1.查看 linux 的操作 history 发现有如下几行命令行记录,其他任何记录都没有,secure 日志也正常,登录 ssd 的 ip 地址都是确定安全的,也可能被黑客删除了登录记录。 1513147165:0;export HISTSIZE=0 1513147171:0;export HISTFILE=/dev/null 2.貌似也只是假设,他只能操作一个站点下面的文件和 tmp 下面生成文件,其他不能操作,不然他可以直接删掉整个服务器,是通过站点漏洞 webshell 等操作实现的吗?
我想问下 1.站点是用了开源的框架(很老已经不维护的那种),一些重要文件我都要做 chatter + i 加过权限的,黑客可以通过站点漏洞 webshell 等删除这些加过权限的文件吗?
2.是不是它获取了整个服务器的 root 权限?所以他可以删除哪些被我加 i 文件
3.接下去我该怎么办,代码倒是有备份,但是找不到问题的源头,他还可以再次删除代码。
4.服务器密码改过后,是复杂的强密码,还是被删除了代码,还直接被挑衅
1
ho121 2017-12-15 20:00:35 +08:00 via Android
报警啊
|
3
WordTian 2017-12-15 20:17:47 +08:00 via Android
日志没异常,那估计就是通过网站框架的远程执行命令漏洞入侵的。你启动网站框架是不是用的 root 用户?如果是的话,对方很容易得到有 root 权限的 shell。最好用非 root 权限启动网站框架
|
4
opengps 2017-12-15 20:31:31 +08:00
开启你网站后,看看对外产生了那些连接 ,使用 netstat 命令
|
5
zc666 2017-12-15 20:41:49 +08:00 via iPhone
如果是 webshell,web 服务的日志应该会有记录吧
|
6
kuretru 2017-12-15 20:43:52 +08:00 via iPhone
用 last 命令看一下,感觉是拿了 root 权限
|
7
ys0290 2017-12-15 20:46:24 +08:00 via iPhone
为什么不先改密码?
|
9
acgnsstech 2017-12-15 20:48:03 +08:00
重装系统~!
换程序!!!! |
10
jimmy2010 2017-12-15 20:53:00 +08:00 via Android
http access 日志能看到他怎么进来的
|
14
king2014 OP @acgnsstech 苦逼啊,装系统就图片文件就要 2T,转移是个问题,而且其他目录下面还运行着其他项目。暂时不能重装
|
15
amu 2017-12-15 20:59:16 +08:00
應該是通過 web shell 獲取了 web 根目錄的 root 權限,你可以搜索一下你的开源的框架有沒有 CVE,趕緊換一個新的框架
|
16
ztaosony 2017-12-15 21:16:06 +08:00
估计你这框架漏洞不少
|
17
simple4wan 2017-12-15 21:21:23 +08:00 via Android
安全狗 阿里云盾 云锁 手工搞不定就用工具
|
18
gbin 2017-12-15 21:32:37 +08:00 3
请问楼主是什么 WEB 环境? LAMP 吗?
我感觉是 ``eval`` 函数的锅,站点没注入了,你可以尝试以下操作: 1. 查看最近两天被修改过的 PHP 文件(假设你站点是 PHP ) ``` find -mtime -2 -type f -name \*.php ``` 2. 查找是否有木马 ``` grep -r --include=*.php '[^a-z]eval($_POST' /path/to/site/ grep -r --include=*.php '[^a-z]eval($_' /path/to/site/ grep -r --include=*.php 'file_put_contents(.*$_POST\[.*\]);' /path/to/site/ ``` 一些建议: 1. 如果是 PHP 环境,确保运行 PHP 的用户为一般用户,如 www 2. 禁用 PHP 危险函数,如 eval,exec,phpinfo 等 3. 改变 PHP 文件的权限:644 4. 关闭上传目录的 PHP 执行权限 5. 如果是 Apache,可以使用 mod_security 模块防止 SQL 注入、XSS 攻击。 |
19
ixiaohei 2017-12-15 21:38:31 +08:00
感觉楼主是 php 网站,我司 java 技术栈, 生产新开个 zuul 网关,access 日志看到一堆奇怪的.php 结尾 url,当时就在想 php 漏洞这么多?
|
20
selfAccomplish 2017-12-15 21:39:28 +08:00
你用的什么框架? Linux 而且还有框架的话,常见的是 jsp 程序用的 Struts-2,甚至你的 tomcat 等应用版本过老也有可能被直接攻击拿到 root 权限。这种事情还是平时安装安全软件,云平台的话启用云安全防护。出了事,如果事小只能自己报警然而如果你自己提供不了足以抓到对方的证据警察也没办法。还是找专业人士来溯源吧。
|
21
Sor 2017-12-15 21:48:23 +08:00
用云锁监控下试试,拦截未知 webshell,开启个高级防护,先在云平台看一下,不行让他们帮你看看哟
|
23
moult 2017-12-15 21:56:20 +08:00
find 去找最近有修改或创建的文件,看看这些文件是否有异样,可以确定是不是通过 webshell 进来的。
其实楼主的大忌就是 webserver 用了 root 用户,最好单独给一个用户,然后除了 upload 目录以外都给只读,upload 目录配置纯静态访问,就算有漏洞,也只能往 upload 里面写脚本,可是脚本执行不了,也是白搭。 |
25
pynix 2017-12-15 22:10:00 +08:00
目前最危险的还是注入。。。。
|
27
Va1n3R 2017-12-15 23:00:30 +08:00
现在没啥办法了,这样子的项目估计也不是什么重要的系统...直接重装吧。。。留了后门都很难清除,看你的描述,对方的权限肯定不会小...这一般都是提权成功了的,服务器看来补丁打的也是很少...然后还有的建议...别用开源的小程序...都是靶子
|
28
msg7086 2017-12-16 03:21:00 +08:00
扔进虚拟机里跑呢……
Linux 一旦被人拿到 root 权限,就没有什么他不能做的事情了。删你文件和数据库算是轻的。 |
29
u5f20u98de 2017-12-16 09:11:55 +08:00
如果进来拿了 root 权限给你装了 rootkit 都是可能的,找 rootkit 有时候也比较难,建议分析出攻击路径重装,如果没能力分析找个懂安全的帮你分析分析
不过也有可能是别的项目出的漏洞把你祸害了 |
30
mcfog 2017-12-16 09:47:57 +08:00 via Android
一直以为被侵入的机器除非故意做蜜罐,拿来再上生产的话肯定是要格盘重装并重新正确配置所有东西的
到底是这其实不是常识还是不具备合格的运维常识却被逼上运维角色的人太多? |
32
or2me 2017-12-16 11:15:50 +08:00
|
33
greatbody 2017-12-16 11:26:34 +08:00
如果有持续部署和自动备份,我想你收到的影响不会太大。人家总不至于把服务商都删了吧。
|
34
haitang 2017-12-16 12:06:50 +08:00 via iPhone
查下 web 日志,如果有注入什么的一般都会有奇怪的 url 访问吧,不过 post 的话就不好查了
|
35
boboliu 2017-12-16 18:02:27 +08:00
一首凉凉送给楼主
关于安全:SQL 全部 prepare,外来数据全部 HTML escape,基本就稳了 |
36
websafe 2019-03-29 15:53:04 +08:00
处理方法:先把可疑的文件 查看下修改时间 对比下 自己本地的备份文件 是否有 多余的文件 如果有的话就删除,再看下首页有无被修改 有的话就用备份替换上传 上去,但只能解决一时 还是会被反复篡改,治标不治本 建议找专业的网站安全公 司来处理解决,国内比较有名的 Sinesafe 和绿盟以及启明星辰等都是比较专业的.
|