V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
king2014
V2EX  ›  Linux

网站被挂马,我不断删除他们生成恶意的文件,今天把它惹毛了,删除了我的站点代码,目前我掌握的信息如下

  •  
  •   king2014 · 2017-12-15 19:56:29 +08:00 · 6967 次点击
    这是一个创建于 2537 天前的主题,其中的信息可能已经有所发展或是发生改变。

    1.查看 linux 的操作 history 发现有如下几行命令行记录,其他任何记录都没有,secure 日志也正常,登录 ssd 的 ip 地址都是确定安全的,也可能被黑客删除了登录记录。 1513147165:0;export HISTSIZE=0 1513147171:0;export HISTFILE=/dev/null 2.貌似也只是假设,他只能操作一个站点下面的文件和 tmp 下面生成文件,其他不能操作,不然他可以直接删掉整个服务器,是通过站点漏洞 webshell 等操作实现的吗?

    我想问下 1.站点是用了开源的框架(很老已经不维护的那种),一些重要文件我都要做 chatter + i 加过权限的,黑客可以通过站点漏洞 webshell 等删除这些加过权限的文件吗?

    2.是不是它获取了整个服务器的 root 权限?所以他可以删除哪些被我加 i 文件

    3.接下去我该怎么办,代码倒是有备份,但是找不到问题的源头,他还可以再次删除代码。

    4.服务器密码改过后,是复杂的强密码,还是被删除了代码,还直接被挑衅

    36 条回复    2019-03-29 15:53:04 +08:00
    ho121
        1
    ho121  
       2017-12-15 20:00:35 +08:00 via Android
    报警啊
    king2014
        2
    king2014  
    OP
       2017-12-15 20:07:39 +08:00
    @ho121 已经报警,没什么用,录了口供,让我自己加强防护
    WordTian
        3
    WordTian  
       2017-12-15 20:17:47 +08:00 via Android
    日志没异常,那估计就是通过网站框架的远程执行命令漏洞入侵的。你启动网站框架是不是用的 root 用户?如果是的话,对方很容易得到有 root 权限的 shell。最好用非 root 权限启动网站框架
    opengps
        4
    opengps  
       2017-12-15 20:31:31 +08:00
    开启你网站后,看看对外产生了那些连接 ,使用 netstat 命令
    zc666
        5
    zc666  
       2017-12-15 20:41:49 +08:00 via iPhone
    如果是 webshell,web 服务的日志应该会有记录吧
    kuretru
        6
    kuretru  
       2017-12-15 20:43:52 +08:00 via iPhone
    用 last 命令看一下,感觉是拿了 root 权限
    ys0290
        7
    ys0290  
       2017-12-15 20:46:24 +08:00 via iPhone
    为什么不先改密码?
    ys0290
        8
    ys0290  
       2017-12-15 20:47:20 +08:00 via iPhone
    @ys0290 请忽略我
    acgnsstech
        9
    acgnsstech  
       2017-12-15 20:48:03 +08:00
    重装系统~!

    换程序!!!!
    jimmy2010
        10
    jimmy2010  
       2017-12-15 20:53:00 +08:00 via Android
    http access 日志能看到他怎么进来的
    king2014
        11
    king2014  
    OP
       2017-12-15 20:56:40 +08:00
    @WordTian 确实是 root 权限,谢谢提醒
    king2014
        12
    king2014  
    OP
       2017-12-15 20:57:06 +08:00
    @kuretru last 命令看过,没有异常
    king2014
        13
    king2014  
    OP
       2017-12-15 20:57:42 +08:00
    @zc666 嗯,要看日志记录
    king2014
        14
    king2014  
    OP
       2017-12-15 20:58:56 +08:00
    @acgnsstech 苦逼啊,装系统就图片文件就要 2T,转移是个问题,而且其他目录下面还运行着其他项目。暂时不能重装
    amu
        15
    amu  
       2017-12-15 20:59:16 +08:00
    應該是通過 web shell 獲取了 web 根目錄的 root 權限,你可以搜索一下你的开源的框架有沒有 CVE,趕緊換一個新的框架
    ztaosony
        16
    ztaosony  
       2017-12-15 21:16:06 +08:00
    估计你这框架漏洞不少
    simple4wan
        17
    simple4wan  
       2017-12-15 21:21:23 +08:00 via Android
    安全狗 阿里云盾 云锁 手工搞不定就用工具
    gbin
        18
    gbin  
       2017-12-15 21:32:37 +08:00   ❤️ 3
    请问楼主是什么 WEB 环境? LAMP 吗?

    我感觉是 ``eval`` 函数的锅,站点没注入了,你可以尝试以下操作:

    1. 查看最近两天被修改过的 PHP 文件(假设你站点是 PHP )
    ```
    find -mtime -2 -type f -name \*.php
    ```
    2. 查找是否有木马
    ```
    grep -r --include=*.php '[^a-z]eval($_POST' /path/to/site/
    grep -r --include=*.php '[^a-z]eval($_' /path/to/site/
    grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' /path/to/site/
    ```

    一些建议:
    1. 如果是 PHP 环境,确保运行 PHP 的用户为一般用户,如 www
    2. 禁用 PHP 危险函数,如 eval,exec,phpinfo 等
    3. 改变 PHP 文件的权限:644
    4. 关闭上传目录的 PHP 执行权限
    5. 如果是 Apache,可以使用 mod_security 模块防止 SQL 注入、XSS 攻击。
    ixiaohei
        19
    ixiaohei  
       2017-12-15 21:38:31 +08:00
    感觉楼主是 php 网站,我司 java 技术栈, 生产新开个 zuul 网关,access 日志看到一堆奇怪的.php 结尾 url,当时就在想 php 漏洞这么多?
    selfAccomplish
        20
    selfAccomplish  
       2017-12-15 21:39:28 +08:00
    你用的什么框架? Linux 而且还有框架的话,常见的是 jsp 程序用的 Struts-2,甚至你的 tomcat 等应用版本过老也有可能被直接攻击拿到 root 权限。这种事情还是平时安装安全软件,云平台的话启用云安全防护。出了事,如果事小只能自己报警然而如果你自己提供不了足以抓到对方的证据警察也没办法。还是找专业人士来溯源吧。
    Sor
        21
    Sor  
       2017-12-15 21:48:23 +08:00
    用云锁监控下试试,拦截未知 webshell,开启个高级防护,先在云平台看一下,不行让他们帮你看看哟
    WuwuGin
        22
    WuwuGin  
       2017-12-15 21:48:47 +08:00 via Android
    @ixiaohei 很正常,用户多自然病毒多,参考 Windows 和 MacOS 的对比。
    moult
        23
    moult  
       2017-12-15 21:56:20 +08:00
    find 去找最近有修改或创建的文件,看看这些文件是否有异样,可以确定是不是通过 webshell 进来的。
    其实楼主的大忌就是 webserver 用了 root 用户,最好单独给一个用户,然后除了 upload 目录以外都给只读,upload 目录配置纯静态访问,就算有漏洞,也只能往 upload 里面写脚本,可是脚本执行不了,也是白搭。
    zsx
        24
    zsx  
       2017-12-15 21:56:35 +08:00
    @ixiaohei #19 扫描器而已
    pynix
        25
    pynix  
       2017-12-15 22:10:00 +08:00
    目前最危险的还是注入。。。。
    Patrick95
        26
    Patrick95  
       2017-12-15 22:17:32 +08:00
    @ixiaohei #19 扫描器,基本都是 Wordpress 的扫描器。
    Va1n3R
        27
    Va1n3R  
       2017-12-15 23:00:30 +08:00
    现在没啥办法了,这样子的项目估计也不是什么重要的系统...直接重装吧。。。留了后门都很难清除,看你的描述,对方的权限肯定不会小...这一般都是提权成功了的,服务器看来补丁打的也是很少...然后还有的建议...别用开源的小程序...都是靶子
    msg7086
        28
    msg7086  
       2017-12-16 03:21:00 +08:00
    扔进虚拟机里跑呢……
    Linux 一旦被人拿到 root 权限,就没有什么他不能做的事情了。删你文件和数据库算是轻的。
    u5f20u98de
        29
    u5f20u98de  
       2017-12-16 09:11:55 +08:00
    如果进来拿了 root 权限给你装了 rootkit 都是可能的,找 rootkit 有时候也比较难,建议分析出攻击路径重装,如果没能力分析找个懂安全的帮你分析分析
    不过也有可能是别的项目出的漏洞把你祸害了
    mcfog
        30
    mcfog  
       2017-12-16 09:47:57 +08:00 via Android
    一直以为被侵入的机器除非故意做蜜罐,拿来再上生产的话肯定是要格盘重装并重新正确配置所有东西的

    到底是这其实不是常识还是不具备合格的运维常识却被逼上运维角色的人太多?
    king2014
        31
    king2014  
    OP
       2017-12-16 10:02:24 +08:00
    @mcfog 被逼上运维人太多。nnd 没办法
    or2me
        32
    or2me  
       2017-12-16 11:15:50 +08:00
    看了半天也就 @moult
    @mcfog 俩人说的稍微靠谱点.对于楼主这种水平,我觉得还是直接搬到阿里云开启云盾或者装个安全狗有用点.
    greatbody
        33
    greatbody  
       2017-12-16 11:26:34 +08:00
    如果有持续部署和自动备份,我想你收到的影响不会太大。人家总不至于把服务商都删了吧。
    haitang
        34
    haitang  
       2017-12-16 12:06:50 +08:00 via iPhone
    查下 web 日志,如果有注入什么的一般都会有奇怪的 url 访问吧,不过 post 的话就不好查了
    boboliu
        35
    boboliu  
       2017-12-16 18:02:27 +08:00
    一首凉凉送给楼主

    关于安全:SQL 全部 prepare,外来数据全部 HTML escape,基本就稳了
    websafe
        36
    websafe  
       2019-03-29 15:53:04 +08:00
    处理方法:先把可疑的文件 查看下修改时间 对比下 自己本地的备份文件 是否有 多余的文件 如果有的话就删除,再看下首页有无被修改 有的话就用备份替换上传 上去,但只能解决一时 还是会被反复篡改,治标不治本 建议找专业的网站安全公 司来处理解决,国内比较有名的 Sinesafe 和绿盟以及启明星辰等都是比较专业的.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3257 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 13:00 · PVG 21:00 · LAX 05:00 · JFK 08:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.