- 论坛徽章:
- 0
|
freebsd 7的系统,学校的主服务器被挂了PHP木马了,怎么才能找到了,通过vsftp可以提取root权限么,反正入侵者说已经找到了root密码,今天赶快把ftp关了,世界实在太不安全了
还有个问题,网站目录的权限我只能设置成777,要不后台就不能发新闻,图片了,感觉很不安全,有什么方法可以解决了。我又不能设置成755,是后台的缺陷么?freebsd下面有杀木马的软件吗?
幸亏这为入侵的大哥手下留情。
各位大侠帮我看看,要不俺的饭碗都要丢了啊!!!!!
谢谢大家得踊跃回帖,给了我很大得帮助,我把刚找到得一些资料给大家看看,大家帮我分析分析
1.入侵者通过二级ASP网站漏洞,上传了ASP木马,这个我已经找到了,发现asp木马直接可以打开可以看到登陆密码,密码是520,如下图
2.入侵者通过这个asp木马找到了原来很久前存在服务器上面绿色版得flashfxp,这是个很大得错误,绿色版都是复制来复制去得,所以以前FTP的连接密码都还在,刚好我系统5月换成FREEBSD后,VSFTP又没有配置好,用tcp_warpper没有成功限制IP地址登陆,LINUX下成功,实在不知道为什么,所以入侵者轻松的破解了flashfxp里面的密码,刚好有主WEB的,刚好我懒,FTP密码都用一样的,但是我的系统root密码是跟其他密码都不一样的,并且我设置的非常长,也做到了定期更换,所以,入侵者说通过FTP获取了ROOT密码,我就不太明白了
找到了入侵者得登陆记录 ,翻了半天
vsftpd.log
Tue Aug 5 07:38:17 2008 1 61.184.109.139 84119 /usr/home/smilecat/????PHP????????????????????.php a _ i r smilecat ftp 0 * c
Tue Aug 5 07:44:04 2008 1 61.184.109.139 84119 /usr/home/smilecat/news/123.php a _ i r smilecat ftp 0 * c
Tue Aug 5 07:46:45 2008 1 61.184.109.139 278 /usr/home/smilecat/jmxy/admin/config.php b _ o r smilecat ftp 0 * c
Tue Aug 5 07:47:27 2008 1 61.184.109.139 11866 /usr/home/smilecat/jmxy/newspost1.html b _ o r smilecat ftp 0 * c
Tue Aug 5 07:49:00 2008 1 61.184.109.139 84119 /usr/home/smilecat/jmxy/gonghui/123.php b _ i r smilecat ftp 0 * c
Tue Aug 5 07:49:27 2008 1 61.184.109.139 84119 /usr/home/smilecat/jmxy/123.php b _ i r smilecat ftp 0 * c
Tue Aug 5 07:50:35 2008 1 61.184.109.139 84129 /usr/home/smilecat/jmxy/web/smphp.php b _ o r smilecat ftp 0 * c
好像是黄石师范学院的学生,不过还好是友情测试,还应该感谢这位同学
3.入侵者通过我用的FTP帐号,刚好我懒,用的smilecat的帐号,wheel组的用户,我SSH也是这个帐号,不过ssh我限制了登陆IP,上传了php木马,我找了半天终于找到了
被上传了一大堆东西
我找到了那个smphp.php的文件,但是打开只有
<?php
$admin['pass'] = "admin"; 后面还有很多好像是加密过的,
使用admin密码进去
PHPINFO显示的环境变量信息!如果这里显示不了,入侵者是不是就不知道我是用的什么操作系统了??
暂时获取了这些资料,我会按照大家建议重新调整服务器的安全设置,PHP不熟悉还真是不行
现在已经停掉FTP.用winscp上传文件,关键是网站目录777如何解决还是不太清楚,毕竟后台发新闻和图片得时候一定要可写,要是网站能限制上传得IP地址就好了,就是网站目录是777,但是只能内网用户上传,或者某一IP段上传,不知道这样能不能实现了??再次感谢各位大侠!!!
我考,不知道是不是那篇文章大家多看了,查看auth.log狂多扫描信息,IP有印度的,香港的,
[ 本帖最后由 smilecat 于 2008-10-8 10:36 编辑 ] |
|