[發(fā)布] wdcp的一個(gè)安全漏洞，非常嚴(yán)重，請(qǐng)大家及時(shí)升級(jí)和檢查

admin

在九月份的時(shí)候，wdcp出了一個(gè)很?chē)?yán)重的安全漏洞，當(dāng)時(shí)也出了補(bǔ)丁更新，具體可看
http://www.hainannk.com/bbs/thread-37476-1-1.html

但近日來(lái)，發(fā)現(xiàn)，很多wdcp的用戶(hù)都被黑，被增加數(shù)據(jù)庫(kù)用戶(hù)，被上傳文件，惡意發(fā)包攻擊，流量異常，甚至是控制了SSH的權(quán)限等
此次事件非常嚴(yán)重，影響也非常大，希望大家及時(shí)更新下補(bǔ)丁，以及做下安全限制


在wdcp 2.5.11以下的版本都會(huì)受到影響,請(qǐng)廣大用戶(hù)，IDC，云主機(jī)公司升級(jí)相應(yīng)的模板等

如果你的wdcp面板沒(méi)有限制后臺(tái)登錄域名，也沒(méi)有修改默認(rèn)端口的，也沒(méi)有升級(jí)，很可能已被黑
對(duì)于這類(lèi)情況，可能的情況下，最好重裝下系統(tǒng)

一般常規(guī)檢查
1 檢查登錄記錄，是否有其它的IP,用戶(hù)ID登錄
2 檢查數(shù)據(jù)庫(kù)用戶(hù)，是否有多出的用戶(hù)ID
3 檢查是否有被上傳的文件
4 登錄SSH檢查是否有異常的進(jìn)程，以及是否有ip32.rar,ip64,rar這類(lèi)文件(目前發(fā)現(xiàn)，這是黑客上傳執(zhí)行程序)
請(qǐng)大家相互轉(zhuǎn)告
=====如果被黑也不要害怕，目前已經(jīng)有解決方法！========

使用分割線(xiàn)下的查收步驟，基本可以查殺后門(mén)和惡意程序，維持服務(wù)器穩(wěn)定正常運(yùn)行，免去重裝系統(tǒng)的煩惱。


============查殺流程 2014-11-13更新====================
   部分WDCP用戶(hù)的服務(wù)器沒(méi)有修改默認(rèn)的WDCP管理地址，沒(méi)有及時(shí)更新，導(dǎo)致被黑客入侵。由于WDCP的穩(wěn)定和方便，很多朋友使用WDCP創(chuàng)建了很多站點(diǎn)，甚至在淘寶賣(mài)起了虛擬主機(jī)。
自WDCP九月份爆出漏洞一來(lái)，有部分客戶(hù)被入侵，被惡意發(fā)包，讓IDC機(jī)房煩惱不已，阿里云 騰訊云 先后發(fā)布安全預(yù)警，提醒用戶(hù)升級(jí)，檢查系統(tǒng)安全。
WDCP被入侵后，對(duì)系統(tǒng)造成了一定危害，如果直接重裝系統(tǒng)，涉及到程序數(shù)據(jù)的遷移，是很浩大的工程。
鑒于此，WDCP技術(shù)團(tuán)隊(duì)對(duì)黑客入侵手法和痕跡的分析，整理出以下WDCP專(zhuān)殺修復(fù)腳本，經(jīng)過(guò)測(cè)試，可以保證服務(wù)器正常運(yùn)行。


1 如果SSH可以正常登錄系統(tǒng)的，跳過(guò)此步驟。SSH無(wú)法登陸服務(wù)器，密碼被惡意修改的，可以在引導(dǎo)系統(tǒng)時(shí)，編輯啟動(dòng)項(xiàng)加入single 單用戶(hù)模式。通過(guò)passwd命令 重置密碼。 參考連接 http://jingyan.baidu.com/article/acf728fd1de7ebf8e510a3cb.html

2 ls -lh /bin/ps   查看文件大小和時(shí)間，正常的是100K以?xún)?nèi)。如果是1.2M 左右的就是被替換了。(ps是LINUX下的任務(wù)管理器程序)
  使用XFTP軟件上傳覆蓋對(duì)應(yīng)版本(centos5和6 的不同)的ps 文件 WDCP漏洞修復(fù)下載，添加執(zhí)行權(quán)限chmod +x /bin/ps。 同理 上傳/bin/netstat文件  。

論壇用戶(hù)補(bǔ)充，黑客在竄改前，對(duì)上述文件進(jìn)行了備份，大家也可以使用下面的命令進(jìn)行恢復(fù) 原始版本的文件。
cp  /usr/bin/dpkgd/* /sbin/  && cp  -f /usr/bin/dpkgd/* /bin/      然后按幾次Y  確認(rèn)覆蓋即可。

3 a.去除惡意文件的執(zhí)行權(quán)限
chmod 000 /tmp/gates.lod   /tmp/moni.lod   
service sendmail stop
chkconfig --level 345 sendmail off
chmod -x  /usr/sbin/sendmail


chmod -R 000  /root/*rar*
chattr -i /root/conf.n
chmod -R 000 /root/conf.n*


rm -rf  /www/wdlinux/wdcp/sys/802
rm -rf  /www/wdlinux/wdcp/sys/802.1
rm -rf  /usr/bin/lixww
rm -rf  /usr/bin/bsd-port/getty
rm -rf   /tmp/gates.lock
rm -rf  /tmp/moni.lock
rm -rf  /usr/bin/bsd-port/getty.lock
rm -rf /www/wdlinux/wdcp/sys/conf.n
rm -rf  /usr/bin/bsd-port/conf.n
b.關(guān)閉惡意進(jìn)程
ps auxww 查看當(dāng)前系統(tǒng)進(jìn)程  查找惡意進(jìn)程 一般是*.rar 或者使用CPU較高的
kill -9 進(jìn)程ID
killall 進(jìn)程名  比如256.rar  proxy.rar 等

c. 查看任務(wù)計(jì)劃
crontab -e  看看是否有可疑任務(wù)，如果有多個(gè)/tmp下的隨機(jī)名稱(chēng)的文件，那就是惡意程序，刪除該任務(wù)

d.檢測(cè) /etc/rc.d/ 下的rc.local    rc3.d   rc5.d  目錄下 是否有可疑文件，可以刪除，這個(gè)是 啟動(dòng)項(xiàng)程序存放文件夾。
4 修改SSH端口，黑客是腳本實(shí)現(xiàn)的批量入侵，修改默認(rèn)端口，可以有效避免入侵。
vi /etc/ssh/sshd_config 里的  #Port 22 為 Port 40822
重啟SSHD服務(wù) service sshd restart


5 部分用戶(hù)的WDCP密碼被非法篡改了。無(wú)法使用 http://ip:8080 進(jìn)行登錄管理后臺(tái)
可以嘗試使用 http://ip:8080/phpmyadmin 登錄數(shù)據(jù)庫(kù)管理  重置WDCP管理員的密碼
如果忘記MYSQL的ROOT密碼 ，強(qiáng)制修改mysql的root密碼 在服務(wù)器里執(zhí)行 sh /www/wdlinux/tools/mysql_root_chg.sh
點(diǎn)擊wdcpdb數(shù)據(jù)庫(kù),選擇wd_member 瀏覽信息，選擇編輯admin這一行數(shù)據(jù)的passwd字段，
修改為 fc76c4a86c56becc717a88f651264622  即修改admin用戶(hù)的密碼為 123@abc

此時(shí)可以登陸WDCP管理界面了。刪除其他管理員用戶(hù) 一般為 test2，
登陸后還需要修改WDCP的默認(rèn)8080端口，設(shè)置為40880 并在防火墻里允許該端口。

6 刪除ssh秘鑰文件登陸方式 ，經(jīng)過(guò)對(duì)黑客的入侵痕跡分析，發(fā)現(xiàn)用戶(hù)是使用WDCP面板的生成公鑰功能，獲取SSH權(quán)限的。禁止使用SSH公鑰登陸  
  echo 0 > /root/.ssh/authorized_keys && chattr +i  /root/.ssh/authorized_keys


7  設(shè)置防火墻規(guī)則 最后再設(shè)置防火墻規(guī)則，因?yàn)閃DCP自帶的規(guī)則設(shè)置不完善，推薦手工編輯配置文件。
設(shè)置 只允許外網(wǎng)訪(fǎng)問(wèn) 服務(wù)器的80(web) 40822(ssh) 40880(wdcp) ftp(20000-20500)  ,禁止服務(wù)器訪(fǎng)問(wèn)外網(wǎng)，禁止木馬反彈連接。
如果您有固定IP 可以設(shè)置只允許您自己的IP 訪(fǎng)問(wèn). -s 指定來(lái)源IP
比如 -A INPUT -s 183.195.120.18/32  -m state --state NEW -p tcp --dport 40822 -j ACCEPT
編輯防火墻規(guī)則  vi /etc/sysconfig/iptables
重啟防火墻 service iptables restart   
查看當(dāng)前規(guī)則 service iptables status

下面是已經(jīng)編輯好的規(guī)則，如果您設(shè)置的端口 和 上面的一樣，下面的規(guī)則可以直接采用。
# Generated by WDCP_FIX
*filter
:INPUT ACCEPT [0:0]
:BLOCK - [0:0]
-A INPUT -i lo -j ACCEPT
#-A INPUT -s 183.195.120.18/32 YOUR IP  -j ACCEPT
#-A INPUT -s 192.168.0.0/16 -p udp --dport 161 -j ACCEPT
-A INPUT -j BLOCK
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 40822 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 40880 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
#-A INPUT -m state --state NEW -p tcp -m multiport --dports 21,20000:20500 -j ACCEPT
#-A INPUT -s YOUR_IP -m state --state NEW -p tcp --dport 8080 -j ACCEPT
#-A INPUT -s 8.8.8.8 -m state --state NEW -p tcp --dport 8080 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 8.8.8.8 -j ACCEPT
-A OUTPUT -d 8.8.4.4 -j ACCEPT
#-A OUTPUT -d  183.195.120.18/32  -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp --sport 20 -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp -m multiport --dports 22,25,443,465 -j ACCEPT
-A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp --dport 80 -m hashlimit --hashlimit 5/sec --hashlimit-mode dstip --hashlimit-name out_http -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-port-unreachable

COMMIT
# Generated by WDCP_FIX.


說(shuō)明：禁止服務(wù)器訪(fǎng)問(wèn)外網(wǎng)，可能會(huì)引起采集文章和圖片異常，連接遠(yuǎn)程數(shù)據(jù)庫(kù)異常，建議逐個(gè)添加防火墻規(guī)則 放行端口 和IP。具體請(qǐng)?jiān)?OUTPUT里放行對(duì)應(yīng)的端口。
放行訪(fǎng)問(wèn)外網(wǎng)的80   -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
放行訪(fǎng)問(wèn)外網(wǎng)的3306  -A OUTPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT

8 安全維護(hù)建議
1 WDCP 可以設(shè)置訪(fǎng)問(wèn)域名。比如設(shè)置 一個(gè)很長(zhǎng)的二級(jí)域名，只有自己知道，這樣黑客就無(wú)法訪(fǎng)問(wèn)了。
更厲害點(diǎn)，這個(gè)域名不設(shè)置解析，自己修改本地電腦的HOSTS文件，強(qiáng)制指向訪(fǎng)問(wèn)，這樣只有自己可以訪(fǎng)問(wèn)了。wdcp后臺(tái)訪(fǎng)問(wèn)安全設(shè)置即限制域名/IP訪(fǎng)問(wèn)設(shè)置及清除方法
wdcp安全設(shè)置,讓你的后臺(tái),只有你自己能訪(fǎng)問(wèn)

2 平時(shí)關(guān)閉 wdcp服務(wù)，需要使用時(shí)，臨時(shí)開(kāi)啟。 不影響WEB服務(wù)的運(yùn)行。
  關(guān)閉服務(wù)和禁止開(kāi)機(jī)啟動(dòng) /etc/init.d/wdapache stop && chkconfig --level 345 wdapache off
   /etc/init.d/wdapache start 開(kāi)啟服務(wù)

感謝您的支持！祝您生活愉快！WDCP漏洞修復(fù)包下載，如果您對(duì)LINUX不熟悉，可以找懂技術(shù)的朋友參考此文檔幫忙清理！
漏洞修復(fù)包 http://www.wdcdn.com/down/WDCP_FIX.zip

超帥

建議wdcp官方提供一個(gè)郵件或者短信訂閱，大家都把手機(jī)號(hào)或者郵箱提交一下，這樣以后有更新可以及時(shí)通知�？赡芎芏嗳硕疾唤�(jīng)常登錄wdcp的

beifeng_v

我的站打不開(kāi)了。。。。

yourewang

能及時(shí)告知大家  支持wdcp

featue

/etc/rc.d/下還有內(nèi)容呢。。。。   重傷。

wenjie0225

為什么要金幣才能下載呢~

songfeifei

已經(jīng) 設(shè)置為免費(fèi)下載了。請(qǐng)測(cè)試！

songfeifei

回復(fù) 4# yourewang


   已經(jīng)群發(fā)郵件，稍后會(huì)繼續(xù)跟進(jìn)通知！

joejoes

我在WDCP后臺(tái)面板上面點(diǎn)升級(jí)到wdcp 2.5.11,然后過(guò)一會(huì)提示升級(jí)成功。
這樣就可以了嗎？還是要再重啟一下linux系統(tǒng)呢？

mill168

建議最好重啟下吧。

wonenea

安全維護(hù)建議

1: WDCP 可以設(shè)置訪(fǎng)問(wèn)域名。比如設(shè)置 一個(gè)很長(zhǎng)的二級(jí)域名，只有自己知道，這樣黑客就無(wú)法訪(fǎng)問(wèn)了。

更厲害點(diǎn)，這個(gè)域名不設(shè)置解析，自己修改本地電腦的HOSTS文件，強(qiáng)制指向訪(fǎng)問(wèn)，這樣只有自己可以訪(fǎng)問(wèn)了。
wdcp后臺(tái)訪(fǎng)問(wèn)安全設(shè)置即限制域名/IP訪(fǎng)問(wèn)設(shè)置及清除方法

wdcp安全設(shè)置,讓你的后臺(tái),只有你自己能訪(fǎng)問(wèn)

2: 平時(shí)關(guān)閉 wdcp服務(wù)，需要使用時(shí)，臨時(shí)開(kāi)啟。 不影響WEB服務(wù)的運(yùn)行。

  關(guān)閉服務(wù)和禁止開(kāi)機(jī)啟動(dòng) /etc/init.d/wdapache stop && chkconfig --list 345 wdapache off

                       開(kāi)啟服務(wù) /etc/init.d/wdapache start

-----------------------------------------------
收藏,備用.-----------------------------------------------

Elias

已經(jīng)中毒狀態(tài)了 求管理看看如何解決 小白菜們需要經(jīng)驗(yàn)

下載 (56.16 KB)

2014-11-19 12:25

nuctroy

-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT

我想知道這句的意義，是否會(huì)引起網(wǎng)絡(luò)請(qǐng)求延遲呢？……求指導(dǎo)！

nuctroy

我發(fā)現(xiàn)文中提到的兩個(gè)可疑文件：/bin/ps 與 /bin/netstat
大小都是 1,135,000byte
于是我查找這個(gè)大小的全部文件：

find / -size 1135000c

得到如下結(jié)果

/bin/netstat
/bin/ps
/www/wdlinux/wdcp/sys/802
/www/wdlinux/wdcp/sys/802.1
/usr/bin/lixww
/usr/bin/bsd-port/getty


希望對(duì)官方能有所幫助，并指導(dǎo)一下我們?nèi)绾翁幚怼��?/td>

nuctroy

在 /tmp 目錄下發(fā)現(xiàn)兩個(gè)可疑文件：gates.lock 與 moni.lock
大小都為 4byte
于是我查找以lock結(jié)尾并且只有4byte大小的文件：

find /  -name '*.lock' -size 4c

得到如下結(jié)果

/tmp/gates.lock
/tmp/moni.lock
/usr/bin/bsd-port/getty.lock

三個(gè)文件我全部刪除了……希望有用………