WDlinux官方论坛 - Powered by Discuz! Board

标题: [BUG反馈] 严重漏洞!! [打印本页]

作者: qq703821945 时间: 2013-8-18 16:31 标题: 严重漏洞!!

http://www.wooyun.org/bugs/wooyun-2010-05835这个漏洞貌似你们已经修复了,

但是2013.8.16我却被这个漏洞上传了很多其他网站的东西,
造事者已经发邮件告诉我是这个漏洞(我之前都不知道),
2012年的漏洞2013年还能用???
WDCP是最新的2.5.8

辛亏对方貌似只是为了测试漏洞,没有做出破坏性的动作,
这个漏洞请你们注意.

作者: qq703821945 时间: 2013-8-18 16:33

如图所示,我的网站 "www.ragnaroks.org" 内容和图中网站内容完全无关

图片附件: 1.jpg (2013-8-18 16:33, 100 KB) / 下载次数 19990
http://www.wdlinux.cn/bbs/attachment.php?aid=3448&k=605df883228d0c5d3cafbc0e66c61430&t=1774475074&sid=V3S2NJ

作者: coolyx 时间: 2013-8-18 19:41

期待admin大人的解答
应该可能性不大，我有两三个黑客技术还是不错的人。试过2.58的，没啥问题的

作者: admin 时间: 2013-8-18 19:53

能确定是wdcp新版而不是是其它网站等原因导致?

如果可以,留个对方的联系方式或让对方联系下我

作者: qq703821945 时间: 2013-8-18 22:11

回复 4# admin

这个我确认,我马上就给对方说,如果他愿意告之的话应该会主动联系

作者: qq703821945 时间: 2013-8-18 22:27

提示: 该帖被管理员或版主屏蔽

作者: coolyx 时间: 2013-8-18 22:29

祝愿咱们的wdlinux越办越好，越来越安全

作者: qq703821945 时间: 2013-8-18 22:32

我的网站安全性

图片附件: 2.jpg (2013-8-18 22:30, 114.63 KB) / 下载次数 21465
http://www.wdlinux.cn/bbs/attachment.php?aid=3452&k=92ae2ad36ab4ec7087a59640cfb54767&t=1774475074&sid=V3S2NJ

作者: qq703821945 时间: 2013-8-18 22:39

提示: 该帖被管理员或版主屏蔽

作者: admin 时间: 2013-8-19 10:07

没想到还有人这么恨wdcp的...

只不过,现在似乎有点在怀疑此文的本意了

作者: spolarv 时间: 2013-8-19 10:36

回复 10# admin

确实有漏洞吗？管理员咋办？咋回事

作者: glmgs 时间: 2013-8-19 11:14

没啥大问题吧

作者: qq703821945 时间: 2013-8-19 20:26

回复 10# admin

好吧，这个事我肯定不会骗你，至少我还在用wdcp。
不知道有没有办法查看ftp上传记录？帐号登录记录我都看了，全是正常的。
如果能看ftp记录，是真是假一看便知。
我是8.14买的vps，8.15凌晨装的wdcp，我发现的可疑文件都是8.16出现的，
所以只要查到8.16的ftp记录就可以了。

作者: qq703821945 时间: 2013-8-19 20:43

这些就是我在后台能看到的全部日志

图片附件: 1.jpg (2013-8-19 20:42, 140.61 KB) / 下载次数 21419
http://www.wdlinux.cn/bbs/attachment.php?aid=3464&k=2ed409df44c794d74b1df70cc16b5fce&t=1774475074&sid=V3S2NJ

图片附件: 2.jpg (2013-8-19 20:42, 181.16 KB) / 下载次数 21434
http://www.wdlinux.cn/bbs/attachment.php?aid=3465&k=08ae1445bf72f34953b26c56b80db9e7&t=1774475074&sid=V3S2NJ

图片附件: 3.jpg (2013-8-19 20:42, 120.76 KB) / 下载次数 21419
http://www.wdlinux.cn/bbs/attachment.php?aid=3466&k=0c35213ed964e01974cd2271cda67b70&t=1774475074&sid=V3S2NJ

图片附件: 4.jpg (2013-8-19 20:42, 91.31 KB) / 下载次数 21236
http://www.wdlinux.cn/bbs/attachment.php?aid=3467&k=93bd2e0cc98accbf32170b3825a15bd1&t=1774475074&sid=V3S2NJ

作者: qq703821945 时间: 2013-8-19 20:45

可以看到并没有任何异常,"isvpn"这个账号是正常的,我挂代理登陆的,
另外isvpn的用户是普通用户权限,并且我没有上传任何文件,都是正常的.

我还以为是8.15装的wdcp,原来是8.14,我自己都忘了.

作者: qq703821945 时间: 2013-8-19 20:46

还有登陆的ip,都是完全正常的(isvpn--广东电信)(admin--湖北联通)

图片附件: 11.jpg (2013-8-19 20:46, 135.76 KB) / 下载次数 13394
http://www.wdlinux.cn/bbs/attachment.php?aid=3468&k=581d2d665d406ad41c388603f783d4fc&t=1774475074&sid=V3S2NJ

图片附件: 12.jpg (2013-8-19 20:46, 106.65 KB) / 下载次数 13325
http://www.wdlinux.cn/bbs/attachment.php?aid=3469&k=659c07ea9c054bc2bffc4915c24038b4&t=1774475074&sid=V3S2NJ

作者: qq703821945 时间: 2013-8-19 20:47

那几个输错了的是我导致的,正常的,因为我很少进wdcp,一般弄好了就不管了

作者: qq703821945 时间: 2013-8-19 20:49

可疑文件我在回收站发现了,
没有被完全删除,我可以提供给你们.
都是8.16的

图片附件: 21.jpg (2013-8-19 20:47, 185.57 KB) / 下载次数 17670
http://www.wdlinux.cn/bbs/attachment.php?aid=3470&k=5bf937333b5565de7892f4186873a94d&t=1774475074&sid=V3S2NJ

图片附件: 22.jpg (2013-8-19 20:47, 117.97 KB) / 下载次数 17513
http://www.wdlinux.cn/bbs/attachment.php?aid=3471&k=3b9bffd883796faca09c5a5b724ffdd7&t=1774475074&sid=V3S2NJ

作者: qq703821945 时间: 2013-8-19 20:53

admin 怀疑本文的用意我能理解,因为以前有就人故意黑AMH控制面板,
中国人素质本来就低,什么都干的出来

但是可以明显看出,我任然在使用wdcp,我完全没必要一边黑一边用啊,
就算要黑,我完全可以去其他的主机论坛之类的地方,发帖说你们有漏洞,
可是我只在这里报告有BUG了.

wdcp我很早就用了,看我注册id和过往发言就知道了.因为用起来确实比AMH之类的顺手,功能也多,
最重要的是AHM导出的数据库有问题,只能用wdcp了.
我是真心希望wdcp能越做越好.

作者: qq703821945 时间: 2013-8-19 20:58

对了,差点忘了说,
这个肯定不是我密码泄露导致的,因为登陆记录都是正常的,而且我的密码也很长很复杂,
也没有把后台端口告诉任何人(非8080),这个系统只有我一个在用.

我不知道对方是怎么登陆的,操作的,完全没有记录,但是很明显(这是一种能绕过验证的高危漏洞),
我发现后什么密码都改了,连vps密码都改了.

作者: qq703821945 时间: 2013-8-20 00:01

今天添加用户的时候我突然发现没有id:2的用户,
请问是这样设置的吗?

如果不是的话,那就说明在没有添加isvpn用户的时候就被入侵了...

图片附件: 31.jpg (2013-8-20 00:00, 18.8 KB) / 下载次数 17225
http://www.wdlinux.cn/bbs/attachment.php?aid=3472&k=4cbefb24c8c827f4d3efcc3a00605239&t=1774475074&sid=V3S2NJ

作者: admin 时间: 2013-8-20 10:36

回复 13# qq703821945

这个FTP有记录的,在/var/log/pureftpd.log

作者: admin 时间: 2013-8-20 10:37

回复 21# qq703821945

是有可能

作者: admin 时间: 2013-8-20 10:39

回复 20# qq703821945

有点不明白,或是说,你的机器或网站,有什么特别或有价格的吗?
如果不是,不太明白,为什么,你的机器安装没几天,而也改了端口(非默认的后台端口,只有你自己知道)

那对方怎么能这么快就知道你(机器)的存在,而且还黑了你?

好好奇,我原以为,你的机器用了好长一段时间

作者: admin 时间: 2013-8-20 11:21

回复 19# qq703821945

我相信你的诚意,但也不否认,会有那样的人那样的事

就产品本身而言,如果确实有漏洞或有问题,我们也是很欢迎提出,同时也会尽可能去修复或完善
也不会怕别人说什么,而应该正视问题所在

但很反感一些人,说这说那,却拿不出或不愿意指出问题所在(或许是他们不愿意,又或许是根本就没有这样的问题)

作者: qq703821945 时间: 2013-8-20 16:41

回复 24# admin

呃..我网站运行了一年了吧,机器一直都用的vps,因为最近mc线路狠抽,就换到丹佛线路了,从某种意义上来说,我的机器确实一直存在...我以前一直用的"⑧⑨⑥④"端口,至少半年,都用的wdcp,没出过问题,就是有时候数据库不能启动.
这次事件后换成了"和win系统远程桌面一个端口"的端口了,目前没什么异样,我马上就把ftp记录发上来

作者: qq703821945 时间: 2013-8-20 16:49

回复 22# admin

我在 var/log/下没发现啊....

可能在其他地方不?
我vps有数据盘的,mnt/web/www

图片附件: 1.jpg (2013-8-20 16:48, 170.92 KB) / 下载次数 17834
http://www.wdlinux.cn/bbs/attachment.php?aid=3475&k=3e93ca0dff9e71927b4d052e6381230d&t=1774475074&sid=V3S2NJ

作者: qq703821945 时间: 2013-8-20 17:10

好吧,我把文件全部拷下来了,发现 message开头的文件有ftp信息.

作者: qq703821945 时间: 2013-8-20 17:11

ftp.zip (33.75 KB)

附件: ftp.zip (2013-8-20 17:11, 33.75 KB) / 下载次数 1
http://www.wdlinux.cn/bbs/attachment.php?aid=3476&k=7aa25990560f6bb24215b6c9df38aa9a&t=1774475074&sid=V3S2NJ

作者: qq703821945 时间: 2013-8-20 17:23

我自己看了一下,基本重要信息都在0818的日志里面,
"基本都是ftp扫描,然后爆破了我的密码,接着上传,和wdcp后台无关系,
那么lizhiwanshabi@126.com 可能是在故意黑wdcp,但是他确实算是入侵了我的vps,
建议admin发个公告,让用户都检查一下自己的vps是否有异,
如果 lizhiwanshabi@126.com 是故意黑的话,那么肯定会专门找用wdcp的vps来入侵,
然后我这种不懂的肯定会以为是wdcp的问题."

作者: admin 时间: 2013-8-20 21:38

对于这种爆力破解密码或是网站本身注入等原因引起的安全问题,这种有时是不可避免的,有些也是我们无能为力的

对于爆力破解这些,或许把密码设置得相对复杂,修改默认端口,或是限制登录偿试次数等,似乎也没其它的好办法

而对于各种网站程序本身,也只能关注相应程序官方的安全资讯,漏洞补丁升级等,也没其它的好办法

总的来说,安全是一个永恒的话题,也是一个意识问题,在日常的使用中,多关注就是了

欢迎光临 WDlinux官方论坛 (http://www.wdlinux.cn/bbs/)