服务器被入侵了。怎么办?
自己的服务器总是CPU使用率暴涨,然后流量一下增加很多。
应该是被入侵了,然后作为了一个DDOS的节点。
这种情况下,应该如何解决?
第 1 条附言 · 2013-09-12 22:55:25 +08:00
找到了木马文件了。。
已经删除了。
但是还是有点问题。。。。。
周末重装算了。。。
服务器 入侵 ddos26 条回复 • 1970-01-01 08:00:00 +08:00
Livid 1
Livid V2EX Moderator 2013-09-12 14:46:08 +08:00 ❤️ 1
备份数据之后重装。关掉 ssh 的密码验证,只用证书。
BackBox 2
BackBox 2013-09-12 14:49:16 +08:00
@Livid 有很多很多个网站,备份有啥好的选择吗?
怎么知道是因为啥原因入侵了,我觉得不是ssh的原因。
msputup 3
msputup 2013-09-12 14:57:57 +08:00
查看服务器日志吧。
shiny 4
shiny 2013-09-12 14:58:27 +08:00
网站是否使用了 PHP?是否使用了开源程序?
crny520 5
crny520 2013-09-12 14:59:36 +08:00
@shiny 😛 DeDe
BackBox 6
BackBox 2013-09-12 15:00:30 +08:00
@shiny 是的。全是php 全是开源。我觉得应该是程序漏洞,但是不知道如何侦查。。
BackBox 7
BackBox 2013-09-12 15:00:50 +08:00
@msputup 好多好多好多。。。。网站太多了。。
ivenvd 8
ivenvd 2013-09-12 15:07:00 +08:00
@Livid 不一定是 ssh 的原因,webshell 的可能性更大。
BackBox 9
BackBox 2013-09-12 15:08:05 +08:00
@ivenvd 我觉得就是webshell。但是这个怎么破?
ivenvd 10
ivenvd 2013-09-12 15:10:58 +08:00
@BackBox 看看访问日志里面有没有线索,注入之类的话应该会有不寻常的 URL 吧?
BackBox 11
BackBox 2013-09-12 15:13:31 +08:00
@ivenvd 难道没有工具可以分析日志吗?手动分析有点困难。
msputup 12
msputup 2013-09-12 15:21:19 +08:00
@BackBox 有工具可以分析,但是具体的我没有了解过,你可以通过webshell入手,或者通过文件创建时间这类入手。另外dede的漏洞实在太多了。
首先扫webshell和一句话,因为大部分人更喜欢用菜刀。
如果没找到。
可以试下列各网站目录,然后查看文件修改时间(比如dede很多漏洞,都会创建文件或者修改某个文件),当然这是一个笨方法的。
还有个方法,自己模拟入侵一遍。哈哈,漏洞全知。
另外针对这类的话,主要原因还是在于权限上
shiny 13
shiny 2013-09-12 15:23:48 +08:00
@BackBox 就我线上的几个 dede 系统(听说一些 wordpress 系统也被webshell 了)来看,很容易被批量扫描,自动写入 ddos 客户端。你说的特征很像这种情况。
你可以试试搜索 php 文件里的 eval 字符串(比如在 Linux 下到 web 目录输入「grep -r “eval(” . –include=*.php」) 很容易抓出有问题的木马。
有不少临时解决办法。
shiny 14
shiny 2013-09-12 15:32:22 +08:00 ❤️ 1
@BackBox 你站太多是不应该看日志的。站多,首先应该考虑禁用一部分函数(比如 ignore_user_abort、set_time_limit、fsockopen),甚至关停一些垃圾站或者关闭 PHP 权限。
如果网站比较重要,首先应该抓到木马客户端,根据文件创建时间查该天日志,找到入侵漏洞来源然后补漏洞删文件。删除没有用到的组件。另外还要做权限设置。
BackBox 15
BackBox 2013-09-12 17:13:04 +08:00
@msputup 自己咋入侵。。
msputup 16
msputup 2013-09-12 17:22:54 +08:00 ❤️ 1
@BackBox 比如你服务器上有10个DEDE站,10个wordpress站。
wordpress的安全性是大于dede的。所以先检测dede站
如 www.adede.com www.bdede.com
先自检测adede.com的漏洞
再检测bdede.com的漏洞
BackBox 17
BackBox 2013-09-12 22:54:51 +08:00
@msputup 问题是用啥检测。。
BackBox 18
BackBox 2013-09-12 22:55:18 +08:00
找到了木马文件了。。
已经删除了。
但是还是有点问题。。。。。
周末重装算了。。。
lvye 19
lvye 2013-09-13 09:22:16 +08:00
重装解决不了问题的,还是会被入侵,dede是个万年坑,楼主早点跳出来比较好。
msputup 20
msputup 2013-09-13 10:01:55 +08:00
@BackBox 自己手动,一般的入侵方法,百度搜索下就有了。像dede这类的,多数是用0day,另外,dede*好删除member文件夹,还有data文件夹需要做什么的给忘记了。
就像dede*新的0day貌似是利用plus下的一个文件的。
BackBox 21
BackBox 2013-09-13 13:37:46 +08:00
@lvye 恩恩。。
有啥好用 简单易上手的cms推荐?
BackBox 22
BackBox 2013-09-13 13:46:06 +08:00
@lvye 已近决定跳出来了。
@msputup
@shiny
找到了那个入侵者的ip。。有啥办法对付他吗。
msputup 23
msputup 2013-09-13 17:02:52 +08:00
@BackBox 没办法,IP一般都不是固定的。而且有些可能是V.P.N了。所以无解。
BackBox 24
BackBox 2013-09-13 18:26:34 +08:00
@msputup 应该不是。。
日志多处都说的是那个IP…
msputup 25
msputup 2013-09-13 22:21:21 +08:00
@BackBox 那可能是通过服务器做跳板的。
winsyka 26
winsyka 2013-09-13 23:05:39 +08:00
看描述应该是骇客在你的服务器上种植了个php ddos工具用来作为botnet攻击别人……