[發(fā)布] wdcp的一個安全漏洞，非常嚴(yán)重，請大家及時升級和檢查

admin

在九月份的時候，wdcp出了一個很嚴(yán)重的安全漏洞，當(dāng)時也出了補丁更新，具體可看
http://cd-genova.com/bbs/thread-37476-1-1.html

但近日來，發(fā)現(xiàn)，很多wdcp的用戶都被黑，被增加數(shù)據(jù)庫用戶，被上傳文件，惡意發(fā)包攻擊，流量異常，甚至是控制了SSH的權(quán)限等
此次事件非常嚴(yán)重，影響也非常大，希望大家及時更新下補丁，以及做下安全限制


在wdcp 2.5.11以下的版本都會受到影響,請廣大用戶，IDC，云主機公司升級相應(yīng)的模板等

如果你的wdcp面板沒有限制后臺登錄域名，也沒有修改默認(rèn)端口的，也沒有升級，很可能已被黑
對于這類情況，可能的情況下，最好重裝下系統(tǒng)

一般常規(guī)檢查
1 檢查登錄記錄，是否有其它的IP,用戶ID登錄
2 檢查數(shù)據(jù)庫用戶，是否有多出的用戶ID
3 檢查是否有被上傳的文件
4 登錄SSH檢查是否有異常的進(jìn)程，以及是否有ip32.rar,ip64,rar這類文件(目前發(fā)現(xiàn)，這是黑客上傳執(zhí)行程序)
請大家相互轉(zhuǎn)告
=====如果被黑也不要害怕，目前已經(jīng)有解決方法！========

使用分割線下的查收步驟，基本可以查殺后門和惡意程序，維持服務(wù)器穩(wěn)定正常運行，免去重裝系統(tǒng)的煩惱。


============查殺流程 2014-11-13更新====================
   部分WDCP用戶的服務(wù)器沒有修改默認(rèn)的WDCP管理地址，沒有及時更新，導(dǎo)致被黑客入侵。由于WDCP的穩(wěn)定和方便，很多朋友使用WDCP創(chuàng)建了很多站點，甚至在淘寶賣起了虛擬主機。
自WDCP九月份爆出漏洞一來，有部分客戶被入侵，被惡意發(fā)包，讓IDC機房煩惱不已，阿里云 騰訊云 先后發(fā)布安全預(yù)警，提醒用戶升級，檢查系統(tǒng)安全。
WDCP被入侵后，對系統(tǒng)造成了一定危害，如果直接重裝系統(tǒng)，涉及到程序數(shù)據(jù)的遷移，是很浩大的工程。
鑒于此，WDCP技術(shù)團隊對黑客入侵手法和痕跡的分析，整理出以下WDCP專殺修復(fù)腳本，經(jīng)過測試，可以保證服務(wù)器正常運行。


1 如果SSH可以正常登錄系統(tǒng)的，跳過此步驟。SSH無法登陸服務(wù)器，密碼被惡意修改的，可以在引導(dǎo)系統(tǒng)時，編輯啟動項加入single 單用戶模式。通過passwd命令 重置密碼。 參考連接 http://jingyan.baidu.com/article/acf728fd1de7ebf8e510a3cb.html

2 ls -lh /bin/ps   查看文件大小和時間，正常的是100K以內(nèi)。如果是1.2M 左右的就是被替換了。(ps是LINUX下的任務(wù)管理器程序)
  使用XFTP軟件上傳覆蓋對應(yīng)版本(centos5和6 的不同)的ps 文件 WDCP漏洞修復(fù)下載，添加執(zhí)行權(quán)限chmod +x /bin/ps。 同理 上傳/bin/netstat文件  。

論壇用戶補充，黑客在竄改前，對上述文件進(jìn)行了備份，大家也可以使用下面的命令進(jìn)行恢復(fù) 原始版本的文件。
cp  /usr/bin/dpkgd/* /sbin/  && cp  -f /usr/bin/dpkgd/* /bin/      然后按幾次Y  確認(rèn)覆蓋即可。

3 a.去除惡意文件的執(zhí)行權(quán)限
chmod 000 /tmp/gates.lod   /tmp/moni.lod   
service sendmail stop
chkconfig --level 345 sendmail off
chmod -x  /usr/sbin/sendmail


chmod -R 000  /root/*rar*
chattr -i /root/conf.n
chmod -R 000 /root/conf.n*


rm -rf  /www/wdlinux/wdcp/sys/802
rm -rf  /www/wdlinux/wdcp/sys/802.1
rm -rf  /usr/bin/lixww
rm -rf  /usr/bin/bsd-port/getty
rm -rf   /tmp/gates.lock
rm -rf  /tmp/moni.lock
rm -rf  /usr/bin/bsd-port/getty.lock
rm -rf /www/wdlinux/wdcp/sys/conf.n
rm -rf  /usr/bin/bsd-port/conf.n
b.關(guān)閉惡意進(jìn)程
ps auxww 查看當(dāng)前系統(tǒng)進(jìn)程  查找惡意進(jìn)程 一般是*.rar 或者使用CPU較高的
kill -9 進(jìn)程ID
killall 進(jìn)程名  比如256.rar  proxy.rar 等

c. 查看任務(wù)計劃
crontab -e  看看是否有可疑任務(wù)，如果有多個/tmp下的隨機名稱的文件，那就是惡意程序，刪除該任務(wù)

d.檢測 /etc/rc.d/ 下的rc.local    rc3.d   rc5.d  目錄下 是否有可疑文件，可以刪除，這個是 啟動項程序存放文件夾。
4 修改SSH端口，黑客是腳本實現(xiàn)的批量入侵，修改默認(rèn)端口，可以有效避免入侵。
vi /etc/ssh/sshd_config 里的  #Port 22 為 Port 40822
重啟SSHD服務(wù) service sshd restart


5 部分用戶的WDCP密碼被非法篡改了。無法使用 http://ip:8080 進(jìn)行登錄管理后臺
可以嘗試使用 http://ip:8080/phpmyadmin 登錄數(shù)據(jù)庫管理  重置WDCP管理員的密碼
如果忘記MYSQL的ROOT密碼 ，強制修改mysql的root密碼 在服務(wù)器里執(zhí)行 sh /www/wdlinux/tools/mysql_root_chg.sh
點擊wdcpdb數(shù)據(jù)庫,選擇wd_member 瀏覽信息，選擇編輯admin這一行數(shù)據(jù)的passwd字段，
修改為 fc76c4a86c56becc717a88f651264622  即修改admin用戶的密碼為 123@abc

此時可以登陸WDCP管理界面了。刪除其他管理員用戶 一般為 test2，
登陸后還需要修改WDCP的默認(rèn)8080端口，設(shè)置為40880 并在防火墻里允許該端口。

6 刪除ssh秘鑰文件登陸方式 ，經(jīng)過對黑客的入侵痕跡分析，發(fā)現(xiàn)用戶是使用WDCP面板的生成公鑰功能，獲取SSH權(quán)限的。禁止使用SSH公鑰登陸  
  echo 0 > /root/.ssh/authorized_keys && chattr +i  /root/.ssh/authorized_keys


7  設(shè)置防火墻規(guī)則 最后再設(shè)置防火墻規(guī)則，因為WDCP自帶的規(guī)則設(shè)置不完善，推薦手工編輯配置文件。
設(shè)置 只允許外網(wǎng)訪問 服務(wù)器的80(web) 40822(ssh) 40880(wdcp) ftp(20000-20500)  ,禁止服務(wù)器訪問外網(wǎng)，禁止木馬反彈連接。
如果您有固定IP 可以設(shè)置只允許您自己的IP 訪問. -s 指定來源IP
比如 -A INPUT -s 183.195.120.18/32  -m state --state NEW -p tcp --dport 40822 -j ACCEPT
編輯防火墻規(guī)則  vi /etc/sysconfig/iptables
重啟防火墻 service iptables restart   
查看當(dāng)前規(guī)則 service iptables status

下面是已經(jīng)編輯好的規(guī)則，如果您設(shè)置的端口 和 上面的一樣，下面的規(guī)則可以直接采用。
# Generated by WDCP_FIX
*filter
:INPUT ACCEPT [0:0]
:BLOCK - [0:0]
-A INPUT -i lo -j ACCEPT
#-A INPUT -s 183.195.120.18/32 YOUR IP  -j ACCEPT
#-A INPUT -s 192.168.0.0/16 -p udp --dport 161 -j ACCEPT
-A INPUT -j BLOCK
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 40822 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 40880 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
#-A INPUT -m state --state NEW -p tcp -m multiport --dports 21,20000:20500 -j ACCEPT
#-A INPUT -s YOUR_IP -m state --state NEW -p tcp --dport 8080 -j ACCEPT
#-A INPUT -s 8.8.8.8 -m state --state NEW -p tcp --dport 8080 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 8.8.8.8 -j ACCEPT
-A OUTPUT -d 8.8.4.4 -j ACCEPT
#-A OUTPUT -d  183.195.120.18/32  -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp --sport 20 -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp -m multiport --dports 22,25,443,465 -j ACCEPT
-A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp --dport 80 -m hashlimit --hashlimit 5/sec --hashlimit-mode dstip --hashlimit-name out_http -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-port-unreachable

COMMIT
# Generated by WDCP_FIX.


說明：禁止服務(wù)器訪問外網(wǎng)，可能會引起采集文章和圖片異常，連接遠(yuǎn)程數(shù)據(jù)庫異常，建議逐個添加防火墻規(guī)則 放行端口 和IP。具體請在 OUTPUT里放行對應(yīng)的端口。
放行訪問外網(wǎng)的80   -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
放行訪問外網(wǎng)的3306  -A OUTPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT

8 安全維護建議
1 WDCP 可以設(shè)置訪問域名。比如設(shè)置 一個很長的二級域名，只有自己知道，這樣黑客就無法訪問了。
更厲害點，這個域名不設(shè)置解析，自己修改本地電腦的HOSTS文件，強制指向訪問，這樣只有自己可以訪問了。wdcp后臺訪問安全設(shè)置即限制域名/IP訪問設(shè)置及清除方法
wdcp安全設(shè)置,讓你的后臺,只有你自己能訪問

2 平時關(guān)閉 wdcp服務(wù)，需要使用時，臨時開啟。 不影響WEB服務(wù)的運行。
  關(guān)閉服務(wù)和禁止開機啟動 /etc/init.d/wdapache stop && chkconfig --level 345 wdapache off
   /etc/init.d/wdapache start 開啟服務(wù)

感謝您的支持！祝您生活愉快！WDCP漏洞修復(fù)包下載，如果您對LINUX不熟悉，可以找懂技術(shù)的朋友參考此文檔幫忙清理！
漏洞修復(fù)包 http://www.wdcdn.com/down/WDCP_FIX.zip

超帥

建議wdcp官方提供一個郵件或者短信訂閱，大家都把手機號或者郵箱提交一下，這樣以后有更新可以及時通知。可能很多人都不經(jīng)常登錄wdcp的

beifeng_v

我的站打不開了。。。。

yourewang

能及時告知大家  支持wdcp

featue

/etc/rc.d/下還有內(nèi)容呢。。。。   重傷。

wenjie0225

為什么要金幣才能下載呢~

songfeifei

已經(jīng) 設(shè)置為免費下載了。請測試！

songfeifei

回復(fù) 4# yourewang


   已經(jīng)群發(fā)郵件，稍后會繼續(xù)跟進(jìn)通知！

joejoes

我在WDCP后臺面板上面點升級到wdcp 2.5.11,然后過一會提示升級成功。
這樣就可以了嗎？還是要再重啟一下linux系統(tǒng)呢？

mill168

建議最好重啟下吧。

wonenea

安全維護建議

1: WDCP 可以設(shè)置訪問域名。比如設(shè)置 一個很長的二級域名，只有自己知道，這樣黑客就無法訪問了。

更厲害點，這個域名不設(shè)置解析，自己修改本地電腦的HOSTS文件，強制指向訪問，這樣只有自己可以訪問了。
wdcp后臺訪問安全設(shè)置即限制域名/IP訪問設(shè)置及清除方法

wdcp安全設(shè)置,讓你的后臺,只有你自己能訪問

2: 平時關(guān)閉 wdcp服務(wù)，需要使用時，臨時開啟。 不影響WEB服務(wù)的運行。

  關(guān)閉服務(wù)和禁止開機啟動 /etc/init.d/wdapache stop && chkconfig --list 345 wdapache off

                       開啟服務(wù) /etc/init.d/wdapache start

-----------------------------------------------
收藏,備用.-----------------------------------------------

Elias

已經(jīng)中毒狀態(tài)了 求管理看看如何解決 小白菜們需要經(jīng)驗

下載 (56.16 KB)

2014-11-19 12:25

nuctroy

-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT

我想知道這句的意義，是否會引起網(wǎng)絡(luò)請求延遲呢？……求指導(dǎo)！

nuctroy

我發(fā)現(xiàn)文中提到的兩個可疑文件：/bin/ps 與 /bin/netstat
大小都是 1,135,000byte
于是我查找這個大小的全部文件：

find / -size 1135000c

得到如下結(jié)果

/bin/netstat
/bin/ps
/www/wdlinux/wdcp/sys/802
/www/wdlinux/wdcp/sys/802.1
/usr/bin/lixww
/usr/bin/bsd-port/getty


希望對官方能有所幫助，并指導(dǎo)一下我們?nèi)绾翁幚怼��?/td>

nuctroy

在 /tmp 目錄下發(fā)現(xiàn)兩個可疑文件：gates.lock 與 moni.lock
大小都為 4byte
于是我查找以lock結(jié)尾并且只有4byte大小的文件：

find /  -name '*.lock' -size 4c

得到如下結(jié)果

/tmp/gates.lock
/tmp/moni.lock
/usr/bin/bsd-port/getty.lock

三個文件我全部刪除了……希望有用………