标准宝塔环境 NGINX 被挂码问题排查

2022-11-08 00:59:53 +08:00
 dendi009

centos7 环境, 被挂码 /www/server/nginx/waf/config , 求排查思路,如果判断挂码来源,标准宝塔环境。

4207 次点击
所在节点    Linux
29 条回复
learningman
2022-11-08 01:05:52 +08:00
检查服务,比如经典 redis 。
检查代码,有无 webshell 。
检查 ssh log ,有无弱口令。
flywuhu
2022-11-08 01:06:00 +08:00
单纯的一个宝塔,还是宝塔上开着 web 站点?
dendi009
2022-11-08 01:16:09 +08:00
@flywuhu 宝塔环境 + php 站点, 可以基本可以确定 php 站点 是安全的,有完整的 php 站点请求审计,不可能是 php 网站的 漏洞
dendi009
2022-11-08 01:18:40 +08:00
@learningman 多台服务器出现了这个情况, 部分安装 redis 部分没安装 ,切端口均不对外,
php 站点 基本可以排除 webshell , 即使有没检查到的 web 漏洞, 也不会被轻松提权到 root 。 被挂码文件是 root 权限的
ssh 爆破登入可以 100% 排除
dendi009
2022-11-08 01:21:20 +08:00
补充说明,这些机器开通时间不一, 时间长的 1 年左右, 时间短的 10 天不到, 大部分机器都是近期开通的。 排除已知 ssh 安全漏洞和内部人为因素 。 肯定是外部入侵导致的
learningman
2022-11-08 01:32:47 +08:00
多台出现可能是 ssh 内网横移了,只有有一点被突破就够了
Dart
2022-11-08 01:35:41 +08:00
我的个人经验:
1 、业务代码一定要自己开发,毕竟成品如 wordpress 的漏洞你不一定第一时间会打补丁,更不用说你可能会用到的各种插件。
2 、服务器上千万别用盗版(破解版)
3 、尽量做到各个服务之间的环境隔离,目前最容易的就是容器化( Docker compose 、K8S 、ECS 等)
4 、千万别让各个应用共享一个数据库用户,各个应用 /服务分别创建用户
5 、宝塔这样的第三方运维工具能不用就不用,必须用就用开源主流工具,如 Terraform 、Ansible 这样的。
6 、如果自己搞不定,可以考虑找个这方面的专家咨询或协助。
dendi009
2022-11-08 01:56:58 +08:00
@learningman 没有内网, 都是公网 IP ,各不相同的内容,不同 地区机器, 相互直接没有登陆过
daimaosix
2022-11-08 03:37:46 +08:00
那就是不用宝塔
felixcode
2022-11-08 07:16:01 +08:00
用了宝塔,只能先默认是宝塔的漏洞了。
bobryjosin
2022-11-08 07:17:17 +08:00
不要用宝塔,最好手动部署
R18
2022-11-08 07:17:32 +08:00
起码把你的马发出来吧。服务器被黑我碰到过两种情况一种就是 redis 对外访问还没口令。一种是用的 wp 用了网上的主题和扩展。
cwyalpha
2022-11-08 07:41:00 +08:00
pma ?
ltkun
2022-11-08 08:02:45 +08:00
第一次听到 bt 这个缩写我以为是 bt 下载 庆幸从未用过宝塔这种 debian 系 apt 安装已经够简单了 红帽系 yum slack 的 pacman 这些包管理一个比一个人性化 还想着投机取巧就有点说不过了
xyjincan
2022-11-08 08:06:50 +08:00
SELinux 开了没,看看记录
xyjincan
2022-11-08 08:13:24 +08:00
坐一个标准环境,啥都不放,看看会不会出问题
DAPTX4869
2022-11-08 08:26:34 +08:00
@xyjincan #15 会用 selinux 的还用装宝塔? 悖论呐
danhahaha
2022-11-08 08:57:02 +08:00
宝塔配 php 黑客最爱呀,别告诉我你用的是 thinkphp,如果是,那就马场
danbai
2022-11-08 09:07:20 +08:00
已经脱离宝塔,脱离 nginx 了。用 caddy
likunyan
2022-11-08 09:49:12 +08:00
好歹发点有用的信息吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/893465

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX