V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
BackBox
V2EX  ›  服务器

服务器被入侵了。怎么办?

  •  
  •   BackBox · 2013-09-12 14:36:40 +08:00 · 4310 次点击
    这是一个创建于 4089 天前的主题,其中的信息可能已经有所发展或是发生改变。
    自己的服务器总是CPU使用率暴涨,然后流量一下增加很多。

    应该是被入侵了,然后作为了一个DDOS的节点。

    这种情况下,应该如何解决?
    第 1 条附言  ·  2013-09-12 22:55:25 +08:00
    找到了木马文件了。。
    已经删除了。
    但是还是有点问题。。。。。

    周末重装算了。。。
    26 条回复    1970-01-01 08:00:00 +08:00
    Livid
        1
    Livid  
    MOD
       2013-09-12 14:46:08 +08:00   ❤️ 1
    备份数据之后重装。关掉 ssh 的密码验证,只用证书。
    BackBox
        2
    BackBox  
    OP
       2013-09-12 14:49:16 +08:00
    @Livid 有很多很多个网站,备份有啥好的选择吗?

    怎么知道是因为啥原因入侵了,我觉得不是ssh的原因。
    msputup
        3
    msputup  
       2013-09-12 14:57:57 +08:00
    查看服务器日志吧。
    shiny
        4
    shiny  
       2013-09-12 14:58:27 +08:00
    网站是否使用了 PHP?是否使用了开源程序?
    crny520
        5
    crny520  
       2013-09-12 14:59:36 +08:00
    @shiny :P DeDe
    BackBox
        6
    BackBox  
    OP
       2013-09-12 15:00:30 +08:00
    @shiny 是的。全是php 全是开源。我觉得应该是程序漏洞,但是不知道如何侦查。。
    BackBox
        7
    BackBox  
    OP
       2013-09-12 15:00:50 +08:00
    @msputup 好多好多好多。。。。网站太多了。。
    ivenvd
        8
    ivenvd  
       2013-09-12 15:07:00 +08:00
    @Livid 不一定是 ssh 的原因,webshell 的可能性更大。
    BackBox
        9
    BackBox  
    OP
       2013-09-12 15:08:05 +08:00
    @ivenvd 我觉得就是webshell。但是这个怎么破?
    ivenvd
        10
    ivenvd  
       2013-09-12 15:10:58 +08:00
    @BackBox 看看访问日志里面有没有线索,注入之类的话应该会有不寻常的 URL 吧?
    BackBox
        11
    BackBox  
    OP
       2013-09-12 15:13:31 +08:00
    @ivenvd 难道没有工具可以分析日志吗?手动分析有点困难。
    msputup
        12
    msputup  
       2013-09-12 15:21:19 +08:00
    @BackBox 有工具可以分析,但是具体的我没有了解过,你可以通过webshell入手,或者通过文件创建时间这类入手。另外dede的漏洞实在太多了。

    首先扫webshell和一句话,因为大部分人更喜欢用菜刀。
    如果没找到。
    可以试下列各网站目录,然后查看文件修改时间(比如dede很多漏洞,都会创建文件或者修改某个文件),当然这是一个笨方法的。
    还有个方法,自己模拟入侵一遍。哈哈,漏洞全知。

    另外针对这类的话,主要原因还是在于权限上
    shiny
        13
    shiny  
       2013-09-12 15:23:48 +08:00
    @BackBox 就我线上的几个 dede 系统(听说一些 wordpress 系统也被webshell 了)来看,很容易被批量扫描,自动写入 ddos 客户端。你说的特征很像这种情况。

    你可以试试搜索 php 文件里的 eval 字符串(比如在 Linux 下到 web 目录输入「grep -r "eval(" . --include=*.php」) 很容易抓出有问题的木马。

    有不少临时解决办法。
    shiny
        14
    shiny  
       2013-09-12 15:32:22 +08:00   ❤️ 1
    @BackBox 你站太多是不应该看日志的。站多,首先应该考虑禁用一部分函数(比如 ignore_user_abort、set_time_limit、fsockopen),甚至关停一些垃圾站或者关闭 PHP 权限。

    如果网站比较重要,首先应该抓到木马客户端,根据文件创建时间查该天日志,找到入侵漏洞来源然后补漏洞删文件。删除没有用到的组件。另外还要做权限设置。
    BackBox
        15
    BackBox  
    OP
       2013-09-12 17:13:04 +08:00
    @msputup 自己咋入侵。。
    msputup
        16
    msputup  
       2013-09-12 17:22:54 +08:00   ❤️ 1
    @BackBox 比如你服务器上有10个DEDE站,10个wordpress站。
    wordpress的安全性是大于dede的。所以先检测dede站
    www.adede.com www.bdede.com
    先自检测adede.com的漏洞
    再检测bdede.com的漏洞
    BackBox
        17
    BackBox  
    OP
       2013-09-12 22:54:51 +08:00
    @msputup 问题是用啥检测。。
    BackBox
        18
    BackBox  
    OP
       2013-09-12 22:55:18 +08:00
    找到了木马文件了。。
    已经删除了。
    但是还是有点问题。。。。。

    周末重装算了。。。
    lvye
        19
    lvye  
       2013-09-13 09:22:16 +08:00
    重装解决不了问题的,还是会被入侵,dede是个万年坑,楼主早点跳出来比较好。
    msputup
        20
    msputup  
       2013-09-13 10:01:55 +08:00
    @BackBox 自己手动,一般的入侵方法,百度搜索下就有了。像dede这类的,多数是用0day,另外,dede最好删除member文件夹,还有data文件夹需要做什么的给忘记了。
    就像dede最新的0day貌似是利用plus下的一个文件的。
    BackBox
        21
    BackBox  
    OP
       2013-09-13 13:37:46 +08:00
    @lvye 恩恩。。
    有啥好用 简单易上手的cms推荐?
    BackBox
        22
    BackBox  
    OP
       2013-09-13 13:46:06 +08:00
    @lvye 已近决定跳出来了。
    @msputup
    @shiny
    找到了那个入侵者的ip。。有啥办法对付他吗。
    msputup
        23
    msputup  
       2013-09-13 17:02:52 +08:00
    @BackBox 没办法,IP一般都不是固定的。而且有些可能是V.P.N了。所以无解。
    BackBox
        24
    BackBox  
    OP
       2013-09-13 18:26:34 +08:00
    @msputup 应该不是。。
    日志多处都说的是那个IP...
    msputup
        25
    msputup  
       2013-09-13 22:21:21 +08:00
    @BackBox 那可能是通过服务器做跳板的。
    winsyka
        26
    winsyka  
       2013-09-13 23:05:39 +08:00
    看描述应该是骇客在你的服务器上种植了个php ddos工具用来作为botnet攻击别人……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5192 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 09:13 · PVG 17:13 · LAX 01:13 · JFK 04:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.