网站被挂马,我不断删除他们生成恶意的文件,今天把它惹毛了,删除了我的站点代码,目前我掌握的信息如下

2017-12-15 19:56:29 +08:00
 king2014

1.查看 linux 的操作 history 发现有如下几行命令行记录,其他任何记录都没有,secure 日志也正常,登录 ssd 的 ip 地址都是确定安全的,也可能被黑客删除了登录记录。 1513147165:0;export HISTSIZE=0 1513147171:0;export HISTFILE=/dev/null 2.貌似也只是假设,他只能操作一个站点下面的文件和 tmp 下面生成文件,其他不能操作,不然他可以直接删掉整个服务器,是通过站点漏洞 webshell 等操作实现的吗?

我想问下 1.站点是用了开源的框架(很老已经不维护的那种),一些重要文件我都要做 chatter + i 加过权限的,黑客可以通过站点漏洞 webshell 等删除这些加过权限的文件吗?

2.是不是它获取了整个服务器的 root 权限?所以他可以删除哪些被我加 i 文件

3.接下去我该怎么办,代码倒是有备份,但是找不到问题的源头,他还可以再次删除代码。

4.服务器密码改过后,是复杂的强密码,还是被删除了代码,还直接被挑衅

6990 次点击
所在节点    Linux
36 条回复
ho121
2017-12-15 20:00:35 +08:00
报警啊
king2014
2017-12-15 20:07:39 +08:00
@ho121 已经报警,没什么用,录了口供,让我自己加强防护
WordTian
2017-12-15 20:17:47 +08:00
日志没异常,那估计就是通过网站框架的远程执行命令漏洞入侵的。你启动网站框架是不是用的 root 用户?如果是的话,对方很容易得到有 root 权限的 shell。最好用非 root 权限启动网站框架
opengps
2017-12-15 20:31:31 +08:00
开启你网站后,看看对外产生了那些连接 ,使用 netstat 命令
zc666
2017-12-15 20:41:49 +08:00
如果是 webshell,web 服务的日志应该会有记录吧
kuretru
2017-12-15 20:43:52 +08:00
用 last 命令看一下,感觉是拿了 root 权限
ys0290
2017-12-15 20:46:24 +08:00
为什么不先改密码?
ys0290
2017-12-15 20:47:20 +08:00
@ys0290 请忽略我
acgnsstech
2017-12-15 20:48:03 +08:00
重装系统~!

换程序!!!!
jimmy2010
2017-12-15 20:53:00 +08:00
http access 日志能看到他怎么进来的
king2014
2017-12-15 20:56:40 +08:00
@WordTian 确实是 root 权限,谢谢提醒
king2014
2017-12-15 20:57:06 +08:00
@kuretru last 命令看过,没有异常
king2014
2017-12-15 20:57:42 +08:00
@zc666 嗯,要看日志记录
king2014
2017-12-15 20:58:56 +08:00
@acgnsstech 苦逼啊,装系统就图片文件就要 2T,转移是个问题,而且其他目录下面还运行着其他项目。暂时不能重装
amu
2017-12-15 20:59:16 +08:00
應該是通過 web shell 獲取了 web 根目錄的 root 權限,你可以搜索一下你的开源的框架有沒有 CVE,趕緊換一個新的框架
ztaosony
2017-12-15 21:16:06 +08:00
估计你这框架漏洞不少
simple4wan
2017-12-15 21:21:23 +08:00
安全狗 阿里云盾 云锁 手工搞不定就用工具
gbin
2017-12-15 21:32:37 +08:00
请问楼主是什么 WEB 环境? LAMP 吗?

我感觉是 ``eval`` 函数的锅,站点没注入了,你可以尝试以下操作:

1. 查看最近两天被修改过的 PHP 文件(假设你站点是 PHP )
```
find -mtime -2 -type f -name \*.php
```
2. 查找是否有木马
```
grep -r --include=*.php '[^a-z]eval($_POST' /path/to/site/
grep -r --include=*.php '[^a-z]eval($_' /path/to/site/
grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' /path/to/site/
```

一些建议:
1. 如果是 PHP 环境,确保运行 PHP 的用户为一般用户,如 www
2. 禁用 PHP 危险函数,如 eval,exec,phpinfo 等
3. 改变 PHP 文件的权限:644
4. 关闭上传目录的 PHP 执行权限
5. 如果是 Apache,可以使用 mod_security 模块防止 SQL 注入、XSS 攻击。
ixiaohei
2017-12-15 21:38:31 +08:00
感觉楼主是 php 网站,我司 java 技术栈, 生产新开个 zuul 网关,access 日志看到一堆奇怪的.php 结尾 url,当时就在想 php 漏洞这么多?
selfAccomplish
2017-12-15 21:39:28 +08:00
你用的什么框架? Linux 而且还有框架的话,常见的是 jsp 程序用的 Struts-2,甚至你的 tomcat 等应用版本过老也有可能被直接攻击拿到 root 权限。这种事情还是平时安装安全软件,云平台的话启用云安全防护。出了事,如果事小只能自己报警然而如果你自己提供不了足以抓到对方的证据警察也没办法。还是找专业人士来溯源吧。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/415142

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX