这是一个创建于 2268 天前的主题,其中的信息可能已经有所发展或是发生改变。
上次发过一个求助贴 https://www.v2ex.com/t/480799#reply40,得到一些预防的思路后我就换了服务器。新服务器 FTP 不开,SSH 登录都不开,mysql 等所有的密码都用不同随机难暴力破的,结果好了一段时间后现在还是被入侵了。无奈啊,现在都不知道怎么办了。如果非要找个锅的话,会不会是因为用了 wdcp 环境呢。。
 |
1
ChristopherWu 2018-08-31 19:31:26 +08:00
好奇一下,ssh 登录都不开,那你怎么登上去的?
|
 |
2
liangzi 2018-08-31 19:34:51 +08:00 via Android
fail2ban 你值得拥有...
|
 |
3
DigitalE 2018-08-31 19:34:51 +08:00
@ChristopherWu 是密匙吧
|
 |
4
haimall 2018-08-31 19:36:24 +08:00 via Android
血的教训,自己搭环境。或者 lnmp 套
|
 |
5
Everyman 2018-08-31 19:39:18 +08:00
最近开了一台腾讯云学生机,每天都有大量的其它机器尝试 ssh,然后我限制特定的 ip 段才可以 ssh 就安静了。其它机器尝试 ssh 直接拒绝掉,没有暴力破解密码的机会。
在 /etc/hosts.allow 和 /etc/hosts.deny 设置。 |
 |
6
yichinzhu 2018-08-31 19:45:53 +08:00 via Android
你的网站有漏洞,网站地址呢,不给怎么定位问题
|
 |
7
ihciah 2018-08-31 19:49:48 +08:00  4
比如要是你装了 dedecms。。。(手动狗头
|
 |
8
torment5524 2018-08-31 20:02:52 +08:00 2
crontab /etc/crontab 看下有没有其他的定时任务。我接手的一个服务器就是被之前的工程师在里面挂任务,凌晨定时替换密钥文件,半小时后再换回去的;
netstat -nltup 查看本机开放了哪些端口服务,防火墙只允许通过业务使用的端口 查看本机是否被添加了用户,调整用户权限。 阿里云之类的话,需要做好账号保护,再就是你是否设定了账户的管理 key,然后写在代码 /app 里,然后被拿到。 再就是各种默认管理配置链接都是有人扫的,如果你开放了访问权限,仍然是坑,应用的部分不需要客户访问的要做好目录权限。 |
 |
9
582033 2018-08-31 20:30:35 +08:00 via iPhone
比如没加认证的 redis
|
 |
10
opengps 2018-08-31 21:27:58 +08:00 via Android
推测是你的网站本身漏洞,正如前几楼提过的通用型 cms
|
 |
11
kernel 2018-08-31 23:51:55 +08:00
正确设置下系统本身的软件如 ssh/ftp 什么的漏洞几乎不可能,有也不会用到你这样的小站。
基本还是你用什么漏洞多的应用了吧,比如国人写的 php cms |
 |
12
pythonee 2018-09-01 00:19:37 +08:00
我其实挺感兴趣这些服务器漏洞的攻击和防御的。
|
 |
13
glouhao 2018-09-01 00:41:27 +08:00 via Android
我用过一段 dhcp,会卡死,换是 lnmp 省心多了。一直以为我这种没流量的网站不用管安全问题,上次查了日志,赶紧禁用了 root 直接登录,加了 fail2ban。之前 wp 模板中过招,尽量自己写主题,别用乱踢八糟插件。其他 cms(织梦除外),只用官方东西应该也一样安全。
|
 |
14
ynyounuo 2018-09-01 00:55:28 +08:00
重置系统然后先用 lynis 查查看?
|
 |
15
WWd0g 2018-09-01 03:29:19 +08:00
一个一个排除嘛,如果是你 web 程序的问题,这得分析分析日志,找出具体是哪个文件哪行代码出的问题,然后把这个 bug 补上,然后在排查一下服务器自身的挂马情况,数据库挂马情况
|
 |
16
daigouspy 2018-09-01 06:06:26 +08:00 via Android
用 cms 一定要经常更新版本
|
 |
17
Dk2014 2018-09-01 08:21:04 +08:00 via Android
不要用面板
|
 |
18
abccccabc 2018-09-01 10:10:28 +08:00
楼主,为啥不用宝塔呢? WDCP 已经死了,指不定人家知道 WDCP 的漏洞在哪里,直接使用漏洞进 WDCP 的后台,开 SSH,登录进去。或者你的网站程序有漏洞。这就没有办法了。修补漏洞吧。
楼主最好把日志文件放上来,供大家给你分析一下。 |
 |
19
lscho 2018-09-01 10:16:05 +08:00
程序有漏洞,在环境上想保护起来太难了。。除非你能定位漏洞的类型和作用。。不过这样基本上也可以手动清除了
|
 |
20
likuku 2018-09-01 12:26:14 +08:00 via iPhone
所以,技术或经验不足,还是别买服务器折腾了,直接买成熟大厂的托管服务了事,比如 Wordpress 就直接买 Wordpress 岛 卡姆 自家提供的服务什么。
|
 |
22
defunct9 2018-09-01 14:20:27 +08:00 3
开 ssh,让我上去看看
|
|
23
ChristopherWu 2018-09-01 17:17:18 +08:00
@yiranHZT 我关密码登录,换 ssh 端口,就没问题了。
|
 |
24
tadtung 2018-09-01 17:43:44 +08:00 via Android
一般不建议使用面板。
不过从前你说的明显是网站被挂马了,和面板,环境都没关系。黑你的根本不需要你的 ssh,ftp 密码。 仔细查你的日志。另外用杀毒软件查一下你网站文件。 网站是你自己写的?如果不是的话,不建议去使用来历不明的源码。即使要用自己先排查。。。 |
 |
25
doufenger OP @tadtung 上面挂着一个 Discuz! X3.4,一个静态页,一个自己找人开发的自用的 PHP 程序。。Discuz! X3.4 应该不至于有这么轻易就被人入侵的漏洞吧。 那就可能是那个找人开发的 PHP 程序了。。 但是我用 webshell 查杀工具扫描过文件没找出任何问题。我自己的话并不会程序所以看不出来 大佬你会看吗? 帮我看看把 请你抽包烟。
|
|
26
tadtung 2018-09-01 19:16:27 +08:00 via Android
@doufenger 把你找人开发的 php 程序发给我 我晚上要是有空帮你看一下。 mail:[email protected]
另外 dz 不要随意安装不明来路模板和插件。尤其是一些破解插件,很多都有后门的。 |
 |
27
SirLostWhite 2018-09-01 19:19:48 +08:00
比如
服务器文件权限 上传验证 redis 入口文件放置问题 错误提示会不会暴露版本信息之类的 程序上能找的漏洞挺多的 |
 |
31
JmmBite 2018-09-01 22:26:20 +08:00
旁路攻击
|
 |
33
cxbig 2018-09-02 01:00:45 +08:00 1
先解决 SSH 本身的问题:
1. 查看是否有可疑用户 2. 关 root 登录改用 sudo 用户 3. 只允许 ssh-key 登录 4. 改默认 22 端口到别的地方 再看数据库 1. 有没有屏蔽外来访问 2. 有没有做 SSL 安全连接 3. 最好和 App 服务器做一个内网访问 4. 如果是同一台服务器下的,用 socket 方式访问,关掉 3306 等端口 再看项目 1. 有没有异常 nginx/apache 日志(通常注入漏洞都这里发现的) |
Select Language