代人问:论坛被人猖獗入侵,点在哪里?

2014-02-09 14:23:07 +08:00
 msg7086
有个相应圈子里挺有名的论坛,之前一直被人各种盗号什么的。

之前帮她们折腾了一下服务器,感觉还是弄的挺干净的,但是据说黑客还是很猖獗,所以前来求各位菊苣分析。

服务器状况:

服务器是跑在debian8上装的LXC容器里,母机算是很安全的问题不大。

容器内部是新装的debian8,跑了ssh ftp php-fpm nginx mysql linode和fail2ban,别的什么也没有。
root密码新设的,很长很长。有一个访问webroot的账号,密码也是新设的,很长很长。

论坛为了安全,在重装系统的时候重新抓了DX3.1的全套程序来重新装了下,模板风格什么的都是重新弄的,只留了附件与数据库。附件和用户上传的头像文件什么的,已经从nginx里屏蔽了php执行。

发生了什么:

管理员在更改过自己的密码与安全认证问题以后依然被人登录论坛后台,执行各种操作。超版和高级用户的账号的email经常被人改掉。管理员表示非常闹心。

ssh上去打last,里面只有我自己的登录记录。

求:

我漏了什么重要的点么?
7938 次点击
所在节点    问与答
19 条回复
siw
2014-02-09 14:27:01 +08:00
给出网址 :)

nginx log ?
lvye
2014-02-09 14:38:33 +08:00
discuz x3.1前一段时间出过一个漏洞:Discuz! x3.1的插件/utility/convert/index.php存在代码执行漏洞
如果存在这个文件,当时没有删除,那么很有可能被入侵后,又被人植入了后门。
给以下建议:
1.禁掉root账号,只用key登录服务器
2.重新下载最新的discuz x3.1安装一遍
3.nginx用普通权限运行
4.discuz目录权限重新设定
5.如果不嫌麻烦,admin.php可以更改一下文件名,譬如!asdsff.php

一定要查原因就只能看日志了,查找admin.php的登录情况
chairuosen
2014-02-09 14:55:03 +08:00
管理员自己的电脑呢?
msg7086
2014-02-09 15:23:49 +08:00
@siw 网址什么的不合适吧。nginx log挺长的,粗看没看出什么。

@lvye 这个文件似乎没有上传到服务器上过。admin.php的log我再去查查 -_-

@chairuosen 我去问问 - -
victor
2014-02-09 15:38:00 +08:00
discuz 有一些0day漏洞,你通过下载官方的最新版是绝对堵不住这些漏洞的。

因为那些漏洞还没被官方发现呢。。。。。。
zeinima
2014-02-09 15:43:49 +08:00
dz看起来好危险的样子
Radeon
2014-02-09 15:45:28 +08:00
1. 加SELinux/AppArmor防止远程劫持apache进程
2. 用大众论坛代码永远会有0-day。最好自己写,注意不要有SQL Injection漏洞,尤其是在实现多关键字查询功能时
3. 另外远程管理的机器的浏览器专用,防止别人XSS
Radeon
2014-02-09 16:15:39 +08:00
还有查一下后台系统的登录记录。看看是从哪里用什么方式登录的
justfindu
2014-02-09 16:19:50 +08:00
UC漏了吧 KEY被人发现了么
a2z
2014-02-09 16:25:21 +08:00
@justfindu dz 3.1的uckey没法get shell了吧
109109
2014-02-09 17:58:53 +08:00
>>登录论坛后台,执行各种操作

是只登陆了后台还是有获取了WEBSHELL的痕迹?
可以查找最新修改过的文件

论坛查log最方便。从登陆admin的log查起,看对应的登陆IP最开始的操作是什么。
密码全改过,仍能被登陆后台,这可以看其他管理层的密码是否被二次修改过,可以确定个大概方向
msg7086
2014-02-09 20:33:25 +08:00
@109109 只知道后台有记录。
查nginx记录查出这个IP伪造user-agent访问了/api/mobile/index.php,别的似乎没什么很可疑的操作。
现在只能怀疑这货里有漏洞什么的了。
blacktulip
2014-02-09 21:05:34 +08:00
用 dz 被黑是常态,没被黑才是反常中……
nazor
2014-02-09 21:36:50 +08:00
据之情人士透露,discuz系列存在多个0day,好多大站都被脱裤了。
chengxuan
2014-02-10 01:22:29 +08:00
1.建议关掉ftp在c段下可以嗅探。
2.dz有XSS可以截获cookie(这个算0day,大牛才会有)
3.不差钱,可以搞ssl
4.建议更改后台路径
5.还没想到,想到在告诉你吧,哈。。。
niseter
2014-02-10 01:42:51 +08:00
看起来问题在下面几个地方:
1.ssh要不是被MITM了,就是出各种问题了(比如被塞了证书)
2.ftp明码危险,万万小心。
3.问题最大就是DX程序本身,这个我只能说没办法。。。除非自己写,要不买商业授权
efi
2014-02-10 04:55:06 +08:00
现在严重缺log可查,是吧。各种可加的log很多,nginx加上全文log,mysql敏感表加上log,加上auditd查文件更改,log看能不能转发给容器host。沿着执行流程走一路下来各步加上log,不要说漏洞可查,连什么bug都查出来了。
justfindu
2014-02-10 09:35:08 +08:00
哦对了 3.1有一个soso表情漏洞~
saybye
2014-02-10 13:39:43 +08:00
DZ各种0day......

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/99442

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX