服务器被入侵了。怎么办?

2013-09-12 14:36:40 +08:00
 BackBox
自己的服务器总是CPU使用率暴涨,然后流量一下增加很多。

应该是被入侵了,然后作为了一个DDOS的节点。

这种情况下,应该如何解决?
4310 次点击
所在节点    服务器
26 条回复
Livid
2013-09-12 14:46:08 +08:00
备份数据之后重装。关掉 ssh 的密码验证,只用证书。
BackBox
2013-09-12 14:49:16 +08:00
@Livid 有很多很多个网站,备份有啥好的选择吗?

怎么知道是因为啥原因入侵了,我觉得不是ssh的原因。
msputup
2013-09-12 14:57:57 +08:00
查看服务器日志吧。
shiny
2013-09-12 14:58:27 +08:00
网站是否使用了 PHP?是否使用了开源程序?
crny520
2013-09-12 14:59:36 +08:00
@shiny :P DeDe
BackBox
2013-09-12 15:00:30 +08:00
@shiny 是的。全是php 全是开源。我觉得应该是程序漏洞,但是不知道如何侦查。。
BackBox
2013-09-12 15:00:50 +08:00
@msputup 好多好多好多。。。。网站太多了。。
ivenvd
2013-09-12 15:07:00 +08:00
@Livid 不一定是 ssh 的原因,webshell 的可能性更大。
BackBox
2013-09-12 15:08:05 +08:00
@ivenvd 我觉得就是webshell。但是这个怎么破?
ivenvd
2013-09-12 15:10:58 +08:00
@BackBox 看看访问日志里面有没有线索,注入之类的话应该会有不寻常的 URL 吧?
BackBox
2013-09-12 15:13:31 +08:00
@ivenvd 难道没有工具可以分析日志吗?手动分析有点困难。
msputup
2013-09-12 15:21:19 +08:00
@BackBox 有工具可以分析,但是具体的我没有了解过,你可以通过webshell入手,或者通过文件创建时间这类入手。另外dede的漏洞实在太多了。

首先扫webshell和一句话,因为大部分人更喜欢用菜刀。
如果没找到。
可以试下列各网站目录,然后查看文件修改时间(比如dede很多漏洞,都会创建文件或者修改某个文件),当然这是一个笨方法的。
还有个方法,自己模拟入侵一遍。哈哈,漏洞全知。

另外针对这类的话,主要原因还是在于权限上
shiny
2013-09-12 15:23:48 +08:00
@BackBox 就我线上的几个 dede 系统(听说一些 wordpress 系统也被webshell 了)来看,很容易被批量扫描,自动写入 ddos 客户端。你说的特征很像这种情况。

你可以试试搜索 php 文件里的 eval 字符串(比如在 Linux 下到 web 目录输入「grep -r "eval(" . --include=*.php」) 很容易抓出有问题的木马。

有不少临时解决办法。
shiny
2013-09-12 15:32:22 +08:00
@BackBox 你站太多是不应该看日志的。站多,首先应该考虑禁用一部分函数(比如 ignore_user_abort、set_time_limit、fsockopen),甚至关停一些垃圾站或者关闭 PHP 权限。

如果网站比较重要,首先应该抓到木马客户端,根据文件创建时间查该天日志,找到入侵漏洞来源然后补漏洞删文件。删除没有用到的组件。另外还要做权限设置。
BackBox
2013-09-12 17:13:04 +08:00
@msputup 自己咋入侵。。
msputup
2013-09-12 17:22:54 +08:00
@BackBox 比如你服务器上有10个DEDE站,10个wordpress站。
wordpress的安全性是大于dede的。所以先检测dede站
www.adede.com www.bdede.com
先自检测adede.com的漏洞
再检测bdede.com的漏洞
BackBox
2013-09-12 22:54:51 +08:00
@msputup 问题是用啥检测。。
BackBox
2013-09-12 22:55:18 +08:00
找到了木马文件了。。
已经删除了。
但是还是有点问题。。。。。

周末重装算了。。。
lvye
2013-09-13 09:22:16 +08:00
重装解决不了问题的,还是会被入侵,dede是个万年坑,楼主早点跳出来比较好。
msputup
2013-09-13 10:01:55 +08:00
@BackBox 自己手动,一般的入侵方法,百度搜索下就有了。像dede这类的,多数是用0day,另外,dede最好删除member文件夹,还有data文件夹需要做什么的给忘记了。
就像dede最新的0day貌似是利用plus下的一个文件的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/82182

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX