免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 21786 | 回复: 54
打印 上一主题 下一主题

[FreeBSD] 主WEB服务器被入侵,如何提高安全性? [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2008-10-02 18:13 |只看该作者 |倒序浏览
freebsd 7的系统,学校的主服务器被挂了PHP木马了,怎么才能找到了,通过vsftp可以提取root权限么,反正入侵者说已经找到了root密码,今天赶快把ftp关了,世界实在太不安全了
还有个问题,网站目录的权限我只能设置成777,要不后台就不能发新闻,图片了,感觉很不安全,有什么方法可以解决了。我又不能设置成755,是后台的缺陷么?freebsd下面有杀木马的软件吗?
  
幸亏这为入侵的大哥手下留情。
各位大侠帮我看看,要不俺的饭碗都要丢了啊!!!!!

谢谢大家得踊跃回帖,给了我很大得帮助,我把刚找到得一些资料给大家看看,大家帮我分析分析

1.入侵者通过二级ASP网站漏洞,上传了ASP木马,这个我已经找到了,发现asp木马直接可以打开可以看到登陆密码,密码是520,如下图


2.入侵者通过这个asp木马找到了原来很久前存在服务器上面绿色版得flashfxp,这是个很大得错误,绿色版都是复制来复制去得,所以以前FTP的连接密码都还在,刚好我系统5月换成FREEBSD后,VSFTP又没有配置好,用tcp_warpper没有成功限制IP地址登陆,LINUX下成功,实在不知道为什么,所以入侵者轻松的破解了flashfxp里面的密码,刚好有主WEB的,刚好我懒,FTP密码都用一样的,但是我的系统root密码是跟其他密码都不一样的,并且我设置的非常长,也做到了定期更换,所以,入侵者说通过FTP获取了ROOT密码,我就不太明白了
找到了入侵者得登陆记录 ,翻了半天  
vsftpd.log

Tue Aug  5 07:38:17 2008 1 61.184.109.139 84119 /usr/home/smilecat/????PHP????????????????????.php a _ i r smilecat ftp 0 * c
Tue Aug  5 07:44:04 2008 1 61.184.109.139 84119 /usr/home/smilecat/news/123.php a _ i r smilecat ftp 0 * c
Tue Aug  5 07:46:45 2008 1 61.184.109.139 278 /usr/home/smilecat/jmxy/admin/config.php b _ o r smilecat ftp 0 * c
Tue Aug  5 07:47:27 2008 1 61.184.109.139 11866 /usr/home/smilecat/jmxy/newspost1.html b _ o r smilecat ftp 0 * c
Tue Aug  5 07:49:00 2008 1 61.184.109.139 84119 /usr/home/smilecat/jmxy/gonghui/123.php b _ i r smilecat ftp 0 * c
Tue Aug  5 07:49:27 2008 1 61.184.109.139 84119 /usr/home/smilecat/jmxy/123.php b _ i r smilecat ftp 0 * c
Tue Aug  5 07:50:35 2008 1 61.184.109.139 84129 /usr/home/smilecat/jmxy/web/smphp.php b _ o r smilecat ftp 0 * c

好像是黄石师范学院的学生,不过还好是友情测试,还应该感谢这位同学

3.入侵者通过我用的FTP帐号,刚好我懒,用的smilecat的帐号,wheel组的用户,我SSH也是这个帐号,不过ssh我限制了登陆IP,上传了php木马,我找了半天终于找到了

被上传了一大堆东西

我找到了那个smphp.php的文件,但是打开只有

<?php
$admin['pass']  = "admin"; 后面还有很多好像是加密过的,
使用admin密码进去

PHPINFO显示的环境变量信息!如果这里显示不了,入侵者是不是就不知道我是用的什么操作系统了??


暂时获取了这些资料,我会按照大家建议重新调整服务器的安全设置,PHP不熟悉还真是不行
现在已经停掉FTP.用winscp上传文件,关键是网站目录777如何解决还是不太清楚,毕竟后台发新闻和图片得时候一定要可写,要是网站能限制上传得IP地址就好了,就是网站目录是777,但是只能内网用户上传,或者某一IP段上传,不知道这样能不能实现了??再次感谢各位大侠!!!

我考,不知道是不是那篇文章大家多看了,查看auth.log狂多扫描信息,IP有印度的,香港的,



[ 本帖最后由 smilecat 于 2008-10-8 10:36 编辑 ]

论坛徽章:
0
2 [报告]
发表于 2008-10-02 18:18 |只看该作者
网站目录的权限我只能设置成777


一切罪恶的源泉

论坛徽章:
0
3 [报告]
发表于 2008-10-02 18:19 |只看该作者
版主告诉我该怎么办啊,我也知道不该设置成777,但是我设置成其755他们后台就不能发新闻了,急死了,给个解决的方法啊

论坛徽章:
0
4 [报告]
发表于 2008-10-02 19:09 |只看该作者
你看看后台的安装说明,是不是一定要设置成777啊?

论坛徽章:
0
5 [报告]
发表于 2008-10-02 20:34 |只看该作者
直觉告诉我是通过PHP注射入侵的
如果说是ROOT密码的话,你是不是MYSQL密码和ROOT密码一样?!

论坛徽章:
0
6 [报告]
发表于 2008-10-02 22:43 |只看该作者
肯定不一样啊,系统root跟mysql root密码不一样,有什么解决方法没有,目录777权限没办法啊,后台发新闻,图片什么的肯定会上传到服务器上面,没写的权限肯定发不了啊!

论坛徽章:
0
7 [报告]
发表于 2008-10-02 23:20 |只看该作者
如果全部删除wheel组用户``会怎么样呢? 会不会即使入侵成功了也不会登陆呢? 弱智的问下。。

论坛徽章:
0
8 [报告]
发表于 2008-10-02 23:35 |只看该作者
原帖由 lbt5210 于 2008-10-2 23:20 发表
如果全部删除wheel组用户``会怎么样呢? 会不会即使入侵成功了也不会登陆呢? 弱智的问下。。

这方法有点损。

论坛徽章:
0
9 [报告]
发表于 2008-10-03 01:15 |只看该作者
原帖由 lbt5210 于 2008-10-2 23:20 发表
如果全部删除wheel组用户``会怎么样呢? 会不会即使入侵成功了也不会登陆呢? 弱智的问下。。

那SSH肯定上不来了,不过没什么意义啊,你不用SSH怎么管理服务器了

关键是网站目录必须有写的权限,怎么解决啊,各位大侠管理WEB的时候是怎么做的了,apache建的站,这样就被挂木马了!如果不让写,木马怎么进来啊
入侵者说找到root密码是指系统密码么,难道通过vsftp可以找到root密码,我的vsftp是用wheel组用户登录的,是不是很危险,还是挂了PHP木马能找出来了,搞的我把FTP都关了,幸亏SSH限制了登录IP

论坛徽章:
0
10 [报告]
发表于 2008-10-03 08:04 |只看该作者
马后炮,建服务器之前都应该做好被入侵的准备
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP