主WEB服务器被入侵，如何提高安全性？

smilecat

freebsd 7的系统，学校的主服务器被挂了PHP木马了，怎么才能找到了，通过vsftp可以提取root权限么，反正入侵者说已经找到了root密码，今天赶快把ftp关了，世界实在太不安全了
还有个问题，网站目录的权限我只能设置成777，要不后台就不能发新闻，图片了，感觉很不安全，有什么方法可以解决了。我又不能设置成755，是后台的缺陷么？freebsd下面有杀木马的软件吗？
  
幸亏这为入侵的大哥手下留情。
各位大侠帮我看看，要不俺的饭碗都要丢了啊！！！！！

谢谢大家得踊跃回帖,给了我很大得帮助,我把刚找到得一些资料给大家看看,大家帮我分析分析

1.入侵者通过二级ASP网站漏洞,上传了ASP木马,这个我已经找到了,发现asp木马直接可以打开可以看到登陆密码,密码是520,如下图


2.入侵者通过这个asp木马找到了原来很久前存在服务器上面绿色版得flashfxp,这是个很大得错误,绿色版都是复制来复制去得,所以以前FTP的连接密码都还在,刚好我系统5月换成FREEBSD后,VSFTP又没有配置好,用tcp_warpper没有成功限制IP地址登陆,LINUX下成功,实在不知道为什么,所以入侵者轻松的破解了flashfxp里面的密码,刚好有主WEB的,刚好我懒,FTP密码都用一样的,但是我的系统root密码是跟其他密码都不一样的,并且我设置的非常长,也做到了定期更换,所以,入侵者说通过FTP获取了ROOT密码,我就不太明白了
找到了入侵者得登陆记录 ,翻了半天  
vsftpd.log

Tue Aug  5 07:38:17 2008 1 61.184.109.139 84119 /usr/home/smilecat/????PHP????????????????????.php a _ i r smilecat ftp 0 * c
Tue Aug  5 07:44:04 2008 1 61.184.109.139 84119 /usr/home/smilecat/news/123.php a _ i r smilecat ftp 0 * c
Tue Aug  5 07:46:45 2008 1 61.184.109.139 278 /usr/home/smilecat/jmxy/admin/config.php b _ o r smilecat ftp 0 * c
Tue Aug  5 07:47:27 2008 1 61.184.109.139 11866 /usr/home/smilecat/jmxy/newspost1.html b _ o r smilecat ftp 0 * c
Tue Aug  5 07:49:00 2008 1 61.184.109.139 84119 /usr/home/smilecat/jmxy/gonghui/123.php b _ i r smilecat ftp 0 * c
Tue Aug  5 07:49:27 2008 1 61.184.109.139 84119 /usr/home/smilecat/jmxy/123.php b _ i r smilecat ftp 0 * c
Tue Aug  5 07:50:35 2008 1 61.184.109.139 84129 /usr/home/smilecat/jmxy/web/smphp.php b _ o r smilecat ftp 0 * c
好像是黄石师范学院的学生,不过还好是友情测试,还应该感谢这位同学

3.入侵者通过我用的FTP帐号,刚好我懒,用的smilecat的帐号,wheel组的用户,我SSH也是这个帐号,不过ssh我限制了登陆IP,上传了php木马,我找了半天终于找到了

被上传了一大堆东西

我找到了那个smphp.php的文件,但是打开只有

<?php
$admin['pass']  = "admin"; 后面还有很多好像是加密过的,
使用admin密码进去

PHPINFO显示的环境变量信息!如果这里显示不了,入侵者是不是就不知道我是用的什么操作系统了??


暂时获取了这些资料,我会按照大家建议重新调整服务器的安全设置,PHP不熟悉还真是不行
现在已经停掉FTP.用winscp上传文件,关键是网站目录777如何解决还是不太清楚,毕竟后台发新闻和图片得时候一定要可写,要是网站能限制上传得IP地址就好了,就是网站目录是777,但是只能内网用户上传,或者某一IP段上传,不知道这样能不能实现了??再次感谢各位大侠!!!

我考,不知道是不是那篇文章大家多看了,查看auth.log狂多扫描信息,IP有印度的,香港的,



[ 本帖最后由 smilecat 于 2008-10-8 10:36 编辑 ]

llzqq

网站目录的权限我只能设置成777

一切罪恶的源泉

smilecat

版主告诉我该怎么办啊，我也知道不该设置成777，但是我设置成其755他们后台就不能发新闻了，急死了，给个解决的方法啊

flb_2001

你看看后台的安装说明，是不是一定要设置成777啊？

linyin

直觉告诉我是通过PHP注射入侵的
如果说是ROOT密码的话,你是不是MYSQL密码和ROOT密码一样?!

smilecat

肯定不一样啊，系统root跟mysql root密码不一样，有什么解决方法没有，目录777权限没办法啊，后台发新闻，图片什么的肯定会上传到服务器上面，没写的权限肯定发不了啊！

lbt5210

如果全部删除wheel组用户``会怎么样呢？ 会不会即使入侵成功了也不会登陆呢？ 弱智的问下。。

feiyueheu

原帖由 lbt5210 于 2008-10-2 23:20 发表
如果全部删除wheel组用户``会怎么样呢？ 会不会即使入侵成功了也不会登陆呢？ 弱智的问下。。

这方法有点损。

smilecat

原帖由 lbt5210 于 2008-10-2 23:20 发表
如果全部删除wheel组用户``会怎么样呢？ 会不会即使入侵成功了也不会登陆呢？ 弱智的问下。。

那SSH肯定上不来了，不过没什么意义啊，你不用SSH怎么管理服务器了

关键是网站目录必须有写的权限，怎么解决啊，各位大侠管理WEB的时候是怎么做的了，apache建的站，这样就被挂木马了！如果不让写，木马怎么进来啊
入侵者说找到root密码是指系统密码么，难道通过vsftp可以找到root密码，我的vsftp是用wheel组用户登录的，是不是很危险，还是挂了PHP木马能找出来了，搞的我把FTP都关了，幸亏SSH限制了登录IP

qishking

马后炮，建服务器之前都应该做好被入侵的准备