WDlinux官方论坛 - Powered by Discuz! Board

标题: [发布] wdcp的一个安全漏洞，非常严重，请大家及时升级和检查 [打印本页]

作者: admin 时间: 2014-11-6 14:17 标题: wdcp的一个安全漏洞，非常严重，请大家及时升级和检查

在九月份的时候，wdcp出了一个很严重的安全漏洞，当时也出了补丁更新，具体可看
http://www.wdlinux.cn/bbs/thread-37476-1-1.html

但近日来，发现，很多wdcp的用户都被黑，被增加数据库用户，被上传文件，恶意发包攻击，流量异常，甚至是控制了SSH的权限等
此次事件非常严重，影响也非常大，希望大家及时更新下补丁，以及做下安全限制

在wdcp 2.5.11以下的版本都会受到影响,请广大用户，IDC，云主机公司升级相应的模板等

如果你的wdcp面板没有限制后台登录域名，也没有修改默认端口的，也没有升级，很可能已被黑
对于这类情况，可能的情况下，最好重装下系统

一般常规检查
1 检查登录记录，是否有其它的IP,用户ID登录
2 检查数据库用户，是否有多出的用户ID
3 检查是否有被上传的文件
4 登录SSH检查是否有异常的进程，以及是否有ip32.rar,ip64,rar这类文件(目前发现，这是黑客上传执行程序)
请大家相互转告
=====如果被黑也不要害怕，目前已经有解决方法！========

使用分割线下的查收步骤，基本可以查杀后门和恶意程序，维持服务器稳定正常运行，免去重装系统的烦恼。

============查杀流程 2014-11-13更新====================
部分WDCP用户的服务器没有修改默认的WDCP管理地址，没有及时更新，导致被黑客入侵。由于WDCP的稳定和方便，很多朋友使用WDCP创建了很多站点，甚至在淘宝卖起了虚拟主机。
自WDCP九月份爆出漏洞一来，有部分客户被入侵，被恶意发包，让IDC机房烦恼不已，阿里云腾讯云先后发布安全预警，提醒用户升级，检查系统安全。
WDCP被入侵后，对系统造成了一定危害，如果直接重装系统，涉及到程序数据的迁移，是很浩大的工程。
鉴于此，WDCP技术团队对黑客入侵手法和痕迹的分析，整理出以下WDCP专杀修复脚本，经过测试，可以保证服务器正常运行。

1 如果SSH可以正常登录系统的，跳过此步骤。SSH无法登陆服务器，密码被恶意修改的，可以在引导系统时，编辑启动项加入single 单用户模式。通过passwd命令重置密码。参考连接 http://jingyan.baidu.com/article/acf728fd1de7ebf8e510a3cb.html

2 ls -lh /bin/ps 查看文件大小和时间，正常的是100K以内。如果是1.2M 左右的就是被替换了。(ps是LINUX下的任务管理器程序)
  使用XFTP软件上传覆盖对应版本(centos5和6 的不同)的ps 文件 WDCP漏洞修复下载，添加执行权限chmod +x /bin/ps。同理上传/bin/netstat文件  。

论坛用户补充，黑客在窜改前，对上述文件进行了备份，大家也可以使用下面的命令进行恢复原始版本的文件。
cp  /usr/bin/dpkgd/* /sbin/  && cp  -f /usr/bin/dpkgd/* /bin/    然后按几次Y  确认覆盖即可。

3 a.去除恶意文件的执行权限
chmod 000 /tmp/gates.lod /tmp/moni.lod
service sendmail stop
chkconfig --level 345 sendmail off
chmod -x  /usr/sbin/sendmail

chmod -R 000  /root/*rar*
chattr -i /root/conf.n
chmod -R 000 /root/conf.n*

rm -rf  /www/wdlinux/wdcp/sys/802
rm -rf  /www/wdlinux/wdcp/sys/802.1
rm -rf  /usr/bin/lixww
rm -rf  /usr/bin/bsd-port/getty
rm -rf /tmp/gates.lock
rm -rf  /tmp/moni.lock
rm -rf  /usr/bin/bsd-port/getty.lock
rm -rf /www/wdlinux/wdcp/sys/conf.n
rm -rf  /usr/bin/bsd-port/conf.n
b.关闭恶意进程
ps auxww 查看当前系统进程  查找恶意进程一般是*.rar 或者使用CPU较高的
kill -9 进程ID
killall 进程名  比如256.rar  proxy.rar 等

c. 查看任务计划
crontab -e  看看是否有可疑任务，如果有多个/tmp下的随机名称的文件，那就是恶意程序，删除该任务

d.检测 /etc/rc.d/ 下的rc.local rc3.d rc5.d  目录下是否有可疑文件，可以删除，这个是启动项程序存放文件夹。
4 修改SSH端口，黑客是脚本实现的批量入侵，修改默认端口，可以有效避免入侵。
vi /etc/ssh/sshd_config 里的  #Port 22 为 Port 40822
重启SSHD服务 service sshd restart

5 部分用户的WDCP密码被非法篡改了。无法使用 http://ip:8080 进行登录管理后台
可以尝试使用 http://ip:8080/phpmyadmin 登录数据库管理  重置WDCP管理员的密码
如果忘记MYSQL的ROOT密码，强制修改mysql的root密码在服务器里执行 sh /www/wdlinux/tools/mysql_root_chg.sh
点击wdcpdb数据库,选择wd_member 浏览信息，选择编辑admin这一行数据的passwd字段，
修改为 fc76c4a86c56becc717a88f651264622  即修改admin用户的密码为 123@abc

此时可以登陆WDCP管理界面了。删除其他管理员用户一般为 test2，
登陆后还需要修改WDCP的默认8080端口，设置为40880 并在防火墙里允许该端口。

6 删除ssh秘钥文件登陆方式，经过对黑客的入侵痕迹分析，发现用户是使用WDCP面板的生成公钥功能，获取SSH权限的。禁止使用SSH公钥登陆
  echo 0 > /root/.ssh/authorized_keys && chattr +i  /root/.ssh/authorized_keys

7  设置防火墙规则最后再设置防火墙规则，因为WDCP自带的规则设置不完善，推荐手工编辑配置文件。
设置只允许外网访问服务器的80(web) 40822(ssh) 40880(wdcp) ftp(20000-20500)  ,禁止服务器访问外网，禁止木马反弹连接。
如果您有固定IP 可以设置只允许您自己的IP 访问. -s 指定来源IP
比如 -A INPUT -s 183.195.120.18/32  -m state --state NEW -p tcp --dport 40822 -j ACCEPT
编辑防火墙规则  vi /etc/sysconfig/iptables
重启防火墙 service iptables restart
查看当前规则 service iptables status

下面是已经编辑好的规则，如果您设置的端口和上面的一样，下面的规则可以直接采用。
# Generated by WDCP_FIX
*filter
:INPUT ACCEPT [0:0]
:BLOCK - [0:0]
-A INPUT -i lo -j ACCEPT
#-A INPUT -s 183.195.120.18/32 YOUR IP  -j ACCEPT
#-A INPUT -s 192.168.0.0/16 -p udp --dport 161 -j ACCEPT
-A INPUT -j BLOCK
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 40822 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 40880 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
#-A INPUT -m state --state NEW -p tcp -m multiport --dports 21,20000:20500 -j ACCEPT
#-A INPUT -s YOUR_IP -m state --state NEW -p tcp --dport 8080 -j ACCEPT
#-A INPUT -s 8.8.8.8 -m state --state NEW -p tcp --dport 8080 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 8.8.8.8 -j ACCEPT
-A OUTPUT -d 8.8.4.4 -j ACCEPT
#-A OUTPUT -d  183.195.120.18/32  -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp --sport 20 -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp -m multiport --dports 22,25,443,465 -j ACCEPT
-A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp --dport 80 -m hashlimit --hashlimit 5/sec --hashlimit-mode dstip --hashlimit-name out_http -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-port-unreachable

COMMIT
# Generated by WDCP_FIX.

说明：禁止服务器访问外网，可能会引起采集文章和图片异常，连接远程数据库异常，建议逐个添加防火墙规则放行端口和IP。具体请在 OUTPUT里放行对应的端口。
放行访问外网的80 -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
放行访问外网的3306  -A OUTPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT

8 安全维护建议
1 WDCP 可以设置访问域名。比如设置一个很长的二级域名，只有自己知道，这样黑客就无法访问了。
更厉害点，这个域名不设置解析，自己修改本地电脑的HOSTS文件，强制指向访问，这样只有自己可以访问了。wdcp后台访问安全设置即限制域名/IP访问设置及清除方法
 wdcp安全设置,让你的后台,只有你自己能访问

2 平时关闭 wdcp服务，需要使用时，临时开启。不影响WEB服务的运行。
  关闭服务和禁止开机启动 /etc/init.d/wdapache stop && chkconfig --level 345 wdapache off
/etc/init.d/wdapache start 开启服务

感谢您的支持！祝您生活愉快！WDCP漏洞修复包下载，如果您对LINUX不熟悉，可以找懂技术的朋友参考此文档帮忙清理！
漏洞修复包 http://www.wdcdn.com/down/WDCP_FIX.zip

作者: 超帅 时间: 2014-11-9 17:30

建议wdcp官方提供一个邮件或者短信订阅，大家都把手机号或者邮箱提交一下，这样以后有更新可以及时通知。可能很多人都不经常登录wdcp的

作者: beifeng_v 时间: 2014-11-9 22:33

我的站打不开了。。。。

作者: yourewang 时间: 2014-11-11 00:49

能及时告知大家支持wdcp

作者: featue 时间: 2014-11-11 10:17

/etc/rc.d/下还有内容呢。。。。

重伤。

作者: wenjie0225 时间: 2014-11-12 10:29

为什么要金币才能下载呢~

作者: songfeifei 时间: 2014-11-12 12:13

已经设置为免费下载了。请测试！

作者: songfeifei 时间: 2014-11-12 12:24

回复 4# yourewang

已经群发邮件，稍后会继续跟进通知！

作者: joejoes 时间: 2014-11-13 13:21

我在WDCP后台面板上面点升级到wdcp 2.5.11,然后过一会提示升级成功。
这样就可以了吗？还是要再重启一下linux系统呢？

作者: mill168 时间: 2014-11-15 18:00

建议最好重启下吧。

作者: wonenea 时间: 2014-11-19 10:27

安全维护建议

1: WDCP 可以设置访问域名。比如设置一个很长的二级域名，只有自己知道，这样黑客就无法访问了。

更厉害点，这个域名不设置解析，自己修改本地电脑的HOSTS文件，强制指向访问，这样只有自己可以访问了。
wdcp后台访问安全设置即限制域名/IP访问设置及清除方法

wdcp安全设置,让你的后台,只有你自己能访问

2: 平时关闭 wdcp服务，需要使用时，临时开启。不影响WEB服务的运行。

关闭服务和禁止开机启动 /etc/init.d/wdapache stop && chkconfig --list 345 wdapache off

开启服务 /etc/init.d/wdapache start

-----------------------------------------------
收藏,备用.-----------------------------------------------

作者: Elias 时间: 2014-11-19 12:25

已经中毒状态了求管理看看如何解决小白菜们需要经验

图片附件: QQ截图20141118163019.jpg (2014-11-19 12:25, 56.16 KB) / 下载次数 6856
http://www.wdlinux.cn/bbs/attachment.php?aid=4920&k=4084472c722639595e6c71fa916edcd6&t=1713444378&sid=xMarxa

作者: nuctroy 时间: 2014-11-24 01:33

-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT

我想知道这句的意义，是否会引起网络请求延迟呢？……求指导！

作者: nuctroy 时间: 2014-11-24 03:24

我发现文中提到的两个可疑文件：/bin/ps 与 /bin/netstat
大小都是 1,135,000byte
于是我查找这个大小的全部文件：

find / -size 1135000c

得到如下结果

/bin/netstat
/bin/ps
/www/wdlinux/wdcp/sys/802
/www/wdlinux/wdcp/sys/802.1
/usr/bin/lixww
/usr/bin/bsd-port/getty

希望对官方能有所帮助，并指导一下我们如何处理……

作者: nuctroy 时间: 2014-11-24 04:05

在 /tmp 目录下发现两个可疑文件：gates.lock 与 moni.lock
大小都为 4byte
于是我查找以lock结尾并且只有4byte大小的文件：

find / -name '*.lock' -size 4c

得到如下结果

/tmp/gates.lock
/tmp/moni.lock
/usr/bin/bsd-port/getty.lock

三个文件我全部删除了……希望有用………

作者: nuctroy 时间: 2014-11-24 04:14

在 /usr/bin/bsd-port/ 目录还发现可疑文件：conf.n
大小为69byte
于是查找这个文件名一样的文件：

find / -name 'conf.n'

得到如下结果

/www/wdlinux/wdcp/sys/conf.n
/usr/bin/bsd-port/conf.n

两个文件我都删除了……希望我做的没有问题……

作者: nuctroy 时间: 2014-11-24 04:24

意外地在 /usr/bin/ 目录发现可疑新目录 /usr/bin/dpkgd
该目录下有两个文件： ps 与 netstat

对比修改时间发现该两个文件与 /bin/ps 与 /bin/netstat 这两个文件被修改的时间一致

深刻怀疑这是攻击者做的备份所在，于是用这两个备份文件替换了/bin下的对应文件，ps与netstat又能正常使用了。

PS：使用WD官方提供的netstat文件会被系统提示：-bash: /bin/netstat: /lib/ld-linux.so.2: bad ELF interpreter: 没有那个文件或目录，说明文件还是有问题的，而且和备份的两个文件的大小并不一样！

看来，攻击者还是挺有良心的，好像也没有做任何大的动作和破坏！

谢天谢地谢这个陌生人！

作者: yueyanwen 时间: 2014-11-26 20:44

支持老大。精彩啊！

作者: shavie 时间: 2014-11-27 10:39

很多客户受伤了，我们也可以借助黑客的思维，设置使用SSH私钥登录，这样更安全一些。

作者: hjk7788 时间: 2014-12-1 09:58

嗯，谢谢管理员，不过我的版本无法修补，统名称：WDlinux Control Panel (简称wdCP) (WD订阅)
当前版本: wdcp_v2.5.11(20140926) 最新 wdcp_v2.5.11(20140926)更新日志
操作系统：Linux 2.6.32-279.el6.x86_64

作者: hanhanwen 时间: 2014-12-1 15:00

我以为WDCP该升级了。
现在CentOS 7.0了。
但是WDCP不支持，我安装了，全乱了。。。多希望支持呀。WDCP就算收费我也支持呀。。。可惜
真的该升级一下了。。。

作者: 33207 时间: 2014-12-5 20:01

非常感谢，我真的中招了。幸好看到这个教程，才把问题解决。

作者: showjiange 时间: 2014-12-5 20:06

完全按照这上面解决了，但是操作后后台由原来的空白变为打开，进入后升级，并没有发现 test2 账户，只有一个 admin ，现在后台运行良好，创建新站点也是 502 bad ，原来的所有网站都是 502 ，这是为何？

作者: yolo 时间: 2014-12-5 21:27

怎么没法直接在后台升级？

作者: ucyo123 时间: 2014-12-6 11:41

系统名称：WDlinux Control Panel (简称wdCP) (WD订阅)
当前版本: wdcp_v2.5.11(20140926) 最新 wdcp_v2.5.11(20140926) 更新日志
操作系统：Linux 2.6.32-504.1.3.el6.x86_64
弱弱的问下，这个版本要补吗

作者: songfeifei 时间: 2014-12-8 18:00

回复 14# nuctroy

感谢提醒，删除恶意文件即可

作者: songfeifei 时间: 2014-12-8 18:01

回复 20# hjk7788

升级方法
1 直接在后台升级就可以

2 如果无法在后台升级,可用如下方法
SSH登录服务器
wget http://down.wdlinux.cn/down/wdcp_v2.5.tar.gz
tar zxvf wdcp_v2.5.tar.gz -C /
完成即可

作者: fzs888 时间: 2014-12-14 02:21

学习了。刚发现要升级，不过还很及时。

作者: haonan1947 时间: 2014-12-16 03:45

我用的是腾讯云主机，ssh被恶意改了但无法实现教程里的第一步啊，楼主求解

作者: fanxuebin 时间: 2014-12-24 20:01

肿么老有漏洞

作者: iwangq 时间: 2015-1-18 22:47

补补更健康

作者: hk500 时间: 2015-2-21 17:20

wget http://down.wdlinux.cn/down/wdcp_v2.5.tar.gz
tar zxvf wdcp_v2.5.tar.gz -C /
升级后，进程里面一直有一个25306.rar ,杀掉又会有，ROOT下面会自动生成这个文件。
请问怎么解决？

作者: hk500 时间: 2015-2-21 17:40

root    60056  0.1  0.0  15884 528 ?       Ss 17:12 0:00 /usr/bin/bsd-port/getty
root    60081  0.0  0.0  15884 528 ?       S 17:12 0:00 /usr/bin/bsd-port/getty
root    60082  0.0  0.0  15884 528 ?       S 17:12 0:00 /usr/bin/bsd-port/getty
root    60083  0.1  0.0  15884 528 ?       S 17:12 0:00 /usr/bin/bsd-port/getty
root    60084  0.0  0.0  15884 528 ?       S 17:12 0:00 /usr/bin/bsd-port/getty
root    60085  0.0  0.0  15884 528 ?       S 17:12 0:00 /usr/bin/bsd-port/getty
root    60086  0.0  0.0  15884 528 ?       S 17:12 0:00 /usr/bin/bsd-port/getty
root    60087  0.0  0.0  15884 528 ?       S 17:12 0:00 /usr/bin/bsd-port/getty
root    60088  0.0  0.0  15884 528 ?       S 17:12 0:00 /usr/bin/bsd-port/getty
root    60127  0.0  0.0  15884 528 ?       Ss 17:13 0:00 /root/25306.rar
root    60132  0.1  0.0  15888 528 ?       Ss 17:13 0:00 /usr/bin/bsd-port/getty
root    60137  0.1  0.0 3592 328 ?       Ss 17:13 0:00 /usr/bin/acpid
root    60139  0.0  0.0  15884 528 ?       S 17:13 0:00 /root/25306.rar
root    60140  0.0  0.0  15884 528 ?       S 17:13 0:00 /root/25306.rar
root    60141  0.1  0.0  15884 528 ?       S 17:13 0:00 /root/25306.rar
root    60142  0.0  0.0  15884 528 ?       S 17:13 0:00 /root/25306.rar
root    60143  0.0  0.0  15884 528 ?       S 17:13 0:00 /root/25306.rar
root    60144  0.0  0.0  15884 528 ?       S 17:13 0:00 /root/25306.rar
root    60145  0.0  0.0  15884 528 ?       S 17:13 0:00 /root/25306.rar
root    60146  0.0  0.0  15884 528 ?       S 17:13 0:00 /root/25306.rar
root    60150  0.0  0.0 3592 328 ?       S 17:13 0:00 /usr/bin/acpid
root    60151  0.0  0.0 3592 328 ?       S 17:13 0:00 /usr/bin/acpid
root    60157  0.0  0.0  15884 528 ?       S 17:13 0:00 /usr/bin/bsd-port/getty
root    60158  0.0  0.0  15884 528 ?       S 17:13 0:00 /usr/bin/bsd-port/getty
root    60159  0.1  0.0  15884 528 ?       S 17:13 0:00 /usr/bin/bsd-port/getty
root    60160  0.0  0.0  15884 528 ?       S 17:13 0:00 /usr/bin/bsd-port/getty
root    60161  0.0  0.0  15884 528 ?       S 17:13 0:00 /usr/bin/bsd-port/getty
root    60162  0.0  0.0  15884 528 ?       S 17:13 0:00 /usr/bin/bsd-port/getty
root    60163  0.0  0.0  15884 528 ?       S 17:13 0:00 /usr/bin/bsd-port/getty
root    60164  0.0  0.0  15884 528 ?       S 17:13 0:00 /usr/bin/bsd-port/getty

作者: bit 时间: 2015-2-22 17:22

回复 33# hk500

你这是啥意思啊

作者: meinvba 时间: 2015-5-20 23:32

什么漏洞啊

作者: impig33 时间: 2015-10-12 15:49

说说我吧
1.ssh ftp wdapach全部修改端口
2.服务平时不开
3.使用sshd加密通道访问面板

还算安全，呵呵

欢迎光临 WDlinux官方论坛 (http://www.wdlinux.cn/bbs/)