V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
SharkIng
V2EX  ›  问与答

什么样的情况会让黑客可以直接放一个文件夹上到你的网站上??

  •  
  •   SharkIng · 2016-11-24 11:04:46 +08:00 · 8566 次点击
    这是一个创建于 2908 天前的主题,其中的信息可能已经有所发展或是发生改变。

    先说下情况:

    1. Linode 的机子
    2. OneInStack 的脚本一键安装的 LANMP
    3. 有几个网站,但是出问题的总是那一个网站,两次了,应该是同一个人做的,放了一个钓鱼网站在那个问题网站的根目录, HSBC 钓鱼。
    4. 网站本身是 WordPress 的,用的一个免费模板,插件基本没有,其他也不知道什么了

    现在想法:

    1. 机子本身禁止了 ROOT 登录,禁止了密码登录,用的是证书,证书有密码
    2. 应该不是机子暴露,否则为什么每次出事都是同一个网站?
    3. 没有 FTP ,所以应该不是 FTP 问题
    4. 感觉像是 WordPress 什么权限问题,但是不清楚

    不知道有没有人遇到过类似的问题知道原因的?有什么办法根治这个问题么?

    第 1 条附言  ·  2016-11-24 16:32:03 +08:00

    Append回答一下一楼的问题吧,不是引战,只是的确有些东西没有说清楚:

    机子本身禁止了 ROOT 登录,禁止了密码登录,用的是证书,证书有密码 答:这和证书有没有密码有毛线关系?

    这个服务器是我们的服务器中唯一一个证书有密码的服务器,当然就随口提了一句。主要是表明SSH登录上的可能性不大。当然也不是完全排除这种可能性,在/var/log/auth.log 中并没有任何异常登录的情况。加上禁止ROOT,登录用户名基本属于猜不出来的随机组合,禁止密码登录(基本没有暴力破解的可能)加上证书有密码,即使因为某种情况证书泄露,也可以说完全不可能有外人登录SSH的可能。

    当然,黑客无所不能,可能也的确可以作出点事情。可是我们又不是什么牛逼网站,何必呢?

    应该不是机子暴露,否则为什么每次出事都是同一个网站? 答:机子暴露就必须所有网站都被挂马?不是所有网站都被挂马就可以排除机子暴露?你这逻辑真是反人类!

    机子暴露不是所有网站都要挂马,这个的确没有,可是请仔细看我说的,我的问题是“每次都是同一个” 机子上总共13个网站,全部在/data/,在该目录下随机进入一个网站上传一个东西完全可以啊?要是有SSH权限或者某些权限的话,随机上传一个目录不是更有可能么?我是我做这种事,肯定随机上传目录,每次都不一样,每次都好几个文件夹,为什么一定要盯着一个目录不放呢?

    当然这只是逻辑推测,的确不能排除机子暴露可能,不过上次出事之后我们修改了密码并且更新了证书和IP地址,如果这样他们也还能进来的话,那么真的是太厉害了

    没有 FTP ,所以应该不是 FTP 问题 答:没有安装 FTP 就肯定不是 FTP 的问题,你又是怎么厉害”应该“一词的?

    这个问题,我本来只想笑一下,但是我觉得可以说一句。没安FTP服务器,没有FTP程序在跑,你给我通过FTP上传个试试?

    感觉像是 WordPress 什么权限问题,但是不清楚 答:感觉?呵呵

    呵呵,你开心就好.. 反正我开心,今天老板给涨工资,所以我开心来和你逗逗乐 😘

    93 条回复    2016-11-25 10:47:23 +08:00
    Vhc
        1
    Vhc  
       2016-11-24 11:34:32 +08:00
    > 1. 机子本身禁止了 ROOT 登录,禁止了密码登录,用的是证书,证书有密码
    答:这和证书有没有密码有毛线关系?

    > 2. 应该不是机子暴露,否则为什么每次出事都是同一个网站?
    答:机子暴露就必须所有网站都被挂马?不是所有网站都被挂马就可以排除机子暴露?你这逻辑真是反人类!

    > 3. 没有 FTP ,所以应该不是 FTP 问题
    答:没有安装 FTP 就肯定不是 FTP 的问题,你又是怎么厉害”应该“一词的?

    > 4. 感觉像是 WordPress 什么权限问题,但是不清楚
    答:感觉?呵呵
    Tink
        2
    Tink  
       2016-11-24 11:36:05 +08:00 via iPhone   ❤️ 6
    @Vhc 0 帮助
    Tink
        3
    Tink  
       2016-11-24 11:37:39 +08:00 via iPhone   ❤️ 2
    有可能是 Wordpress 的插件目录或者主题目录对于普通用户是可写的,再配合 Wordpress 本身的漏洞,这种钓鱼网页放进去应该不困难
    Vhc
        4
    Vhc  
       2016-11-24 11:37:53 +08:00
    @Tink 在楼主什么有用的信息都没提供的情况下,你能提供大于 0 的帮助?
    Yc1992
        5
    Yc1992  
       2016-11-24 11:42:21 +08:00 via Android
    getshell 了
    onlyhot
        6
    onlyhot  
       2016-11-24 11:58:17 +08:00 via iPhone   ❤️ 29
    @Vhc 你是不是生活很不如意?自认为技术很好,却职业发展特差?
    jasontse
        7
    jasontse  
       2016-11-24 12:02:51 +08:00 via iPad   ❤️ 1
    WP 可以在线编辑主题很容易被 getshell ,最好提供一下后台登录记录。
    wildcat007
        8
    wildcat007  
       2016-11-24 12:03:12 +08:00   ❤️ 5
    看了一楼的其他回复··呵呵 block
    MrGba2z
        9
    MrGba2z  
       2016-11-24 12:05:02 +08:00   ❤️ 1
    WordPress 是不是用了老版本的?
    其他两个网站是自己写的程序吗? 有可能注入的地方么? 有正确设置权限么?有在 WordPress 那个目录写文件的权限吗?
    wildcat007
        10
    wildcat007  
       2016-11-24 12:09:54 +08:00   ❤️ 2
    1 、机子本身禁止了 ROOT 登录,禁止了密码登录,用的是证书,证书有密码
    伪分析:题主是为了说明账号安全,默认不能试用账号密码登录,在没有证书的情况下,一般黑客利用爆破 ssh 的方法是不可行的,那么可以排除了黑客拥有账号密码直接登录的可能性,但是在被黑以后可能就有权限了。

    2 、应该不是机子暴露,否则为什么每次出事都是同一个网站?
    伪分析:我不知道这个啥意思···

    3 、没有 FTP ,所以应该不是 FTP 问题
    伪分析:没有 FTP ,当然不是 FTP 的问题。但是 wordpress 是有上传的权限的。

    4 、感觉像是 WordPress 什么权限问题,但是不清楚
    伪分析:可能出现的问题比较多,可能有
    --1-- mysql 端口是否对外&弱口令?
    --2-- wordpress 后台弱口令?
    --3-- 一键搭建环境,是否存在服务器的解析漏洞?
    --4-- 其他服务造成的黑客提权?
    --5-- 有无 phpinfo.php 这样的类似文件存在?
    --6-- 其他


    建议查看进程,查看 history ,查看 crontab ,查看 logs 辅助解决。
    Vhc
        11
    Vhc  
       2016-11-24 12:09:54 +08:00
    @onlyhot 恰恰相反。我只是依据事实回复楼主,你能得出这样的猜测恰恰应征了你内心的阴暗。
    @wildcat007 你开心就好
    msg7086
        12
    msg7086  
       2016-11-24 12:16:04 +08:00   ❤️ 3
    @Vhc 如果你没有本事提供帮助,可以不回复嘛。何必露个脸就为了秀优越呢。
    Vhc
        13
    Vhc  
       2016-11-24 12:18:06 +08:00
    @msg7086 你从哪句看出我秀优越感了?你这内心得有多自卑啊!
    msg7086
        14
    msg7086  
       2016-11-24 12:20:02 +08:00   ❤️ 1
    @Vhc 在你说了一大堆 0 帮助的话以后,还能找到比你更秀优越感的人吗?
    看着别人内心就自卑,你这得多优越感啊!
    helloccav
        15
    helloccav  
       2016-11-24 12:25:18 +08:00   ❤️ 1
    赶紧查查 apache 访问日志,检查所有 POST 请求,特别留意不是发送到 wp-admin 目录的 POST 请求
    Vhc
        16
    Vhc  
       2016-11-24 12:27:45 +08:00
    @msg7086 真的是 0 帮助吗?在你眼里别的的帮助都是 0 帮助?你也真是搞笑!不是我看你内心自卑,而是你自己表现出来的自卑!
    hahiru
        17
    hahiru  
       2016-11-24 12:30:47 +08:00 via Android   ❤️ 1
    查日志呗,或者请专业的帮你看看。这种情况说不好的,必须实地勘察。
    msg7086
        18
    msg7086  
       2016-11-24 12:31:48 +08:00
    @Vhc 一口一个别人自卑,说得自己好像特牛逼似的,咋不上天呢。
    你也真是搞笑!不是我看你有优越感,而是你自己表现出来满满优越感!
    upczww
        19
    upczww  
       2016-11-24 12:34:34 +08:00   ❤️ 4
    我发现最近 v 站戾气很重,真的。人家楼主是虚心来问问题的,一楼的每句话都能把别人嘲讽死,而且他却丝毫没发现自己的问题,反而觉得别人这样想是心理阴暗,在现实生活中这样生活应该很不愉快吧。
    SpicyCat
        20
    SpicyCat  
       2016-11-24 12:34:44 +08:00   ❤️ 2
    @Vhc 典型的负能量传播者+无所不喷的喷子。
    Vhc
        21
    Vhc  
       2016-11-24 12:35:54 +08:00
    @msg7086 搞清楚,我说的不是别人,而是你。我对楼主的回复那句不是事实?哪句有秀优越感?真搞不懂某些人总是以小人之心来假定别人。
    9hills
        22
    9hills  
       2016-11-24 12:36:48 +08:00
    比较典型的 getshell ,解决办法很多。首先 wordpress 升级到最新版,然后把一些容易注入的地方给限制访问
    9hills
        23
    9hills  
       2016-11-24 12:37:31 +08:00
    另外处理前,建议备份数据,重装系统
    Vhc
        24
    Vhc  
       2016-11-24 12:39:12 +08:00
    @upczww 恰恰相反,我现实生活中过得很愉快。只是今天回答个问题就招来一群以小人之心的人的回复有些不开心。
    @SpicyCat 哪里传播负能量了?你倒是说说啊?无所不喷的人是你吧!
    zhs227
        25
    zhs227  
       2016-11-24 12:40:19 +08:00   ❤️ 2
    没有人说先看看目录的 owner 和 group 么,如果是 root 的话,不得了,赶紧重装系统。如果只是 www ,很有可能是 webshell 突破了部分权限,在网站根目录写了东西。
    lfk0000
        26
    lfk0000  
       2016-11-24 12:40:37 +08:00 via Android   ❤️ 1
    1 楼强力歪楼...
    Shura
        27
    Shura  
       2016-11-24 12:44:16 +08:00 via Android
    block 真是个好东西啊
    Vhc
        28
    Vhc  
       2016-11-24 12:46:52 +08:00
    1 、我承认我在一楼的回复言辞不够委婉,这点我向楼主道歉。
    2 、我在一楼的回复句句对题,指出楼主主题内容表述中的错误。并非是某些人口中的” 0 帮助“。
    3 、下面那些无脑喷子也请你们扪心自问一下,你们把别人善意的回答理解为秀优越感,真的不是自己心里的阴暗与自卑吗?
    bk201
        29
    bk201  
       2016-11-24 12:47:12 +08:00 via iPhone   ❤️ 1
    你可以使用 docker 搭建这些 wordpress ,然后再分析问题所在.
    Izual_Yang
        30
    Izual_Yang  
       2016-11-24 12:47:44 +08:00 via Android   ❤️ 5
    @Vhc
    别人每句话你都要回喷,还说自己戾气不重?
    Vhc
        31
    Vhc  
       2016-11-24 12:50:21 +08:00
    @lfk0000 并没有歪楼,请参考我上条回复。
    @Shura 每次在 v2 看到有人回复”已 block “都觉得好笑! block 都 block 了还专程回帖告诉对方,多幼稚啊,哈哈。
    dasenlin
        32
    dasenlin  
       2016-11-24 12:53:02 +08:00   ❤️ 1
    黑阔很可能用了 php 一句话加菜刀,上传个文件夹进去不是什么问题, 这样钓鱼被查的风险转嫁到楼主头上了。
    备份下网站 然后下载个护卫神扫描下整个网站文件夹,应该会有洞洞
    Vhc
        33
    Vhc  
       2016-11-24 12:53:52 +08:00
    @Izual_Yang 这个你真误会了,我回喷并不是我戾气重,而是我一直活的开心与轻松,有什么话我都会说出来,然后就会很轻松愉悦。有些人喜欢生闷气可不好。
    gogohigh
        34
    gogohigh  
       2016-11-24 12:58:22 +08:00   ❤️ 1
    哈哈,本来就是技术不行搞不定,直接说出来也没有什么不好呀
    Chrisplus
        35
    Chrisplus  
       2016-11-24 13:06:51 +08:00   ❤️ 1
    曾经用 wordpress 的某些低版本的时候,被 getshell 了,然后解决方法就是升级到新版本。

    P.S. 天哪,一楼是怎么了?
    Vhc
        36
    Vhc  
       2016-11-24 13:13:55 +08:00
    @Chrisplus 一楼的回复有问题吗?汝为何故作此惊恐状?
    xrxsh
        37
    xrxsh  
       2016-11-24 13:23:09 +08:00   ❤️ 2
    @Vhc 淡定,建议还是多思考思考自己的处事风格为啥会招来这么多人对你的回复表示不满,嗯,有问题的时候多思考是不是自己有问题,问题就好解决多了
    lanyusea
        38
    lanyusea  
       2016-11-24 13:23:34 +08:00
    大家不要这样,可能一楼只是刚刚失恋了心情不好而已。
    kingddc314
        39
    kingddc314  
       2016-11-24 13:24:30 +08:00 via Android
    为什么 v 站没有👎
    phpdever
        40
    phpdever  
       2016-11-24 13:25:03 +08:00   ❤️ 5
    凡是跟一楼有过沟通的人,我通通都送了铜币...
    Vhc
        41
    Vhc  
       2016-11-24 13:27:08 +08:00
    @xrxsh 请查考 28 楼。
    @lanyusea 不要自己失恋了就觉得全世界的人都失恋了,哈哈。
    Vhc
        42
    Vhc  
       2016-11-24 13:29:20 +08:00
    @phpdever 物以类聚,人以群分。我也很稀罕金币!
    Altman
        43
    Altman  
       2016-11-24 13:30:13 +08:00   ❤️ 1
    使用这些开源软件的时候 记得设置恰当的权限
    譬如: 把 wordpress 运行在 admin 账户下,但是 wordpress 所属其他账户,所有的目录 除去 uploads 目录,都只有执行权限
    , uploads 目录除去执行权限。
    ic2y
        44
    ic2y  
       2016-11-24 13:37:36 +08:00   ❤️ 2
    一楼这种就是:自我感觉良好,谁指出自己的问题就是喷子。古文上教的 三省吾身呢。一个人指出问题,说明他是个喷子,两个人指出问题,说明他们两个有偏见,那三个人四个人指出来呢??
    lawlietxxl
        45
    lawlietxxl  
       2016-11-24 13:44:00 +08:00
    很强势啊。我很羡慕。因为我做不到。
    Vhc
        46
    Vhc  
       2016-11-24 13:46:44 +08:00
    @ic2y 若真是指出我的问题,我自然是要感谢的。你有看到有人指出我的问题吗?只是几个喷子在那乱碰,然后你就随大流的跟风对人指手画脚。这种风气真让人感到悲哀!
    ic2y
        47
    ic2y  
       2016-11-24 14:04:39 +08:00
    @Vhc 戾气重的可以。这里是个社区,是一个家庭。楼上已经说了,你给提问者的回复戾气很重,你认为是乱碰那就没有办法喽。。你为我随大流感到悲哀。你有悲哀这个概念那是极好的,反正你的言语不值得我为你悲哀。
    nikubenki
        48
    nikubenki  
       2016-11-24 14:11:40 +08:00
    能不能举报一楼啊
    LeoSocks
        49
    LeoSocks  
       2016-11-24 14:30:11 +08:00 via Android   ❤️ 2
    @Vhc 毛线关系,反人类,讽刺别人“厉害”,呵呵
    这些都充满了嘲讽的味道,到底是你不懂得说话,还是大家看不懂呢?
    楼主只是出现问题,请求帮助而已。
    以 1 敌 10 ,敌 100 ,您颇有大将风范啊。
    lllang
        50
    lllang  
       2016-11-24 14:30:26 +08:00
    看看网站有没有文件上传的地方,可能是文件上传漏洞?
    Vhc
        51
    Vhc  
       2016-11-24 14:44:56 +08:00
    @ic2y
    @nikubenki
    @LeoSocks 面对你们这一群喷子,我真的懒得再回复了。”毛线关系“、”反人类“。朋友、同事 之间说话都带这些词,从未觉得这些词有一点点的讽刺味道。算了,一个人的格局太小,真心善意的给你们讲些东西你们也只能听出讽刺的味道。随你们说吧,我不再解释了。
    amustart
        52
    amustart  
       2016-11-24 14:46:52 +08:00   ❤️ 1
    SQL 注入, XSS ,文件上传,一句话木马?应该都可以吧,对渗透不是特别熟悉, 建议,不要用那种一键装机脚本(可能有后门漏洞,而且一般不是最新版),最好全都自己来, wordpres 尽量安装最新版本。 你要知道 wordpress 和它的插件爆出的漏洞就有很多了,更不用说 0day 了
    Vhc
        53
    Vhc  
       2016-11-24 15:01:36 +08:00
    @amustart
    > SQL 注入, XSS ,文件上传,一句话木马?应该都可以吧
    答: WordPress 后台有自动升级功能,最新版的 WordPress 不存在你所说的任何一条。
    skylancer
        54
    skylancer  
       2016-11-24 15:10:00 +08:00   ❤️ 1
    @Vhc 看来你并不懂说话的艺术,网上还没什么,以后现实会有人教做人的
    Vhc
        55
    Vhc  
       2016-11-24 15:10:04 +08:00
    @amustart
    > 你要知道 wordpress 和它的插件爆出的漏洞就有很多了,更不用说 0day 了
    答: WordPress 的插件众多,质量参差不齐,时而爆出漏洞也是常态。但是 WordPress 本身却极少爆出漏洞,即使爆出漏洞也是权限极低的,几乎没有可能拿到 WebShell 。
    skylancer
        56
    skylancer  
       2016-11-24 15:10:52 +08:00
    噢我艹,搜了下这人的回帖,还是 b 了吧
    Vhc
        57
    Vhc  
       2016-11-24 15:12:39 +08:00
    @skylancer 在你教别人做人前,请先学会怎么做人。今日若不听我劝,以后现实会有人教做人的。
    Phariel
        58
    Phariel  
       2016-11-24 15:14:44 +08:00 via Android   ❤️ 1
    amustart
        59
    amustart  
       2016-11-24 15:17:29 +08:00   ❤️ 2
    @Vhc https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress 全是 wordpress 的 CVE ,以及你确定最新版本的没有 0day ?
    Ouyangan
        60
    Ouyangan  
       2016-11-24 15:17:32 +08:00
    为什么总是在吵架呢?
    Vhc
        61
    Vhc  
       2016-11-24 15:26:04 +08:00
    @amustart 不能确定有,也不能确定没有。漏洞被第三方返现利用而官方不知道的叫 0day
    @Ouyangan 你可以看看我在一楼的回复,并没有任何恶意引战意思。没想到还是招来一大波自卑人士的恶意猜测与诋毁。可能是我周围的朋友和同事素质比较高的缘故,造成了我和那群喷子之间的文化代购。我一直都不想和他们吵,只是好心回复却被他们恶意中伤,有些气愤。算了,和他们也犯不着。
    Livid
        62
    Livid  
    MOD
       2016-11-24 15:36:30 +08:00   ❤️ 2
    @Phariel 谢谢举报。有一个账号已经 Deactivate 。
    j98ujjjk
        63
    j98ujjjk  
       2016-11-24 15:37:01 +08:00
    看完这个帖子,发现 1 楼真是极品中的极品。 1 楼千万别 @我,我怕传染。
    Technetiumer
        64
    Technetiumer  
       2016-11-24 15:55:46 +08:00   ❤️ 2
    @Vhc 你开心就好

    > 这和证书有没有密码有毛线关系?
    “伪分析:题主是为了说明账号安全,默认不能试用账号密码登录,在没有证书的情况下,一般黑客利用爆破 ssh 的方法是不可行的,那么可以排除了黑客拥有账号密码直接登录的可能性,但是在被黑以后可能就有权限了。 ”

    > WordPress 后台有自动升级功能,最新版的 WordPress 不存在你所说的任何一条。
    自动升级是为啥?修复了漏洞。最新版的 WordPress 不存在任何漏洞那为啥要自动升级?

    > 面对你们这一群喷子,我真的懒得再回复了。
    你才是喷子好不好?
    SharkIng
        65
    SharkIng  
    OP
       2016-11-24 16:20:58 +08:00
    @Tink 我是这么想得,但是说实话懒得去研究,所以不好意思做了次伸手党。感谢回复,我有时间再研究研究 Wordpress 本身漏洞问题

    @Yc1992 能说详细一点么?谢谢

    @helloccav 刚开始查看了下日志并没有发现什么异常,我再仔细查看一下,谢谢提醒

    @jasontse 感谢提醒,的确没主意后台记录,我再看看。

    @MrGba2z WordPress 版本不是最新版,但是也不算很老,不知道有出现过某个老版本这种漏洞问题么?
    其他大约 8 个网站,多半都是 HTML 单页面,有一两个是 PHP 基本都是自己写的,除了这个网站没有用到 WordPress 的地方。权限都是 www 用户可读不可写权限,除了 WordPress 的几个需要读写权限的地方,但是他偏偏在根目录下。

    其他的有实质回答解决问题的都一一送过感谢了,回复很多重复我就不一一口头感谢了。大概了解了情况后我会回去继续查看一下的。谢谢大家帮忙

    PS :我觉得我发帖上并没有什么语气上的问题,不知道为什么第一个回复就招来这样的嘲讽。服务器端安全问题我还是很有信心的,但是的确对 WordPress 和 PHP 等上面内容不是很熟悉,所以如果有说的不对的地方欢迎大家喷
    wangkangluo1
        66
    wangkangluo1  
       2016-11-24 16:27:02 +08:00 via iPhone   ❤️ 1
    应该是 Wordpress 漏洞,之前也遇到过这样的问题,客户数据都丢了
    Technetiumer
        67
    Technetiumer  
       2016-11-24 16:31:12 +08:00   ❤️ 1
    @Vhc

    > 我在一楼的回复句句对题,指出楼主主题内容表述中的错误。并非是某些人口中的” 0 帮助“。
    > 下面那些无脑喷子也请你们**扪心自问**一下,你们把别人**善意的回答**理解为秀优越感,真的不是自己心里的阴暗与自卑吗?
    > 你可以看看我在一楼的回复,**并没有任何恶意**引战意思。没想到还是招来一大波自卑人士的恶意猜测与诋毁。可能是我周围的朋友和同事素质比较高的缘故,造成了我和那群喷子之间的文化代购。
    > 这和证书有没有密码有毛线关系?
    > 没有安装 FTP 就肯定不是 FTP 的问题,你又是怎么厉害”应该“一词的?
    > 感觉?呵呵

    #你确定 这有帮助?是善意的回答?不是秀优越感?并没有任何恶意?
    #想把微小错误都挑出来,通过咬文嚼字,好显得自己多牛逼,却没有提供实际的帮助。
    #对,我就是恶意的猜测。

    --------

    > 若真是指出我的问题,我自然是要感谢的。你有看到有人指出我的问题吗?只是几个喷子在那乱碰,然后你就随大流的跟风对人指手画脚。这种风气真让人感到悲哀!
    #那我来指一指了 2333
    SharkIng
        68
    SharkIng  
    OP
       2016-11-24 16:33:56 +08:00
    @wangkangluo1 我们会仔细看一下的,暂时把那个网站挪到新服务器上跑着并且 24 小时监控了

    @Technetiumer 💕
    stephenyin
        69
    stephenyin  
       2016-11-24 16:43:04 +08:00
    你们都不懂,我替一楼说:我这人不太会说话, 有得罪之处,你 tm 打我啊~
    SharkIng
        70
    SharkIng  
    OP
       2016-11-24 16:43:42 +08:00
    @lanyusea 哈哈,让我感觉他的语气更像是我挖了他的墙角... 😂
    zltningx
        71
    zltningx  
       2016-11-24 16:49:24 +08:00 via Android
    根据描述可以推测是 wordpress 的漏洞可能性很大啊。 建议自己根据版本上这里看看喽
    https://www.exploit-db.com/search
    Panic
        72
    Panic  
       2016-11-24 16:51:30 +08:00
    @Vhc 你怎么确定你口中的朋友真当你是朋友,没准背后骂你 * * 呢。 没有王思聪的命,得了王思聪的病,真以为口无遮拦是个褒义词吗?
    enenaaa
        73
    enenaaa  
       2016-11-24 17:34:39 +08:00
    以前有个 dedecms 做的网站也是三天两头被上传文件, 执行 sell 。黑客还明白提醒我不要挣扎。
    一怒之下把用不着的乱七八糟的功能文件全删了, 这下清静了。
    sensui7
        74
    sensui7  
       2016-11-24 17:52:30 +08:00
    有问题到 stackexchange 旗下网站提问, 省去了吵架的麻烦.
    fanzheng
        75
    fanzheng  
       2016-11-24 17:55:19 +08:00
    应该是 wordpress 的漏洞。
    chiu
        76
    chiu  
       2016-11-24 19:03:30 +08:00 via Android
    @Vhc 不要骂人,不要粗口,可能就不会被人误解了
    dreamwar
        77
    dreamwar  
       2016-11-24 19:52:19 +08:00
    @Vhc 真是盲目,你被这么多人针对,就一点没觉得自己有问题?随便呵呵,呵呵呵呵呵,就呵呵你呢,呵呵
    7jmS8834H50s975y
        78
    7jmS8834H50s975y  
       2016-11-24 21:43:47 +08:00
    v2ex 已经没救了,这要感谢 诸如 @Vhc 这类人。
    block
    kaneg
        79
    kaneg  
       2016-11-24 21:49:17 +08:00   ❤️ 1
    被上传上的文件的位置是什么? Owner 是什么?一般 Wordpress 应该是 www-data 用户
    yu1u
        80
    yu1u  
       2016-11-24 21:57:59 +08:00   ❤️ 1
    看了帖子 lz 的表达能力很乱,原谅我看得稀里糊涂。 lz 可能对安全这块不太了解吧,这些搞钓鱼黑产的不要把他们技术想得太过高深,我大概看了下可能有几个原因:

    LZ 可以多方参考排除!
    一、 Wordpress 主题存在后门,可能以加密方式隐藏其中不易察觉,一有主题被使用可能攻击者有类似箱子后门记录并直接进入你的网站。
    二、 web 生产环境安全配置不当导致被入侵,例如: phpmyadmin 弱口令? 备份文件泄露?
    三、你的密码可能被泄露,例如在其他网站使用通用密码? 或者你的网站第一次被入侵时就已经植入了后门,隐藏在茫茫的文件中。
    四、同服务器的网站被入侵导致跨站服务器沦陷?
    ......

    作案目的: 我猜测黑产组织可能随机搞站放钓鱼页面吧, 这样被封标记危险提示以后可以继续换个网站作案,可以减少购买域名,主机的成本,而且不易追踪到黑产者。

    希望给楼主有个参考。


    ps : 1L 真酸.....

    @Tink
    @helloccav
    @upczww
    @lawlietxxl
    @zhs227
    @enenaaa
    @skylancer
    @Livid
    HanSonJ
        81
    HanSonJ  
       2016-11-24 21:58:41 +08:00
    @Vhc 被 block 了吗? livid 之后就没说话了

    不过这些事情真是,当你坚信一件事是对的时候,却有很多人跳出来你说你是错的,这时候不应该好好反思自己吗?
    HanSonJ
        82
    HanSonJ  
       2016-11-24 21:59:07 +08:00
    上面不应该用 block ,是 Deactivate
    Sequencer
        83
    Sequencer  
       2016-11-24 22:01:12 +08:00 via iPhone
    你把最近的 apache 记录看看 里面有所有的访问记录
    如果登陆记录里面没有新的登陆的话
    个人觉得是 wordpress 的 0day 漏洞被脚本了
    XDA
        84
    XDA  
       2016-11-24 23:01:19 +08:00
    @Livid 来来来,“感谢回复者”旁边加个“踩”的功能吧
    crab
        85
    crab  
       2016-11-24 23:11:25 +08:00   ❤️ 1
    看这个网站的日志,搜索那文件夹以及相关文件名,看时间点最早出现的,再这时间点往上看一些请求都干啥,大概能知道是怎么弄的了。如果没这些日志(可能被清除,或者压根不是从这网站进来。)
    SlipStupig
        86
    SlipStupig  
       2016-11-25 03:09:52 +08:00   ❤️ 3
    有很多种可能,从你提供的信息,我们逐个推测:
    1.wordpress 漏洞:这个问题方面很多了,本身 wordpress 漏洞或者插件漏洞, wordpress 权限集成于 apache httpd ,写文件在目录下面问题不大
    2.中间件漏洞: PHP Apache mysq SSH 等中间件远程执行代码,这些中间件或者系统内核存在
    3.VPS ISP 本身权限管理不严格,存在虚拟机存在穿透漏洞或者被渗透(这种遇到了,几乎无解,城墙都垮了还有什么可谈的)
    4.下载了不明的程序导致主机被入侵
    5.生产环节漏洞: phpmyadmin 、 zabbix ,备份文件泄露, svn 或者 github 秘钥泄露等

    排查过程:
    1.先查看创建文件的时间和用户,大致能推出时来自哪一个服务创建的, 查找该 owner 从创建文件时间,往前推一定时间的文件(实在不知道你被入侵了多久,没办法给一个具体时间,一般我会找前 24 个小时的),逐个排查出异常,发现异常脚本或者程序马上删除,如果时间已经很长了,可以先删除掉目录然后等着对方再次上传,往前推可以过滤掉很多噪音)
    2.检查 SSH 证书目录,看有没可疑的新证书出现,如果有的删除掉
    2.没有效果,把对外暴露的所有日志全部拉出来分析错误(日志很有可能被删除或者覆盖,但是你这种钓鱼的一般都是自动化入侵,一般情况下会留下大量错误日志),根据日志分析去定位相关的可疑文件
    3.检查文件是否存在共享或者 RPC 调用,如果存在且不需要请及时关闭
    4.检查 corntab 和启动项还有服务项和已经运行的进程,看有没可疑
    5.请关闭 SSH ,然后使用其他远程工具比如: netcat 做一个零售替代方案, 请把 linux 一些重要命令从本地上传到服务器(很有可能服务器命令被替换了,有条件的话应该全部替换掉),检查软件源 /软件包秘钥看是否被替换掉, 然后使用 chkrootkit 和一些恶意脚本查杀工具去检查,如果还是没有发现异常,应当下载一些系统重要文件或者驱动到本地分析,看文件是否被感染,先把文件删掉,抓一两个小时的包,看有没异常心跳或者加密流量请求,然后做相应的处理,
    6.如果你进行了全部排查都还是没有结果,这个时候排查什么的基本上意义不大了,主要思路在于加固这块,启用 SELinux ,然后降低所有中间件权限,然后删除关闭一些不必要的服务,然后对外暴露服务目录单独配置 ACL ,升级所有的服务和内核版本,启用 apache 配置 htaccess ,只允许指定 ip 访问后台, PHP 开启 safe_mode ,删除一些用不上的 php 扩展删除本地一些用不上的脚本命令,对外开放端口能少就少,最好就开放一个 80 端口,其余全部关闭,如果有条件可以分析一下本地的 dump 文件,说不定可以发现一些异常
    killunix
        87
    killunix  
       2016-11-25 09:05:11 +08:00
    不要用那些一键脚本,切记!!!我已经被搞了好几次了。
    Felldeadbird
        88
    Felldeadbird  
       2016-11-25 09:25:27 +08:00   ❤️ 1
    wp 没安装插件,主题程序也确保安装的话。那么问题只有两个了。
    1.系统的 lnmp 脚本。试下自己编译安装。
    2.wp 存在 0day 漏洞。
    我有一个做法,就是试下上 CDN 。这样基本无法找到目标主机(需要花时间),还有观察各项得文件的操作记录。应该可以揪出问题。
    hicdn
        89
    hicdn  
       2016-11-25 10:10:23 +08:00
    网址发出来看看
    qian0206
        90
    qian0206  
       2016-11-25 10:11:08 +08:00
    @Felldeadbird 别扯淡, getshell 才是王道
    raptor
        91
    raptor  
       2016-11-25 10:11:20 +08:00
    >>>>> 用的一个免费模板

    呵呵,我被这种坑过,网上所谓的免费模板里面大多埋了 webshell 之类的东西,你服务器做得再安全,人家只要 HTTP 连过来就可以随便操作文件夹了。
    lianxiaoyi
        92
    lianxiaoyi  
       2016-11-25 10:16:21 +08:00
    已经被超管给 Deactivate 。。。。。啊哈哈。。。。。
    usernametoolong
        93
    usernametoolong  
       2016-11-25 10:47:23 +08:00
    wordpress 的坑特别的多,操作系统有做过 update 没?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   974 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 22:36 · PVG 06:36 · LAX 14:36 · JFK 17:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.