网站挂马 如何根治?

249 天前
 ccnoobs

疑问

自己的网站又挂马了,看了登录记录没有问题 ssh 端口也是只有我的 ip 才可以访问,还有什么工具可以直接修改 ng 的配置文件吗,没有排查的思绪了

配置详情

server {
  
  listen 80 default;
  server_name _;
location ^~ /downloadsss
{
    proxy_pass http://qwertyu.shijiediyi888.top;
    proxy_set_header Host qwertyu.shijiediyi888.top;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header REMOTE-HOST $host;
    proxy_http_version 1.1;
    # proxy_hide_header Upgrade;

    add_header X-Cache $upstream_cache_status;

    #Set Nginx Cache
    
    
    set $static_fileMJrCAYTq 0;
    if ( $uri ~* "\.(gif|png|jpg|css|js|woff|woff2)$" )
    {
     set $static_fileMJrCAYTq 1;
     expires 1m;
        }
    if ( $static_fileMJrCAYTq = 0 )
    {
    add_header Cache-Control no-cache;
    }
}
}
3767 次点击
所在节点    信息安全
26 条回复
dode
249 天前
你这服务器只挂个 nginx 代理就被黑了?
服务器关闭 ssh 密码登录,只使用密钥登录
既然服务器现在不安全了,就格式化重新部署一下,关闭密码登录
ccnoobs
249 天前
@dode 有网站自用的,直接改我 ng 配置 跳转别的域名了 ssh 只有一个 ip 地址能访问
carlinglm
249 天前
去看下系统日志吧,看下有什么可疑的 ip 来访问过,直接改你 nginx 的配置文件不太现实的,除非有啥别的漏洞
dpx
249 天前
需要经常修改文件吗?以前我用 WIN 的时候是把相关的配置和网页文件改成只读权限,可以参考下,如果还可以挂,说明对方已经有管理员权限了,往系统方面排查,直到找到对应漏洞。不想麻烦就系统重新部署,但很大机会还有相同漏洞。
akin520
249 天前
先看看你代码是不是有问题,挂马一般都会有 WEBSHELL
BeforeTooLate
249 天前
就问是不是只有密钥登录而不是密码登录?
ccnoobs
249 天前
@BeforeTooLate 直接密码登录
dode
249 天前
使用 docker 部署你的网站,定期备份数据,限制特殊目录的写权限
davehandong
249 天前
先想一下有没有可能操作系统或者服务本身是有问题的。
然后 nmap 之类的工具看一下哪些端口是可访问的,把没必要的都关了
ssh 直接登录操作的可能性我觉得不大,但是限制一下不能用密码登录也不费事,还有就是默认端口号可以改最好也改一下。
你这个 nginxs 配置文件只有一个反向代理,面儿上看我觉得是没啥问题的吧
可以看一下你的 nginx 版本号,用了哪个 module ,然后看一下这个版本有没有一些 CVE ,最好升到最新的。
也可以再看一下 accesslog.
其它的就得看具体还有啥服务了
davehandong
249 天前
再补充一下,nginx 服务启动不要用 root 帐户
lambdaq
249 天前
这题我会,nginx 启动之后把 nginx.conf 和 nginx 二进制都删了。
patrickyoung
249 天前
需要详细审计代码和系统配置
7lQM1uTy635LOmbu
249 天前
@ccnoobs 你是不是第一次被挂马后没有重装系统?第一次进去可能由于 ssh 弱密码,但如果没有重装,很可能对方第一次已经留了后门。
liyunyang
249 天前
是 php 吗?
MrUser
249 天前
最小权限原则,不要相信某些教程的话:一上来就 777 ,看着就危险。
要这样:
1. 可执行的文件或目录不可写;
2. 可写的文件或目录不可被执行;

另,检查 SELinux 规则不是不是遗漏了什么
busier
249 天前
@davehandong “再补充一下,nginx 服务启动不要用 root 帐户”
nginx 服务启动运行的是 master 进程,用 root 没有问题!
master 运行的 worker 子进程才是不应该用 root 的进程。
yarawen
249 天前
这个贴 https://v2ex.com/t/979950 你看下有木有用
ccnoobs
249 天前
@nevadax 第一次挂马后没重装 应该是留后门了
ccnoobs
249 天前
@yarawen 感谢 应该不是这个问题 我这个现象就是修改 ng 配置文件 服务是 java 的
ccnoobs
249 天前
@liyunyang 是 java 的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1044936

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX