 |
43
Altman Nov 24, 2016 1
使用这些开源软件的时候 记得设置恰当的权限
譬如: 把 wordpress 运行在 admin 账户下,但是 wordpress 所属其他账户,所有的目录 除去 uploads 目录,都只有执行权限 , uploads 目录除去执行权限。 |
 |
44
ic2y Nov 24, 2016 2
一楼这种就是:自我感觉良好,谁指出自己的问题就是喷子。古文上教的 三省吾身呢。一个人指出问题,说明他是个喷子,两个人指出问题,说明他们两个有偏见,那三个人四个人指出来呢??
|
 |
45
lawlietxxl Nov 24, 2016
很强势啊。我很羡慕。因为我做不到。
|
|
47
ic2y Nov 24, 2016
@Vhc 戾气重的可以。这里是个社区,是一个家庭。楼上已经说了,你给提问者的回复戾气很重,你认为是乱碰那就没有办法喽。。你为我随大流感到悲哀。你有悲哀这个概念那是极好的,反正你的言语不值得我为你悲哀。
|
 |
48
nikubenki Nov 24, 2016
能不能举报一楼啊
|
 |
49
LeoSocks Nov 24, 2016 via Android 2
|
 |
50
lllang Nov 24, 2016
看看网站有没有文件上传的地方,可能是文件上传漏洞?
|
|
51
Vhc Nov 24, 2016
|
 |
52
amustart Nov 24, 2016 1
SQL 注入, XSS ,文件上传,一句话木马?应该都可以吧,对渗透不是特别熟悉, 建议,不要用那种一键装机脚本(可能有后门漏洞,而且一般不是最新版),最好全都自己来, wordpres 尽量安装最新版本。 你要知道 wordpress 和它的插件爆出的漏洞就有很多了,更不用说 0day 了
|
|
53
Vhc Nov 24, 2016
|
|
55
Vhc Nov 24, 2016
@amustart
> 你要知道 wordpress 和它的插件爆出的漏洞就有很多了,更不用说 0day 了 答: WordPress 的插件众多,质量参差不齐,时而爆出漏洞也是常态。但是 WordPress 本身却极少爆出漏洞,即使爆出漏洞也是权限极低的,几乎没有可能拿到 WebShell 。 |
 |
56
skylancer Nov 24, 2016
噢我艹,搜了下这人的回帖,还是 b 了吧
|
|
59
amustart Nov 24, 2016 2
@Vhc https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress 全是 wordpress 的 CVE ,以及你确定最新版本的没有 0day ?
|
 |
60
Ouyangan Nov 24, 2016
为什么总是在吵架呢?
|
|
61
Vhc Nov 24, 2016
|
 |
63
j98ujjjk Nov 24, 2016
看完这个帖子,发现 1 楼真是极品中的极品。 1 楼千万别 @我,我怕传染。
|
 |
64
Technetiumer Nov 24, 2016 2
@Vhc 你开心就好
> 这和证书有没有密码有毛线关系? “伪分析:题主是为了说明账号安全,默认不能试用账号密码登录,在没有证书的情况下,一般黑客利用爆破 ssh 的方法是不可行的,那么可以排除了黑客拥有账号密码直接登录的可能性,但是在被黑以后可能就有权限了。 ” > WordPress 后台有自动升级功能,最新版的 WordPress 不存在你所说的任何一条。 自动升级是为啥?修复了漏洞。最新版的 WordPress 不存在任何漏洞那为啥要自动升级? > 面对你们这一群喷子,我真的懒得再回复了。 你才是喷子好不好? |
 |
65
SharkIng OP @Tink 我是这么想得,但是说实话懒得去研究,所以不好意思做了次伸手党。感谢回复,我有时间再研究研究 Wordpress 本身漏洞问题
@Yc1992 能说详细一点么?谢谢 @helloccav 刚开始查看了下日志并没有发现什么异常,我再仔细查看一下,谢谢提醒 @jasontse 感谢提醒,的确没主意后台记录,我再看看。 @MrGba2z WordPress 版本不是最新版,但是也不算很老,不知道有出现过某个老版本这种漏洞问题么? 其他大约 8 个网站,多半都是 HTML 单页面,有一两个是 PHP 基本都是自己写的,除了这个网站没有用到 WordPress 的地方。权限都是 www 用户可读不可写权限,除了 WordPress 的几个需要读写权限的地方,但是他偏偏在根目录下。 其他的有实质回答解决问题的都一一送过感谢了,回复很多重复我就不一一口头感谢了。大概了解了情况后我会回去继续查看一下的。谢谢大家帮忙 PS :我觉得我发帖上并没有什么语气上的问题,不知道为什么第一个回复就招来这样的嘲讽。服务器端安全问题我还是很有信心的,但是的确对 WordPress 和 PHP 等上面内容不是很熟悉,所以如果有说的不对的地方欢迎大家喷 |
 |
66
wangkangluo1 Nov 24, 2016 via iPhone 1
应该是 Wordpress 漏洞,之前也遇到过这样的问题,客户数据都丢了
|
|
67
Technetiumer Nov 24, 2016 1
@Vhc
> 我在一楼的回复句句对题,指出楼主主题内容表述中的错误。并非是某些人口中的” 0 帮助“。 > 下面那些无脑喷子也请你们**扪心自问**一下,你们把别人**善意的回答**理解为秀优越感,真的不是自己心里的阴暗与自卑吗? > 你可以看看我在一楼的回复,**并没有任何恶意**引战意思。没想到还是招来一大波自卑人士的恶意猜测与诋毁。可能是我周围的朋友和同事素质比较高的缘故,造成了我和那群喷子之间的文化代购。 > 这和证书有没有密码有毛线关系? > 没有安装 FTP 就肯定不是 FTP 的问题,你又是怎么厉害”应该“一词的? > 感觉?呵呵 #你确定 这有帮助?是善意的回答?不是秀优越感?并没有任何恶意? #想把微小错误都挑出来,通过咬文嚼字,好显得自己多牛逼,却没有提供实际的帮助。 #对,我就是恶意的猜测。 -------- > 若真是指出我的问题,我自然是要感谢的。你有看到有人指出我的问题吗?只是几个喷子在那乱碰,然后你就随大流的跟风对人指手画脚。这种风气真让人感到悲哀! #那我来指一指了 2333 |
|
68
SharkIng OP |
 |
69
stephenyin Nov 24, 2016
你们都不懂,我替一楼说:我这人不太会说话, 有得罪之处,你 tm 打我啊~
|
 |
71
zltningx Nov 24, 2016 via Android
根据描述可以推测是 wordpress 的漏洞可能性很大啊。 建议自己根据版本上这里看看喽
https://www.exploit-db.com/search |
 |
73
enenaaa Nov 24, 2016
以前有个 dedecms 做的网站也是三天两头被上传文件, 执行 sell 。黑客还明白提醒我不要挣扎。
一怒之下把用不着的乱七八糟的功能文件全删了, 这下清静了。 |
 |
74
sensui7 Nov 24, 2016
有问题到 stackexchange 旗下网站提问, 省去了吵架的麻烦.
|
 |
75
fanzheng Nov 24, 2016
应该是 wordpress 的漏洞。
|
 |
78
7jmS8834H50s975y Nov 24, 2016
v2ex 已经没救了,这要感谢 诸如 @Vhc 这类人。
block |
 |
79
kaneg Nov 24, 2016 1
被上传上的文件的位置是什么? Owner 是什么?一般 Wordpress 应该是 www-data 用户
|
 |
80
yu1u Nov 24, 2016 1
看了帖子 lz 的表达能力很乱,原谅我看得稀里糊涂。 lz 可能对安全这块不太了解吧,这些搞钓鱼黑产的不要把他们技术想得太过高深,我大概看了下可能有几个原因:
LZ 可以多方参考排除! 一、 Wordpress 主题存在后门,可能以加密方式隐藏其中不易察觉,一有主题被使用可能攻击者有类似箱子后门记录并直接进入你的网站。 二、 web 生产环境安全配置不当导致被入侵,例如: phpmyadmin 弱口令? 备份文件泄露? 三、你的密码可能被泄露,例如在其他网站使用通用密码? 或者你的网站第一次被入侵时就已经植入了后门,隐藏在茫茫的文件中。 四、同服务器的网站被入侵导致跨站服务器沦陷? ...... 作案目的: 我猜测黑产组织可能随机搞站放钓鱼页面吧, 这样被封标记危险提示以后可以继续换个网站作案,可以减少购买域名,主机的成本,而且不易追踪到黑产者。 希望给楼主有个参考。 ps : 1L 真酸..... @Tink @helloccav @upczww @lawlietxxl @zhs227 @enenaaa @skylancer @Livid |
 |
81
HanSonJ Nov 24, 2016
|
|
82
HanSonJ Nov 24, 2016
上面不应该用 block ,是 Deactivate
|
 |
83
Sequencer Nov 24, 2016 via iPhone
你把最近的 apache 记录看看 里面有所有的访问记录
如果登陆记录里面没有新的登陆的话 个人觉得是 wordpress 的 0day 漏洞被脚本了 |
 |
85
crab Nov 24, 2016 1
看这个网站的日志,搜索那文件夹以及相关文件名,看时间点最早出现的,再这时间点往上看一些请求都干啥,大概能知道是怎么弄的了。如果没这些日志(可能被清除,或者压根不是从这网站进来。)
|
 |
86
SlipStupig Nov 25, 2016 3
有很多种可能,从你提供的信息,我们逐个推测:
1.wordpress 漏洞:这个问题方面很多了,本身 wordpress 漏洞或者插件漏洞, wordpress 权限集成于 apache httpd ,写文件在目录下面问题不大 2.中间件漏洞: PHP Apache mysq SSH 等中间件远程执行代码,这些中间件或者系统内核存在 3.VPS ISP 本身权限管理不严格,存在虚拟机存在穿透漏洞或者被渗透(这种遇到了,几乎无解,城墙都垮了还有什么可谈的) 4.下载了不明的程序导致主机被入侵 5.生产环节漏洞: phpmyadmin 、 zabbix ,备份文件泄露, svn 或者 github 秘钥泄露等 排查过程: 1.先查看创建文件的时间和用户,大致能推出时来自哪一个服务创建的, 查找该 owner 从创建文件时间,往前推一定时间的文件(实在不知道你被入侵了多久,没办法给一个具体时间,一般我会找前 24 个小时的),逐个排查出异常,发现异常脚本或者程序马上删除,如果时间已经很长了,可以先删除掉目录然后等着对方再次上传,往前推可以过滤掉很多噪音) 2.检查 SSH 证书目录,看有没可疑的新证书出现,如果有的删除掉 2.没有效果,把对外暴露的所有日志全部拉出来分析错误(日志很有可能被删除或者覆盖,但是你这种钓鱼的一般都是自动化入侵,一般情况下会留下大量错误日志),根据日志分析去定位相关的可疑文件 3.检查文件是否存在共享或者 RPC 调用,如果存在且不需要请及时关闭 4.检查 corntab 和启动项还有服务项和已经运行的进程,看有没可疑 5.请关闭 SSH ,然后使用其他远程工具比如: netcat 做一个零售替代方案, 请把 linux 一些重要命令从本地上传到服务器(很有可能服务器命令被替换了,有条件的话应该全部替换掉),检查软件源 /软件包秘钥看是否被替换掉, 然后使用 chkrootkit 和一些恶意脚本查杀工具去检查,如果还是没有发现异常,应当下载一些系统重要文件或者驱动到本地分析,看文件是否被感染,先把文件删掉,抓一两个小时的包,看有没异常心跳或者加密流量请求,然后做相应的处理, 6.如果你进行了全部排查都还是没有结果,这个时候排查什么的基本上意义不大了,主要思路在于加固这块,启用 SELinux ,然后降低所有中间件权限,然后删除关闭一些不必要的服务,然后对外暴露服务目录单独配置 ACL ,升级所有的服务和内核版本,启用 apache 配置 htaccess ,只允许指定 ip 访问后台, PHP 开启 safe_mode ,删除一些用不上的 php 扩展删除本地一些用不上的脚本命令,对外开放端口能少就少,最好就开放一个 80 端口,其余全部关闭,如果有条件可以分析一下本地的 dump 文件,说不定可以发现一些异常 |
 |
87
killunix Nov 25, 2016
不要用那些一键脚本,切记!!!我已经被搞了好几次了。
|
 |
88
Felldeadbird Nov 25, 2016 1
wp 没安装插件,主题程序也确保安装的话。那么问题只有两个了。
1.系统的 lnmp 脚本。试下自己编译安装。 2.wp 存在 0day 漏洞。 我有一个做法,就是试下上 CDN 。这样基本无法找到目标主机(需要花时间),还有观察各项得文件的操作记录。应该可以揪出问题。 |
 |
89
hicdn Nov 25, 2016
网址发出来看看
|
 |
90
qian0206 Nov 25, 2016
@Felldeadbird 别扯淡, getshell 才是王道
|
 |
91
raptor Nov 25, 2016
>>>>> 用的一个免费模板
呵呵,我被这种坑过,网上所谓的免费模板里面大多埋了 webshell 之类的东西,你服务器做得再安全,人家只要 HTTP 连过来就可以随便操作文件夹了。 |
 |
92
lianxiaoyi Nov 25, 2016
已经被超管给 Deactivate 。。。。。啊哈哈。。。。。
|
 |
93
usernametoolong Nov 25, 2016
wordpress 的坑特别的多,操作系统有做过 update 没?
|
Select Language