1
Livid MOD 备份数据之后重装。关掉 ssh 的密码验证,只用证书。
|
3
msputup 2013-09-12 14:57:57 +08:00
查看服务器日志吧。
|
4
shiny 2013-09-12 14:58:27 +08:00
网站是否使用了 PHP?是否使用了开源程序?
|
12
msputup 2013-09-12 15:21:19 +08:00
@BackBox 有工具可以分析,但是具体的我没有了解过,你可以通过webshell入手,或者通过文件创建时间这类入手。另外dede的漏洞实在太多了。
首先扫webshell和一句话,因为大部分人更喜欢用菜刀。 如果没找到。 可以试下列各网站目录,然后查看文件修改时间(比如dede很多漏洞,都会创建文件或者修改某个文件),当然这是一个笨方法的。 还有个方法,自己模拟入侵一遍。哈哈,漏洞全知。 另外针对这类的话,主要原因还是在于权限上 |
13
shiny 2013-09-12 15:23:48 +08:00
@BackBox 就我线上的几个 dede 系统(听说一些 wordpress 系统也被webshell 了)来看,很容易被批量扫描,自动写入 ddos 客户端。你说的特征很像这种情况。
你可以试试搜索 php 文件里的 eval 字符串(比如在 Linux 下到 web 目录输入「grep -r "eval(" . --include=*.php」) 很容易抓出有问题的木马。 有不少临时解决办法。 |
14
shiny 2013-09-12 15:32:22 +08:00 1
@BackBox 你站太多是不应该看日志的。站多,首先应该考虑禁用一部分函数(比如 ignore_user_abort、set_time_limit、fsockopen),甚至关停一些垃圾站或者关闭 PHP 权限。
如果网站比较重要,首先应该抓到木马客户端,根据文件创建时间查该天日志,找到入侵漏洞来源然后补漏洞删文件。删除没有用到的组件。另外还要做权限设置。 |
16
msputup 2013-09-12 17:22:54 +08:00 1
@BackBox 比如你服务器上有10个DEDE站,10个wordpress站。
wordpress的安全性是大于dede的。所以先检测dede站 如 www.adede.com www.bdede.com 先自检测adede.com的漏洞 再检测bdede.com的漏洞 |
18
BackBox OP 找到了木马文件了。。
已经删除了。 但是还是有点问题。。。。。 周末重装算了。。。 |
19
lvye 2013-09-13 09:22:16 +08:00
重装解决不了问题的,还是会被入侵,dede是个万年坑,楼主早点跳出来比较好。
|
20
msputup 2013-09-13 10:01:55 +08:00
@BackBox 自己手动,一般的入侵方法,百度搜索下就有了。像dede这类的,多数是用0day,另外,dede最好删除member文件夹,还有data文件夹需要做什么的给忘记了。
就像dede最新的0day貌似是利用plus下的一个文件的。 |
26
winsyka 2013-09-13 23:05:39 +08:00
看描述应该是骇客在你的服务器上种植了个php ddos工具用来作为botnet攻击别人……
|