[發(fā)布] wdcp的一個(gè)安全漏洞，非常嚴(yán)重，請大家及時(shí)升級和檢查

admin

在九月份的時(shí)候，wdcp出了一個(gè)很嚴(yán)重的安全漏洞，當(dāng)時(shí)也出了補(bǔ)丁更新，具體可看
http://cd-genova.com/bbs/thread-37476-1-1.html

但近日來，發(fā)現(xiàn)，很多wdcp的用戶都被黑，被增加數(shù)據(jù)庫用戶，被上傳文件，惡意發(fā)包攻擊，流量異常，甚至是控制了SSH的權(quán)限等
此次事件非常嚴(yán)重，影響也非常大，希望大家及時(shí)更新下補(bǔ)丁，以及做下安全限制


在wdcp 2.5.11以下的版本都會受到影響,請廣大用戶，IDC，云主機(jī)公司升級相應(yīng)的模板等

如果你的wdcp面板沒有限制后臺登錄域名，也沒有修改默認(rèn)端口的，也沒有升級，很可能已被黑
對于這類情況，可能的情況下，最好重裝下系統(tǒng)

一般常規(guī)檢查
1 檢查登錄記錄，是否有其它的IP,用戶ID登錄
2 檢查數(shù)據(jù)庫用戶，是否有多出的用戶ID
3 檢查是否有被上傳的文件
4 登錄SSH檢查是否有異常的進(jìn)程，以及是否有ip32.rar,ip64,rar這類文件(目前發(fā)現(xiàn)，這是黑客上傳執(zhí)行程序)
請大家相互轉(zhuǎn)告
=====如果被黑也不要害怕，目前已經(jīng)有解決方法！========

使用分割線下的查收步驟，基本可以查殺后門和惡意程序，維持服務(wù)器穩(wěn)定正常運(yùn)行，免去重裝系統(tǒng)的煩惱。


============查殺流程 2014-11-13更新====================
   部分WDCP用戶的服務(wù)器沒有修改默認(rèn)的WDCP管理地址，沒有及時(shí)更新，導(dǎo)致被黑客入侵。由于WDCP的穩(wěn)定和方便，很多朋友使用WDCP創(chuàng)建了很多站點(diǎn)，甚至在淘寶賣起了虛擬主機(jī)。
自WDCP九月份爆出漏洞一來，有部分客戶被入侵，被惡意發(fā)包，讓IDC機(jī)房煩惱不已，阿里云 騰訊云 先后發(fā)布安全預(yù)警，提醒用戶升級，檢查系統(tǒng)安全。
WDCP被入侵后，對系統(tǒng)造成了一定危害，如果直接重裝系統(tǒng)，涉及到程序數(shù)據(jù)的遷移，是很浩大的工程。
鑒于此，WDCP技術(shù)團(tuán)隊(duì)對黑客入侵手法和痕跡的分析，整理出以下WDCP專殺修復(fù)腳本，經(jīng)過測試，可以保證服務(wù)器正常運(yùn)行。


1 如果SSH可以正常登錄系統(tǒng)的，跳過此步驟。SSH無法登陸服務(wù)器，密碼被惡意修改的，可以在引導(dǎo)系統(tǒng)時(shí)，編輯啟動項(xiàng)加入single 單用戶模式。通過passwd命令 重置密碼。 參考連接 http://jingyan.baidu.com/article/acf728fd1de7ebf8e510a3cb.html

2 ls -lh /bin/ps   查看文件大小和時(shí)間，正常的是100K以內(nèi)。如果是1.2M 左右的就是被替換了。(ps是LINUX下的任務(wù)管理器程序)
  使用XFTP軟件上傳覆蓋對應(yīng)版本(centos5和6 的不同)的ps 文件 WDCP漏洞修復(fù)下載，添加執(zhí)行權(quán)限chmod +x /bin/ps。 同理 上傳/bin/netstat文件  。

論壇用戶補(bǔ)充，黑客在竄改前，對上述文件進(jìn)行了備份，大家也可以使用下面的命令進(jìn)行恢復(fù) 原始版本的文件。
cp  /usr/bin/dpkgd/* /sbin/  && cp  -f /usr/bin/dpkgd/* /bin/      然后按幾次Y  確認(rèn)覆蓋即可。

3 a.去除惡意文件的執(zhí)行權(quán)限
chmod 000 /tmp/gates.lod   /tmp/moni.lod   
service sendmail stop
chkconfig --level 345 sendmail off
chmod -x  /usr/sbin/sendmail


chmod -R 000  /root/*rar*
chattr -i /root/conf.n
chmod -R 000 /root/conf.n*


rm -rf  /www/wdlinux/wdcp/sys/802
rm -rf  /www/wdlinux/wdcp/sys/802.1
rm -rf  /usr/bin/lixww
rm -rf  /usr/bin/bsd-port/getty
rm -rf   /tmp/gates.lock
rm -rf  /tmp/moni.lock
rm -rf  /usr/bin/bsd-port/getty.lock
rm -rf /www/wdlinux/wdcp/sys/conf.n
rm -rf  /usr/bin/bsd-port/conf.n
b.關(guān)閉惡意進(jìn)程
ps auxww 查看當(dāng)前系統(tǒng)進(jìn)程  查找惡意進(jìn)程 一般是*.rar 或者使用CPU較高的
kill -9 進(jìn)程ID
killall 進(jìn)程名  比如256.rar  proxy.rar 等

c. 查看任務(wù)計(jì)劃
crontab -e  看看是否有可疑任務(wù)，如果有多個(gè)/tmp下的隨機(jī)名稱的文件，那就是惡意程序，刪除該任務(wù)

d.檢測 /etc/rc.d/ 下的rc.local    rc3.d   rc5.d  目錄下 是否有可疑文件，可以刪除，這個(gè)是 啟動項(xiàng)程序存放文件夾。
4 修改SSH端口，黑客是腳本實(shí)現(xiàn)的批量入侵，修改默認(rèn)端口，可以有效避免入侵。
vi /etc/ssh/sshd_config 里的  #Port 22 為 Port 40822
重啟SSHD服務(wù) service sshd restart


5 部分用戶的WDCP密碼被非法篡改了。無法使用 http://ip:8080 進(jìn)行登錄管理后臺
可以嘗試使用 http://ip:8080/phpmyadmin 登錄數(shù)據(jù)庫管理  重置WDCP管理員的密碼
如果忘記MYSQL的ROOT密碼 ，強(qiáng)制修改mysql的root密碼 在服務(wù)器里執(zhí)行 sh /www/wdlinux/tools/mysql_root_chg.sh
點(diǎn)擊wdcpdb數(shù)據(jù)庫,選擇wd_member 瀏覽信息，選擇編輯admin這一行數(shù)據(jù)的passwd字段，
修改為 fc76c4a86c56becc717a88f651264622  即修改admin用戶的密碼為 123@abc

此時(shí)可以登陸WDCP管理界面了。刪除其他管理員用戶 一般為 test2，
登陸后還需要修改WDCP的默認(rèn)8080端口，設(shè)置為40880 并在防火墻里允許該端口。

6 刪除ssh秘鑰文件登陸方式 ，經(jīng)過對黑客的入侵痕跡分析，發(fā)現(xiàn)用戶是使用WDCP面板的生成公鑰功能，獲取SSH權(quán)限的。禁止使用SSH公鑰登陸  
  echo 0 > /root/.ssh/authorized_keys && chattr +i  /root/.ssh/authorized_keys


7  設(shè)置防火墻規(guī)則 最后再設(shè)置防火墻規(guī)則，因?yàn)閃DCP自帶的規(guī)則設(shè)置不完善，推薦手工編輯配置文件。
設(shè)置 只允許外網(wǎng)訪問 服務(wù)器的80(web) 40822(ssh) 40880(wdcp) ftp(20000-20500)  ,禁止服務(wù)器訪問外網(wǎng)，禁止木馬反彈連接。
如果您有固定IP 可以設(shè)置只允許您自己的IP 訪問. -s 指定來源IP
比如 -A INPUT -s 183.195.120.18/32  -m state --state NEW -p tcp --dport 40822 -j ACCEPT
編輯防火墻規(guī)則  vi /etc/sysconfig/iptables
重啟防火墻 service iptables restart   
查看當(dāng)前規(guī)則 service iptables status

下面是已經(jīng)編輯好的規(guī)則，如果您設(shè)置的端口 和 上面的一樣，下面的規(guī)則可以直接采用。
# Generated by WDCP_FIX
*filter
:INPUT ACCEPT [0:0]
:BLOCK - [0:0]
-A INPUT -i lo -j ACCEPT
#-A INPUT -s 183.195.120.18/32 YOUR IP  -j ACCEPT
#-A INPUT -s 192.168.0.0/16 -p udp --dport 161 -j ACCEPT
-A INPUT -j BLOCK
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 40822 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 40880 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
#-A INPUT -m state --state NEW -p tcp -m multiport --dports 21,20000:20500 -j ACCEPT
#-A INPUT -s YOUR_IP -m state --state NEW -p tcp --dport 8080 -j ACCEPT
#-A INPUT -s 8.8.8.8 -m state --state NEW -p tcp --dport 8080 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 8.8.8.8 -j ACCEPT
-A OUTPUT -d 8.8.4.4 -j ACCEPT
#-A OUTPUT -d  183.195.120.18/32  -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp --sport 20 -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp -m multiport --dports 22,25,443,465 -j ACCEPT
-A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp --dport 80 -m hashlimit --hashlimit 5/sec --hashlimit-mode dstip --hashlimit-name out_http -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-port-unreachable

COMMIT
# Generated by WDCP_FIX.


說明：禁止服務(wù)器訪問外網(wǎng)，可能會引起采集文章和圖片異常，連接遠(yuǎn)程數(shù)據(jù)庫異常，建議逐個(gè)添加防火墻規(guī)則 放行端口 和IP。具體請?jiān)?OUTPUT里放行對應(yīng)的端口。
放行訪問外網(wǎng)的80   -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
放行訪問外網(wǎng)的3306  -A OUTPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT

8 安全維護(hù)建議
1 WDCP 可以設(shè)置訪問域名。比如設(shè)置 一個(gè)很長的二級域名，只有自己知道，這樣黑客就無法訪問了。
更厲害點(diǎn)，這個(gè)域名不設(shè)置解析，自己修改本地電腦的HOSTS文件，強(qiáng)制指向訪問，這樣只有自己可以訪問了。wdcp后臺訪問安全設(shè)置即限制域名/IP訪問設(shè)置及清除方法
wdcp安全設(shè)置,讓你的后臺,只有你自己能訪問

2 平時(shí)關(guān)閉 wdcp服務(wù)，需要使用時(shí)，臨時(shí)開啟。 不影響WEB服務(wù)的運(yùn)行。
  關(guān)閉服務(wù)和禁止開機(jī)啟動 /etc/init.d/wdapache stop && chkconfig --level 345 wdapache off
   /etc/init.d/wdapache start 開啟服務(wù)

感謝您的支持！祝您生活愉快！WDCP漏洞修復(fù)包下載，如果您對LINUX不熟悉，可以找懂技術(shù)的朋友參考此文檔幫忙清理！
漏洞修復(fù)包 http://www.wdcdn.com/down/WDCP_FIX.zip

impig33

說說我吧
1.ssh ftp wdapach全部修改端口
2.服務(wù)平時(shí)不開
3.使用sshd加密通道訪問面板

還算安全，呵呵

meinvba

什么漏洞啊

bit

回復(fù) 33# hk500


    你這是啥意思啊

hk500

root     60056  0.1  0.0  15884   528 ?        Ss   17:12   0:00 /usr/bin/bsd-port/getty
root     60081  0.0  0.0  15884   528 ?        S    17:12   0:00 /usr/bin/bsd-port/getty
root     60082  0.0  0.0  15884   528 ?        S    17:12   0:00 /usr/bin/bsd-port/getty
root     60083  0.1  0.0  15884   528 ?        S    17:12   0:00 /usr/bin/bsd-port/getty
root     60084  0.0  0.0  15884   528 ?        S    17:12   0:00 /usr/bin/bsd-port/getty
root     60085  0.0  0.0  15884   528 ?        S    17:12   0:00 /usr/bin/bsd-port/getty
root     60086  0.0  0.0  15884   528 ?        S    17:12   0:00 /usr/bin/bsd-port/getty
root     60087  0.0  0.0  15884   528 ?        S    17:12   0:00 /usr/bin/bsd-port/getty
root     60088  0.0  0.0  15884   528 ?        S    17:12   0:00 /usr/bin/bsd-port/getty
root     60127  0.0  0.0  15884   528 ?        Ss   17:13   0:00 /root/25306.rar
root     60132  0.1  0.0  15888   528 ?        Ss   17:13   0:00 /usr/bin/bsd-port/getty
root     60137  0.1  0.0   3592   328 ?        Ss   17:13   0:00 /usr/bin/acpid
root     60139  0.0  0.0  15884   528 ?        S    17:13   0:00 /root/25306.rar
root     60140  0.0  0.0  15884   528 ?        S    17:13   0:00 /root/25306.rar
root     60141  0.1  0.0  15884   528 ?        S    17:13   0:00 /root/25306.rar
root     60142  0.0  0.0  15884   528 ?        S    17:13   0:00 /root/25306.rar
root     60143  0.0  0.0  15884   528 ?        S    17:13   0:00 /root/25306.rar
root     60144  0.0  0.0  15884   528 ?        S    17:13   0:00 /root/25306.rar
root     60145  0.0  0.0  15884   528 ?        S    17:13   0:00 /root/25306.rar
root     60146  0.0  0.0  15884   528 ?        S    17:13   0:00 /root/25306.rar
root     60150  0.0  0.0   3592   328 ?        S    17:13   0:00 /usr/bin/acpid
root     60151  0.0  0.0   3592   328 ?        S    17:13   0:00 /usr/bin/acpid
root     60157  0.0  0.0  15884   528 ?        S    17:13   0:00 /usr/bin/bsd-port/getty
root     60158  0.0  0.0  15884   528 ?        S    17:13   0:00 /usr/bin/bsd-port/getty
root     60159  0.1  0.0  15884   528 ?        S    17:13   0:00 /usr/bin/bsd-port/getty
root     60160  0.0  0.0  15884   528 ?        S    17:13   0:00 /usr/bin/bsd-port/getty
root     60161  0.0  0.0  15884   528 ?        S    17:13   0:00 /usr/bin/bsd-port/getty
root     60162  0.0  0.0  15884   528 ?        S    17:13   0:00 /usr/bin/bsd-port/getty
root     60163  0.0  0.0  15884   528 ?        S    17:13   0:00 /usr/bin/bsd-port/getty
root     60164  0.0  0.0  15884   528 ?        S    17:13   0:00 /usr/bin/bsd-port/getty

hk500

wget http://down.wdlinux.cn/down/wdcp_v2.5.tar.gz
tar zxvf wdcp_v2.5.tar.gz -C /
升級后，進(jìn)程里面一直有一個(gè)25306.rar  ,殺掉又會有，ROOT下面會自動生成這個(gè)文件。
請問怎么解決？

iwangq

補(bǔ)補(bǔ)更健康

fanxuebin

腫么老有漏洞

haonan1947

我用的是騰訊云主機(jī)，ssh被惡意改了但無法實(shí)現(xiàn)教程里的第一步啊，樓主求解

fzs888

學(xué)習(xí)了。剛發(fā)現(xiàn)要升級，不過還很及時(shí)。

songfeifei

回復(fù) 20# hjk7788


   升級方法
1 直接在后臺升級就可以

2 如果無法在后臺升級,可用如下方法
SSH登錄服務(wù)器
wget http://down.wdlinux.cn/down/wdcp_v2.5.tar.gz
tar zxvf wdcp_v2.5.tar.gz -C /
完成即可

songfeifei

回復(fù) 14# nuctroy


   感謝提醒，刪除惡意文件即可

ucyo123

系統(tǒng)名稱：WDlinux Control Panel (簡稱wdCP) (WD訂閱)
當(dāng)前版本: wdcp_v2.5.11(20140926) 最新 wdcp_v2.5.11(20140926) 更新日志
操作系統(tǒng)：Linux 2.6.32-504.1.3.el6.x86_64
弱弱的問下，這個(gè)版本要補(bǔ)嗎

yolo

怎么沒法直接在后臺升級？

showjiange

完全按照這上面解決了，但是操作后后臺由原來的空白變?yōu)榇蜷_，進(jìn)入后升級，并沒有發(fā)現(xiàn) test2 賬戶，只有一個(gè)  admin ，現(xiàn)在后臺運(yùn)行良好，創(chuàng)建新站點(diǎn)也是  502 bad  ，原來的所有網(wǎng)站都是  502 ，這是為何？