这是一个创建于 3942 天前的主题,其中的信息可能已经有所发展或是发生改变。
有个相应圈子里挺有名的论坛,之前一直被人各种盗号什么的。
之前帮她们折腾了一下服务器,感觉还是弄的挺干净的,但是据说黑客还是很猖獗,所以前来求各位菊苣分析。
服务器状况:
服务器是跑在debian8上装的LXC容器里,母机算是很安全的问题不大。
容器内部是新装的debian8,跑了ssh ftp php-fpm nginx mysql linode和fail2ban,别的什么也没有。
root密码新设的,很长很长。有一个访问webroot的账号,密码也是新设的,很长很长。
论坛为了安全,在重装系统的时候重新抓了DX3.1的全套程序来重新装了下,模板风格什么的都是重新弄的,只留了附件与数据库。附件和用户上传的头像文件什么的,已经从nginx里屏蔽了php执行。
发生了什么:
管理员在更改过自己的密码与安全认证问题以后依然被人登录论坛后台,执行各种操作。超版和高级用户的账号的email经常被人改掉。管理员表示非常闹心。
ssh上去打last,里面只有我自己的登录记录。
求:
我漏了什么重要的点么?
之前帮她们折腾了一下服务器,感觉还是弄的挺干净的,但是据说黑客还是很猖獗,所以前来求各位菊苣分析。
服务器状况:
服务器是跑在debian8上装的LXC容器里,母机算是很安全的问题不大。
容器内部是新装的debian8,跑了ssh ftp php-fpm nginx mysql linode和fail2ban,别的什么也没有。
root密码新设的,很长很长。有一个访问webroot的账号,密码也是新设的,很长很长。
论坛为了安全,在重装系统的时候重新抓了DX3.1的全套程序来重新装了下,模板风格什么的都是重新弄的,只留了附件与数据库。附件和用户上传的头像文件什么的,已经从nginx里屏蔽了php执行。
发生了什么:
管理员在更改过自己的密码与安全认证问题以后依然被人登录论坛后台,执行各种操作。超版和高级用户的账号的email经常被人改掉。管理员表示非常闹心。
ssh上去打last,里面只有我自己的登录记录。
求:
我漏了什么重要的点么?
第 1 条附言 · 2019-02-21 04:09:11 +08:00
近期排查到的一些问题。
ucenter可能有任意文件读写漏洞,可以任意写入文件。
data/logs等有写入权限的目录可能会被人插入一句话木马。
攻击者可能会把木马的文件名、修改时间都做得和普通文件很像,例如default.php或者upgrade.php等。
可能的解决方案。
升级(意味着所有的插件和皮肤都要重做)。
更换论坛程序(重做+数据迁移)。
另外所有用户的密码最好重置一下。
 |
1
siw 2014-02-09 14:27:01 +08:00  1
给出网址 :)
nginx log ? |
 |
2
lvye 2014-02-09 14:38:33 +08:00 1
discuz x3.1前一段时间出过一个漏洞:Discuz! x3.1的插件/utility/convert/index.php存在代码执行漏洞
如果存在这个文件,当时没有删除,那么很有可能被入侵后,又被人植入了后门。 给以下建议: 1.禁掉root账号,只用key登录服务器 2.重新下载最新的discuz x3.1安装一遍 3.nginx用普通权限运行 4.discuz目录权限重新设定 5.如果不嫌麻烦,admin.php可以更改一下文件名,譬如!asdsff.php 一定要查原因就只能看日志了,查找admin.php的登录情况 |
 |
3
chairuosen 2014-02-09 14:55:03 +08:00 1
管理员自己的电脑呢?
|
 |
4
msg7086 OP @siw 网址什么的不合适吧。nginx log挺长的,粗看没看出什么。
@lvye 这个文件似乎没有上传到服务器上过。admin.php的log我再去查查 -_- @chairuosen 我去问问 - - |
 |
5
victor 2014-02-09 15:38:00 +08:00 1
discuz 有一些0day漏洞,你通过下载官方的最新版是绝对堵不住这些漏洞的。
因为那些漏洞还没被官方发现呢。。。。。。 |
 |
6
zeinima 2014-02-09 15:43:49 +08:00
dz看起来好危险的样子
|
 |
7
Radeon 2014-02-09 15:45:28 +08:00 1
1. 加SELinux/AppArmor防止远程劫持apache进程
2. 用大众论坛代码永远会有0-day。最好自己写,注意不要有SQL Injection漏洞,尤其是在实现多关键字查询功能时 3. 另外远程管理的机器的浏览器专用,防止别人XSS |
|
8
Radeon 2014-02-09 16:15:39 +08:00 1
还有查一下后台系统的登录记录。看看是从哪里用什么方式登录的
|
 |
9
justfindu 2014-02-09 16:19:50 +08:00
UC漏了吧 KEY被人发现了么
|
 |
11
109109 2014-02-09 17:58:53 +08:00 1
>>登录论坛后台,执行各种操作
是只登陆了后台还是有获取了WEBSHELL的痕迹? 可以查找最新修改过的文件 论坛查log最方便。从登陆admin的log查起,看对应的登陆IP最开始的操作是什么。 密码全改过,仍能被登陆后台,这可以看其他管理层的密码是否被二次修改过,可以确定个大概方向 |
|
12
msg7086 OP |
 |
13
blacktulip 2014-02-09 21:05:34 +08:00 via iPhone 1
用 dz 被黑是常态,没被黑才是反常中……
|
 |
14
nazor 2014-02-09 21:36:50 +08:00 via Android 1
据之情人士透露,discuz系列存在多个0day,好多大站都被脱裤了。
|
 |
15
chengxuan 2014-02-10 01:22:29 +08:00 1
1.建议关掉ftp在c段下可以嗅探。
2.dz有XSS可以截获cookie(这个算0day,大牛才会有) 3.不差钱,可以搞ssl 4.建议更改后台路径 5.还没想到,想到在告诉你吧,哈。。。 |
 |
16
niseter 2014-02-10 01:42:51 +08:00 1
看起来问题在下面几个地方:
1.ssh要不是被MITM了,就是出各种问题了(比如被塞了证书) 2.ftp明码危险,万万小心。 3.问题最大就是DX程序本身,这个我只能说没办法。。。除非自己写,要不买商业授权 |
 |
17
efi 2014-02-10 04:55:06 +08:00 2
现在严重缺log可查,是吧。各种可加的log很多,nginx加上全文log,mysql敏感表加上log,加上auditd查文件更改,log看能不能转发给容器host。沿着执行流程走一路下来各步加上log,不要说漏洞可查,连什么bug都查出来了。
|
|
18
justfindu 2014-02-10 09:35:08 +08:00 1
哦对了 3.1有一个soso表情漏洞~
|
 |
19
saybye 2014-02-10 13:39:43 +08:00
DZ各种0day......
|
Select Language