站长之家(Chinaz.com)10月30日消息 近日,发现了多例用户ECS服务器被入侵事件。对此,阿里云官方表示,wdcp_v2.5.10之前的版本存在一个严重的安全漏洞,而入侵事件就是因为wdcp漏洞而导致的,建议用户尽快升级新版本。
以下为官方公告:
亲爱的阿里云ECS用户:
您好,近期WDCP官方发现wdcp_v2.5.10之前的版本有一个严重安全漏洞,目前已经发现多例因wdcp漏洞导致的用户ECS服务器被入侵的事件,还可能会导致更多的不安全因素,为保证您的业务和应用的安全,请广大用户尽快升级到比较新版本。
升级方法:
1)直接在后台升级就可以;
2)如果无法在后台升级,可用如下方法 ,SSH登录服务器 ,操作如下命令完成即可。
wget https://down.wdlinux.cn/down/wdcp_v2.5.tar.gz
tar zxvf wdcp_v2.5.tar.gz -C /
阿里云ECS团队
2014年10月30日
WDLINUX官方比较新给出的解决方案:
在wdcp 2.5.11以下的版本都会受到影响,请广大用户,IDC,云主机公司升级相应的模板等
如果你的wdcp面板没有限制后台登录域名,也没有修改默认端口的,也没有升级,很可能已被黑
对于这类情况,可能的情况下,较好重装下系统
一般常规检查
1 检查登录记录,是否有其它的IP,用户ID登录
2 检查数据库用户,是否有多出的用户ID
3 检查是否有被上传的文件
4 登录SSH检查是否有异常的进程,以及是否有ip32.rar,ip64,rar这类文件(目前发现,这是黑客上传执行程序)
查杀流程如下:
部分WDCP用户的服务器没有修改默认的WDCP管理地址,没有及时更新,导致被黑客入侵。由于WDCP的稳定和方便,很多朋友使用WDCP创建了很多站点,甚至在淘宝卖起了虚拟主机。
自WDCP九月份爆出漏洞一来,有部分客户被入侵,被恶意发包,让IDC机房烦恼不已,阿里云 腾讯云 先后发布安全预警,提醒用户升级,检查系统安全。
WDCP被入侵后,对系统造成了一定危害,如果直接重装系统,涉及到程序数据的迁移,是很浩大的工程。
鉴于此,WDCP技术团队对黑客入侵手法和痕迹的分析,整理出以下WDCP专杀修复脚本,经过测试,可以保证服务器正常运行。
1 如果SSH可以正常登录系统的,跳过此步骤。SSH无法登陆服务器,密码被恶意修改的,可以在引导系统时,编辑启动项加入single 单用户模式。通过passwd命令 重置密码。 参考连接 https://jingyan.baidu.com/article/acf728fd1de7ebf8e510a3cb.html
2 ls -lh /bin/ps 查看文件大小和时间,正常的是100K以内。如果是1.2M 左右的就是被替换了。(ps是LINUX下的任务管理器程序)
使用XFTP软件上传覆盖对应版本(centos5和6 的不同)的ps 文件 WDCP漏洞修复下载,添加执行权限chmod +x /bin/ps。 同理 上传/bin/netstat文件 。
3 a.去除恶意文件的执行权限
- chmod 000 /tmp/gates.lod /tmp/moni.lod
- service sendmail stop
- chkconfig --level 345 sendmail off
- chmod -x /usr/sbin/sendmail
- chmod -R 000 /root/*rar*
- chattr -i /root/conf.n
- chmod -R 000 /root/conf.n*
b.关闭恶意进程
ps auxww 查看当前系统进程 查找恶意进程 一般是*.rar 或者使用CPU较高的
kill -9 进程ID
killall 进程名 比如256.rar proxy.rar 等
c. 查看任务计划
crontab -e 看看是否有可疑任务,如果有多个/tmp下的随机名称的文件,那就是恶意程序,删除该任务
d.检测 /etc/rc.d/ 下的rc.local rc3.d rc5.d 目录下 是否有可疑文件,可以删除,这个是 启动项程序存放文件夹。
4 修改SSH端口,黑客是脚本实现的批量入侵,修改默认端口,可以有效避免入侵。
vi /etc/ssh/sshd_config 里的 #Port 22 为 Port 40822
重启SSHD服务 service sshd restart
5 部分用户的WDCP密码被非法篡改了。无法使用 https://ip:8080 进行登录管理后台
可以尝试使用 https://ip:8080/phpmyadmin 登录数据库管理 重置WDCP管理员的密码
如果忘记MYSQL的ROOT密码 ,强制修改mysql的root密码 在服务器里执行 sh /www/wdlinux/tools/mysql_root_chg.sh
点击wdcpdb数据库,选择wd_member 浏览信息,选择编辑admin这一行数据的passwd字段,
修改为 fc76c4a86c56becc717a88f651264622 即修改admin用户的密码为 123@abc
此时可以登陆WDCP管理界面了。删除其他管理员用户 一般为 test2,
登陆后还需要修改WDCP的默认8080端口,设置为40880 并在防火墙里允许该端口。
6 删除ssh秘钥文件登陆方式 ,经过对黑客的入侵痕迹分析,发现用户是使用WDCP面板的生成公钥功能,获取SSH权限的。禁止使用SSH公钥登陆
echo 0 > /root/.ssh/authorized_keys && chattr +i /root/.ssh/authorized_keys
7 设置防火墙规则 最后再设置防火墙规则,因为WDCP自带的规则设置不完善,推荐手工编辑配置文件。
设置 只允许外网访问 服务器的80(web) 40822(ssh) 40880(wdcp) ftp(20000-20500) ,禁止服务器访问外网,禁止木马反弹连接。
如果您有固定IP 可以设置只允许您自己的IP 访问. -s 指定来源IP
比如 -A INPUT -s 183.195.120.18/32 -m state --state NEW -p tcp --dport 40822 -j ACCEPT
编辑防火墙规则 vi /etc/sysconfig/iptables
重启防火墙 service iptables restart
查看当前规则 service iptables status
下面是已经编辑好的规则,如果您设置的端口 和 上面的一样,下面的规则可以直接采用。
- # Generated by WDCP_FIX
- *filter
- :INPUT ACCEPT [0:0]
- :BLOCK - [0:0]
- -A INPUT -i lo -j ACCEPT
- #-A INPUT -s 183.195.120.18/32 YOUR IP -j ACCEPT
- #-A INPUT -s 192.168.0.0/16 -p udp --dport 161 -j ACCEPT
- -A INPUT -j BLOCK
- -A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT
- -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
- -A INPUT -m state --state NEW -p tcp --dport 40822 -j ACCEPT
- -A INPUT -m state --state NEW -p tcp --dport 40880 -j ACCEPT
- -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
- #-A INPUT -m state --state NEW -p tcp -m multiport --dports 21,20000:20500 -j ACCEPT
- #-A INPUT -s YOUR_IP -m state --state NEW -p tcp --dport 8080 -j ACCEPT
- #-A INPUT -s 8.8.8.8 -m state --state NEW -p tcp --dport 8080 -j ACCEPT
- -A INPUT -j REJECT --reject-with icmp-port-unreachable
- -A OUTPUT -o lo -j ACCEPT
- -A OUTPUT -d 8.8.8.8 -j ACCEPT
- -A OUTPUT -d 8.8.4.4 -j ACCEPT
- #-A OUTPUT -d 183.195.120.18/32 -j ACCEPT
- -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
- #-A OUTPUT -m state --state NEW -p tcp --sport 20 -j ACCEPT
- #-A OUTPUT -m state --state NEW -p tcp -m multiport --dports 22,25,443,465 -j ACCEPT
- -A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
- #-A OUTPUT -m state --state NEW -p tcp --dport 80 -m hashlimit --hashlimit 5/sec --hashlimit-mode dstip --hashlimit-name out_http -j ACCEPT
- -A OUTPUT -j REJECT --reject-with icmp-port-unreachable
- COMMIT
- # Generated by WDCP_FIX.
8 安全维护建议
1、WDCP 可以设置访问域名。比如设置 一个很长的二级域名,只有自己知道,这样黑客就无法访问了。
更厉害点,这个域名不设置解析,自己修改本地电脑的HOSTS文件,强制指向访问,这样只有自己可以访问了。wdcp后台访问安全设置即限制域名/IP访问设置及清除方法
wdcp安全设置,让你的后台,只有你自己能访问:
wdcp的后台默认端口是8080,可以修改为其它端口wdcp的后台,可以限制IP地址的访问,也可以限制域名的访问。
做了这些限制与设置后,已相对安全了,也一般没人知道和能访问你的后台了。
但有一些情况,就是搜索引擎里,有些把这个后台的地址也给收录了,这样还是把这个后台的地址给爆露了。
那有没一个比较相对的安全限制方法?答案是有的,如下说的就是:
怎么实现,很简单。
在后台限制域名里,绑定一个不存在或没做解析的域名,比如admin.wdcp.cn。因为这个域名不存在或没解析,所以没有人知道这个域名的存在,除了你自己。也因为不存在或没解析,所以是访问不了的,但要怎么办呢?
很简单,比如服务器的IP地址是:192.168.1.100,限制访名的域名是admin.wdcp.cn
那么,只需要在C:\Windows\System32\drivers\etc\hosts 这个文件里添加一行,如
192.168.1.100 admin.wdcp.cn
保存
这样就完成了。这样,这个后台,现在就只有你自己能访问了!
不过切记,这个设置只在本机或本地电脑有效,如果换了电脑登录,还是登录不了。不过只需要做如上的设置操作才可以登录了,也就是添加一行到hosts文件里。
2、平时关闭 wdcp服务,需要使用时,临时开启。 不影响WEB服务的运行。
关闭服务和禁止开机启动 /etc/init.d/wdapache stop && chkconfig --list 345 wdapache off
/etc/init.d/wdapache start 开启服务
相关案例:
QQ上一位阿里云用户发来的截图:
很明显,机器被入侵了,并且被黑 客用来对外发包或者扫描了。
登录系统后,ps命令结果有下面这些内容:
看到这,可以高确定是被入侵了。
再来看看黑 客在做什么:
到这里基本可以下结论了,这位客户的机器上安装了WDCP面板,而这个面板最近又出了漏洞,很有可能是通过这个漏洞入侵进来,并且在入侵后又把这位客户的机器作为肉鸡,对外进行扫描、入侵,这一切,都是全自动化的!
查明情况后,就是善后处理了。
面板的漏洞不同于网站程序的漏洞,网站程序的漏洞被入侵后,如果做好严格的安全设置,被入侵了很难拿到系统的root权限,但是面板漏洞不同,面板本身必须要具有系统的管理权限,那么一旦面板出现了漏洞,很多情况下都是会被直接拿到root权限。
黑 客有了root权限后,系统中所有的工具都是不可信的。
后来查明,ps命令本身(/bin/ps)被作了替换,替换了之后仍具有ps命令本来的功能,但是会把命令结果中的一部分内容隐藏掉,而且,替换后的ps命令被加进了上面3.rar这个程序的功能。
查看了客户机器的系统版本后,启动了我本地PC虚拟机中的相同的系统,复制了一份ps命令程序,传到了客户的系统中。
恢复了ps命令之后,可以看到了原来隐藏的内容:
这个和上面的3.rar是同一个程序。
有了正常的ps程序之后,把所有的进程都检查了一遍。
用rootkit检测工具跑了一遍,没有发现情况,和往常一样,自动化的入侵不太喜欢装rootkit,但是基本都会替换掉系统中常用的管理命令,比如前面说的ps,后来又发现netstat命令也被黑 客做了替换。
自动化的入侵中,黑 客更追求量,而非质,这样就留下了很多马脚给检查提供了便利,比如替换了程序之后,文件日期都是没有伪装的。
把所有有问题的命令程序都处理结果后,带宽占用恢复了正常。但是善后工作并没有结束,被搞到root权限后,系统中所有必要的安全检查都要做一遍。
如果您也安装WDCP这个面板,但是系统中没有异常情况,不要忘了检查下/www/wdlinux/wdapache/logs/access_log这个日志,进一步确定是否有被入侵(现在的黑 客们已经懒到很少有人去删除自己的日志,要么不删,要么清空)。
上述案例来自服务器之家,原文地址:https://www.server110.com/linux_sec/201410/10926.html