V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
doufenger
V2EX  ›  Linux

我又来了, Linux 服务器关了 ssh 密码登录都还被入侵

  •  
  •   doufenger · 2018-08-31 19:10:47 +08:00 · 8573 次点击
    这是一个创建于 2279 天前的主题,其中的信息可能已经有所发展或是发生改变。

    上次发过一个求助贴 https://www.v2ex.com/t/480799#reply40,得到一些预防的思路后我就换了服务器。新服务器 FTP 不开,SSH 登录都不开,mysql 等所有的密码都用不同随机难暴力破的,结果好了一段时间后现在还是被入侵了。无奈啊,现在都不知道怎么办了。如果非要找个锅的话,会不会是因为用了 wdcp 环境呢。。

    35 条回复    2018-09-06 14:07:10 +08:00
    ChristopherWu
        1
    ChristopherWu  
       2018-08-31 19:31:26 +08:00
    好奇一下,ssh 登录都不开,那你怎么登上去的?
    liangzi
        2
    liangzi  
       2018-08-31 19:34:51 +08:00 via Android
    fail2ban 你值得拥有...
    DigitalE
        3
    DigitalE  
       2018-08-31 19:34:51 +08:00
    @ChristopherWu 是密匙吧
    haimall
        4
    haimall  
       2018-08-31 19:36:24 +08:00 via Android
    血的教训,自己搭环境。或者 lnmp 套
    Everyman
        5
    Everyman  
       2018-08-31 19:39:18 +08:00
    最近开了一台腾讯云学生机,每天都有大量的其它机器尝试 ssh,然后我限制特定的 ip 段才可以 ssh 就安静了。其它机器尝试 ssh 直接拒绝掉,没有暴力破解密码的机会。
    在 /etc/hosts.allow 和 /etc/hosts.deny 设置。
    yichinzhu
        6
    yichinzhu  
       2018-08-31 19:45:53 +08:00 via Android
    你的网站有漏洞,网站地址呢,不给怎么定位问题
    ihciah
        7
    ihciah  
       2018-08-31 19:49:48 +08:00   ❤️ 4
    比如要是你装了 dedecms。。。(手动狗头
    torment5524
        8
    torment5524  
       2018-08-31 20:02:52 +08:00   ❤️ 2
    crontab /etc/crontab 看下有没有其他的定时任务。我接手的一个服务器就是被之前的工程师在里面挂任务,凌晨定时替换密钥文件,半小时后再换回去的;
    netstat -nltup 查看本机开放了哪些端口服务,防火墙只允许通过业务使用的端口
    查看本机是否被添加了用户,调整用户权限。
    阿里云之类的话,需要做好账号保护,再就是你是否设定了账户的管理 key,然后写在代码 /app 里,然后被拿到。

    再就是各种默认管理配置链接都是有人扫的,如果你开放了访问权限,仍然是坑,应用的部分不需要客户访问的要做好目录权限。
    582033
        9
    582033  
       2018-08-31 20:30:35 +08:00 via iPhone
    比如没加认证的 redis
    opengps
        10
    opengps  
       2018-08-31 21:27:58 +08:00 via Android
    推测是你的网站本身漏洞,正如前几楼提过的通用型 cms
    kernel
        11
    kernel  
       2018-08-31 23:51:55 +08:00
    正确设置下系统本身的软件如 ssh/ftp 什么的漏洞几乎不可能,有也不会用到你这样的小站。
    基本还是你用什么漏洞多的应用了吧,比如国人写的 php cms
    pythonee
        12
    pythonee  
       2018-09-01 00:19:37 +08:00
    我其实挺感兴趣这些服务器漏洞的攻击和防御的。
    glouhao
        13
    glouhao  
       2018-09-01 00:41:27 +08:00 via Android
    我用过一段 dhcp,会卡死,换是 lnmp 省心多了。一直以为我这种没流量的网站不用管安全问题,上次查了日志,赶紧禁用了 root 直接登录,加了 fail2ban。之前 wp 模板中过招,尽量自己写主题,别用乱踢八糟插件。其他 cms(织梦除外),只用官方东西应该也一样安全。
    ynyounuo
        14
    ynyounuo  
       2018-09-01 00:55:28 +08:00
    重置系统然后先用 lynis 查查看?
    WWd0g
        15
    WWd0g  
       2018-09-01 03:29:19 +08:00
    一个一个排除嘛,如果是你 web 程序的问题,这得分析分析日志,找出具体是哪个文件哪行代码出的问题,然后把这个 bug 补上,然后在排查一下服务器自身的挂马情况,数据库挂马情况
    daigouspy
        16
    daigouspy  
       2018-09-01 06:06:26 +08:00 via Android
    用 cms 一定要经常更新版本
    Dk2014
        17
    Dk2014  
       2018-09-01 08:21:04 +08:00 via Android
    不要用面板
    abccccabc
        18
    abccccabc  
       2018-09-01 10:10:28 +08:00
    楼主,为啥不用宝塔呢? WDCP 已经死了,指不定人家知道 WDCP 的漏洞在哪里,直接使用漏洞进 WDCP 的后台,开 SSH,登录进去。或者你的网站程序有漏洞。这就没有办法了。修补漏洞吧。

    楼主最好把日志文件放上来,供大家给你分析一下。
    lscho
        19
    lscho  
       2018-09-01 10:16:05 +08:00
    程序有漏洞,在环境上想保护起来太难了。。除非你能定位漏洞的类型和作用。。不过这样基本上也可以手动清除了
    likuku
        20
    likuku  
       2018-09-01 12:26:14 +08:00 via iPhone
    所以,技术或经验不足,还是别买服务器折腾了,直接买成熟大厂的托管服务了事,比如 Wordpress 就直接买 Wordpress 岛 卡姆 自家提供的服务什么。
    Miary
        21
    Miary  
       2018-09-01 12:56:49 +08:00 via Android
    @abccccabc 宝塔比 WDCP 能好到哪儿去?
    defunct9
        22
    defunct9  
       2018-09-01 14:20:27 +08:00   ❤️ 3
    开 ssh,让我上去看看
    ChristopherWu
        23
    ChristopherWu  
       2018-09-01 17:17:18 +08:00
    @yiranHZT 我关密码登录,换 ssh 端口,就没问题了。
    tadtung
        24
    tadtung  
       2018-09-01 17:43:44 +08:00 via Android
    一般不建议使用面板。
    不过从前你说的明显是网站被挂马了,和面板,环境都没关系。黑你的根本不需要你的 ssh,ftp 密码。
    仔细查你的日志。另外用杀毒软件查一下你网站文件。
    网站是你自己写的?如果不是的话,不建议去使用来历不明的源码。即使要用自己先排查。。。
    doufenger
        25
    doufenger  
    OP
       2018-09-01 19:06:38 +08:00
    @tadtung 上面挂着一个 Discuz! X3.4,一个静态页,一个自己找人开发的自用的 PHP 程序。。Discuz! X3.4 应该不至于有这么轻易就被人入侵的漏洞吧。 那就可能是那个找人开发的 PHP 程序了。。 但是我用 webshell 查杀工具扫描过文件没找出任何问题。我自己的话并不会程序所以看不出来 大佬你会看吗? 帮我看看把 请你抽包烟。
    tadtung
        26
    tadtung  
       2018-09-01 19:16:27 +08:00 via Android
    @doufenger 把你找人开发的 php 程序发给我 我晚上要是有空帮你看一下。 mail:[email protected]
    另外 dz 不要随意安装不明来路模板和插件。尤其是一些破解插件,很多都有后门的。
    SirLostWhite
        27
    SirLostWhite  
       2018-09-01 19:19:48 +08:00
    比如
    服务器文件权限
    上传验证
    redis
    入口文件放置问题
    错误提示会不会暴露版本信息之类的
    程序上能找的漏洞挺多的
    doufenger
        28
    doufenger  
    OP
       2018-09-01 19:20:59 +08:00
    @tadtung 好 谢谢了 DZ 的插件我都是从应用中心买的 都没安过其他渠道的
    mrchi
        29
    mrchi  
       2018-09-01 19:57:21 +08:00
    @lscho 大佬,请问如果用 docker 部署的话,能规避应用漏洞的问题嘛
    wqyyy
        30
    wqyyy  
       2018-09-01 22:13:25 +08:00 via Android
    @mrchi 容器隔离没有问题的话一般最多被搞一个容器
    JmmBite
        31
    JmmBite  
       2018-09-01 22:26:20 +08:00
    旁路攻击
    mrchi
        32
    mrchi  
       2018-09-01 23:05:23 +08:00
    @wqyyy 谢谢,想来是 docker 容器跟宿主机不是一个系统,但还是通过网络连接的,风险还是有的,该做的防护还是要做。
    cxbig
        33
    cxbig  
       2018-09-02 01:00:45 +08:00   ❤️ 1
    先解决 SSH 本身的问题:
    1. 查看是否有可疑用户
    2. 关 root 登录改用 sudo 用户
    3. 只允许 ssh-key 登录
    4. 改默认 22 端口到别的地方

    再看数据库
    1. 有没有屏蔽外来访问
    2. 有没有做 SSL 安全连接
    3. 最好和 App 服务器做一个内网访问
    4. 如果是同一台服务器下的,用 socket 方式访问,关掉 3306 等端口

    再看项目
    1. 有没有异常 nginx/apache 日志(通常注入漏洞都这里发现的)
    qmqmoe123
        34
    qmqmoe123  
       2018-09-02 08:27:24 +08:00 via Android
    @ihciah dedecms 可还行,都被玩烂了 23333
    abccccabc
        35
    abccccabc  
       2018-09-06 14:07:10 +08:00
    @Miary 至少在当前情况下,一个死了,一个活着。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2767 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 15:28 · PVG 23:28 · LAX 07:28 · JFK 10:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.