什么样的情况会让黑客可以直接放一个文件夹上到你的网站上??

2016-11-24 11:04:46 +08:00
 SharkIng

先说下情况:

  1. Linode 的机子
  2. OneInStack 的脚本一键安装的 LANMP
  3. 有几个网站,但是出问题的总是那一个网站,两次了,应该是同一个人做的,放了一个钓鱼网站在那个问题网站的根目录, HSBC 钓鱼。
  4. 网站本身是 WordPress 的,用的一个免费模板,插件基本没有,其他也不知道什么了

现在想法:

  1. 机子本身禁止了 ROOT 登录,禁止了密码登录,用的是证书,证书有密码
  2. 应该不是机子暴露,否则为什么每次出事都是同一个网站?
  3. 没有 FTP ,所以应该不是 FTP 问题
  4. 感觉像是 WordPress 什么权限问题,但是不清楚

不知道有没有人遇到过类似的问题知道原因的?有什么办法根治这个问题么?

8602 次点击
所在节点    问与答
93 条回复
Vhc
2016-11-24 15:26:04 +08:00
@amustart 不能确定有,也不能确定没有。漏洞被第三方返现利用而官方不知道的叫 0day
@Ouyangan 你可以看看我在一楼的回复,并没有任何恶意引战意思。没想到还是招来一大波自卑人士的恶意猜测与诋毁。可能是我周围的朋友和同事素质比较高的缘故,造成了我和那群喷子之间的文化代购。我一直都不想和他们吵,只是好心回复却被他们恶意中伤,有些气愤。算了,和他们也犯不着。
Livid
2016-11-24 15:36:30 +08:00
@Phariel 谢谢举报。有一个账号已经 Deactivate 。
j98ujjjk
2016-11-24 15:37:01 +08:00
看完这个帖子,发现 1 楼真是极品中的极品。 1 楼千万别 @我,我怕传染。
Technetiumer
2016-11-24 15:55:46 +08:00
@Vhc 你开心就好

> 这和证书有没有密码有毛线关系?
“伪分析:题主是为了说明账号安全,默认不能试用账号密码登录,在没有证书的情况下,一般黑客利用爆破 ssh 的方法是不可行的,那么可以排除了黑客拥有账号密码直接登录的可能性,但是在被黑以后可能就有权限了。 ”

> WordPress 后台有自动升级功能,最新版的 WordPress 不存在你所说的任何一条。
自动升级是为啥?修复了漏洞。最新版的 WordPress 不存在任何漏洞那为啥要自动升级?

> 面对你们这一群喷子,我真的懒得再回复了。
你才是喷子好不好?
SharkIng
2016-11-24 16:20:58 +08:00
@Tink 我是这么想得,但是说实话懒得去研究,所以不好意思做了次伸手党。感谢回复,我有时间再研究研究 Wordpress 本身漏洞问题

@Yc1992 能说详细一点么?谢谢

@helloccav 刚开始查看了下日志并没有发现什么异常,我再仔细查看一下,谢谢提醒

@jasontse 感谢提醒,的确没主意后台记录,我再看看。

@MrGba2z WordPress 版本不是最新版,但是也不算很老,不知道有出现过某个老版本这种漏洞问题么?
其他大约 8 个网站,多半都是 HTML 单页面,有一两个是 PHP 基本都是自己写的,除了这个网站没有用到 WordPress 的地方。权限都是 www 用户可读不可写权限,除了 WordPress 的几个需要读写权限的地方,但是他偏偏在根目录下。

其他的有实质回答解决问题的都一一送过感谢了,回复很多重复我就不一一口头感谢了。大概了解了情况后我会回去继续查看一下的。谢谢大家帮忙

PS :我觉得我发帖上并没有什么语气上的问题,不知道为什么第一个回复就招来这样的嘲讽。服务器端安全问题我还是很有信心的,但是的确对 WordPress 和 PHP 等上面内容不是很熟悉,所以如果有说的不对的地方欢迎大家喷
wangkangluo1
2016-11-24 16:27:02 +08:00
应该是 Wordpress 漏洞,之前也遇到过这样的问题,客户数据都丢了
Technetiumer
2016-11-24 16:31:12 +08:00
@Vhc

> 我在一楼的回复句句对题,指出楼主主题内容表述中的错误。并非是某些人口中的” 0 帮助“。
> 下面那些无脑喷子也请你们**扪心自问**一下,你们把别人**善意的回答**理解为秀优越感,真的不是自己心里的阴暗与自卑吗?
> 你可以看看我在一楼的回复,**并没有任何恶意**引战意思。没想到还是招来一大波自卑人士的恶意猜测与诋毁。可能是我周围的朋友和同事素质比较高的缘故,造成了我和那群喷子之间的文化代购。
> 这和证书有没有密码有毛线关系?
> 没有安装 FTP 就肯定不是 FTP 的问题,你又是怎么厉害”应该“一词的?
> 感觉?呵呵

#你确定 这有帮助?是善意的回答?不是秀优越感?并没有任何恶意?
#想把微小错误都挑出来,通过咬文嚼字,好显得自己多牛逼,却没有提供实际的帮助。
#对,我就是恶意的猜测。

--------

> 若真是指出我的问题,我自然是要感谢的。你有看到有人指出我的问题吗?只是几个喷子在那乱碰,然后你就随大流的跟风对人指手画脚。这种风气真让人感到悲哀!
#那我来指一指了 2333
SharkIng
2016-11-24 16:33:56 +08:00
@wangkangluo1 我们会仔细看一下的,暂时把那个网站挪到新服务器上跑着并且 24 小时监控了

@Technetiumer 💕
stephenyin
2016-11-24 16:43:04 +08:00
你们都不懂,我替一楼说:我这人不太会说话, 有得罪之处,你 tm 打我啊~
SharkIng
2016-11-24 16:43:42 +08:00
@lanyusea 哈哈,让我感觉他的语气更像是我挖了他的墙角... 😂
zltningx
2016-11-24 16:49:24 +08:00
根据描述可以推测是 wordpress 的漏洞可能性很大啊。 建议自己根据版本上这里看看喽
https://www.exploit-db.com/search
Panic
2016-11-24 16:51:30 +08:00
@Vhc 你怎么确定你口中的朋友真当你是朋友,没准背后骂你 * * 呢。 没有王思聪的命,得了王思聪的病,真以为口无遮拦是个褒义词吗?
enenaaa
2016-11-24 17:34:39 +08:00
以前有个 dedecms 做的网站也是三天两头被上传文件, 执行 sell 。黑客还明白提醒我不要挣扎。
一怒之下把用不着的乱七八糟的功能文件全删了, 这下清静了。
sensui7
2016-11-24 17:52:30 +08:00
有问题到 stackexchange 旗下网站提问, 省去了吵架的麻烦.
fanzheng
2016-11-24 17:55:19 +08:00
应该是 wordpress 的漏洞。
chiu
2016-11-24 19:03:30 +08:00
@Vhc 不要骂人,不要粗口,可能就不会被人误解了
dreamwar
2016-11-24 19:52:19 +08:00
@Vhc 真是盲目,你被这么多人针对,就一点没觉得自己有问题?随便呵呵,呵呵呵呵呵,就呵呵你呢,呵呵
7jmS8834H50s975y
2016-11-24 21:43:47 +08:00
v2ex 已经没救了,这要感谢 诸如 @Vhc 这类人。
block
kaneg
2016-11-24 21:49:17 +08:00
被上传上的文件的位置是什么? Owner 是什么?一般 Wordpress 应该是 www-data 用户
yu1u
2016-11-24 21:57:59 +08:00
看了帖子 lz 的表达能力很乱,原谅我看得稀里糊涂。 lz 可能对安全这块不太了解吧,这些搞钓鱼黑产的不要把他们技术想得太过高深,我大概看了下可能有几个原因:

LZ 可以多方参考排除!
一、 Wordpress 主题存在后门,可能以加密方式隐藏其中不易察觉,一有主题被使用可能攻击者有类似箱子后门记录并直接进入你的网站。
二、 web 生产环境安全配置不当导致被入侵,例如: phpmyadmin 弱口令? 备份文件泄露?
三、你的密码可能被泄露,例如在其他网站使用通用密码? 或者你的网站第一次被入侵时就已经植入了后门,隐藏在茫茫的文件中。
四、同服务器的网站被入侵导致跨站服务器沦陷?
......

作案目的: 我猜测黑产组织可能随机搞站放钓鱼页面吧, 这样被封标记危险提示以后可以继续换个网站作案,可以减少购买域名,主机的成本,而且不易追踪到黑产者。

希望给楼主有个参考。


ps : 1L 真酸.....

@Tink
@helloccav
@upczww
@lawlietxxl
@zhs227
@enenaaa
@skylancer
@Livid

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/322885

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX