这是一个创建于 2774 天前的主题,其中的信息可能已经有所发展或是发生改变。
上次发过一个求助贴 t/480799#reply40,得到一些预防的思路后我就换了服务器。新服务器 FTP 不开,SSH 登录都不开,mysql 等所有的密码都用不同随机难暴力破的,结果好了一段时间后现在还是被入侵了。无奈啊,现在都不知道怎么办了。如果非要找个锅的话,会不会是因为用了 wdcp 环境呢。。
 | 1 ChristopherWu 2018 年 8 月 31 日 好奇一下,ssh 登录都不开,那你怎么登上去的? |
 | 2 liangzi 2018 年 8 月 31 日 via Android fail2ban 你值得拥有... |
 | 3 DigitalE 2018 年 8 月 31 日 @ChristopherWu 是密匙吧 |
 | 4 JinShu 2018 年 8 月 31 日 via Android 血的教训,自己搭环境。或者 lnmp 套 |
 | 5 Everyman 2018 年 8 月 31 日 最近开了一台腾讯云学生机,每天都有大量的其它机器尝试 ssh,然后我限制特定的 ip 段才可以 ssh 就安静了。其它机器尝试 ssh 直接拒绝掉,没有暴力破解密码的机会。 在 /etc/hosts.allow 和 /etc/hosts.deny 设置。 |
 | 6 yichinzhu 2018 年 8 月 31 日 via Android 你的网站有漏洞,网站地址呢,不给怎么定位问题 |
 | 7 ihciah 2018 年 8 月 31 日  4 比如要是你装了 dedecms。。。(手动狗头 |
 | 8 torment5524 2018 年 8 月 31 日 2 crontab /etc/crontab 看下有没有其他的定时任务。我接手的一个服务器就是被之前的工程师在里面挂任务,凌晨定时替换密钥文件,半小时后再换回去的; netstat -nltup 查看本机开放了哪些端口服务,防火墙只允许通过业务使用的端口 查看本机是否被添加了用户,调整用户权限。 阿里云之类的话,需要做好账号保护,再就是你是否设定了账户的管理 key,然后写在代码 /app 里,然后被拿到。 再就是各种默认管理配置链接都是有人扫的,如果你开放了访问权限,仍然是坑,应用的部分不需要客户访问的要做好目录权限。 |
 | 9 582033 2018 年 8 月 31 日 via iPhone 比如没加认证的 redis |
 | 10 opengps 2018 年 8 月 31 日 via Android 推测是你的网站本身漏洞,正如前几楼提过的通用型 cms |
 | 11 kernel 2018 年 8 月 31 日 正确设置下系统本身的软件如 ssh/ftp 什么的漏洞几乎不可能,有也不会用到你这样的小站。 基本还是你用什么漏洞多的应用了吧,比如国人写的 php cms |
 | 12 pythonee 2018 年 9 月 1 日 我其实挺感兴趣这些服务器漏洞的攻击和防御的。 |
 | 13 glouhao 2018 年 9 月 1 日 via Android 我用过一段 dhcp,会卡死,换是 lnmp 省心多了。一直以为我这种没流量的网站不用管安全问题,上次查了日志,赶紧禁用了 root 直接登录,加了 fail2ban。之前 wp 模板中过招,尽量自己写主题,别用乱踢八糟插件。其他 cms(织梦除外),只用官方东西应该也一样安全。 |
 | 14 ynyounuo span class="ago" title="2018-09-01 00:55:28 +08:00">2018 年 9 月 1 日 重置系统然后先用 lynis 查查看? |
 | 15 WWd0g 2018 年 9 月 1 日 一个一个排除嘛,如果是你 web 程序的问题,这得分析分析日志,找出具体是哪个文件哪行代码出的问题,然后把这个 bug 补上,然后在排查一下服务器自身的挂马情况,数据库挂马情况 |
 | 16 daigouspy 2018 年 9 月 1 日 via Android 用 cms 一定要经常更新版本 |
 | 17 Dk2014 2018 年 9 月 1 日 via Android 不要用面板 |
 | 18 abccccabc 2018 年 9 月 1 日 楼主,为啥不用宝塔呢? WDCP 已经死了,指不定人家知道 WDCP 的漏洞在哪里,直接使用漏洞进 WDCP 的后台,开 SSH,登录进去。或者你的网站程序有漏洞。这就没有办法了。修补漏洞吧。 楼主最好把日志文件放上来,供大家给你分析一下。 |
 | 19 lscho 2018 年 9 月 1 日 程序有漏洞,在环境上想保护起来太难了。。除非你能定位漏洞的类型和作用。。不过这样基本上也可以手动清除了 |
 | 20 likuku 2018 年 9 月 1 日 via iPhone 所以,技术或经验不足,还是别买服务器折腾了,直接买成熟大厂的托管服务了事,比如 Wordpress 就直接买 Wordpress 岛 卡姆 自家提供的服务什么。 |
 | 22 defunct9 2018 年 9 月 1 日 3 开 ssh,让我上去看看 |
| 23 ChristopherWu 2018 年 9 月 1 日 @yiranHZT 我关密码登录,换 ssh 端口,就没问题了。 |
 | 24 tadtung 2018 年 9 月 1 日 via Android 一般不建议使用面板。 不过从前你说的明显是网站被挂马了,和面板,环境都没关系。黑你的根本不需要你的 ssh,ftp 密码。 仔细查你的日志。另外用杀毒软件查一下你网站文件。 网站是你自己写的?如果不是的话,不建议去使用来历不明的源码。即使要用自己先排查。。。 |
 | 25 doufenger OP @tadtung 上面挂着一个 Discuz! X3.4,一个静态页,一个自己找人开发的自用的 PHP 程序。。Discuz! X3.4 应该不至于有这么轻易就被人入侵的漏洞吧。 那就可能是那个找人开发的 PHP 程序了。。 但是我用 webshell 查杀工具扫描过文件没找出任何问题。我自己的话并不会程序所以看不出来 大佬你会看吗? 帮我看看把 请你抽包烟。 |
| 26 tadtung 2018 年 9 月 1 日 via Android @doufenger 把你找人开发的 php 程序发给我 我晚上要是有空帮你看一下。 mail:[email protected] 另外 dz 不要随意安装不明来路模板和插件。尤其是一些破解插件,很多都有后门的。 |
 | 27 SirLostWhite 2018 年 9 月 1 日 比如 服务器文件权限 上传验证 redis 入口文件放置问题 错误提示会不会暴露版本信息之类的 程序上能找的漏洞挺多的 |
 | 31 JmmBite 2018 年 9 月 1 日 旁路攻击 |
 | 33 cxbig 2018 年 9 月 2 日 1 先解决 SSH 本身的问题: 1. 查看是否有可疑用户 2. 关 root 登录改用 sudo 用户 3. 只允许 ssh-key 登录 4. 改默认 22 端口到别的地方 再看数据库 1. 有没有屏蔽外来访问 2. 有没有做 SSL 安全连接 3. 最好和 App 服务器做一个内网访问 4. 如果是同一台服务器下的,用 socket 方式访问,关掉 3306 等端口 再看项目 1. 有没有异常 nginx/apache 日志(通常注入漏洞都这里发现的) |
Select Language