Linux Bash严重漏洞修复紧急通知

但近日来,发现,很多wdcp的用户都被黑,被增加数据库用户,被上传文件,恶意发包攻击,流量异常,甚至是控制了SSH的权限等
此次事件非常严重,影响也非常大,希望大家及时更新下补丁,以及做下安全限制

在wdcp 2.5.11以下的版本都会受到影响,请广大用户,IDC,云主机公司升级相应的模板等

如果你的wdcp面板没有限制后台登录域名,也没有修改默认端口的,也没有升级,很可能已被黑
对于这类情况,可能的情况下,最好重装下系统

一般常规检查
1 检查登录记录,是否有其它的IP,用户ID登录
2 检查数据库用户,是否有多出的用户ID
3 检查是否有被上传的文件
4 登录SSH检查是否有异常的进程,以及是否有ip32.rar,ip64,rar这类文件(目前发现,这是黑客上传执行程序)
请大家相互转告
=====如果被黑也不要害怕,目前已经有解决方法!========

使用分割线下的查收步骤,基本可以查杀后门和恶意程序,维持服务器稳定正常运行,免去重装系统的烦恼

============查杀流程 2014-11-13更新====================
   部分WDCP用户的服务器没有修改默认的WDCP管理地址,没有及时更新,导致被黑客入侵。由于WDCP的稳定和方便,很多朋友使用WDCP创建了很多站点,甚至在淘宝卖起了虚拟主机。
自WDCP九月份爆出漏洞一来,有部分客户被入侵,被恶意发包,让IDC机房烦恼不已,阿里云 腾讯云 先后发布安全预警,提醒用户升级,检查系统安全。
WDCP被入侵后,对系统造成了一定危害,如果直接重装系统,涉及到程序数据的迁移,是很浩大的工程。
鉴于此,WDCP技术团队对黑客入侵手法和痕迹的分析,整理出以下WDCP专杀修复脚本,经过测试,可以保证服务器正常运行。

1 如果SSH可以正常登录系统的,跳过此步骤。SSH无法登陆服务器,密码被恶意修改的,可以在引导系统时,编辑启动项加入single 单用户模式。通过passwd命令 重置密码。 参考连接http://jingyan.baidu.com/article/acf728fd1de7ebf8e510a3cb.html

2 ls -lh /bin/ps   查看文件大小和时间,正常的是100K以内。如果是1.2M 左右的就是被替换了。(ps是LINUX下的任务管理器程序)
  使用XFTP软件上传覆盖对应版本(centos5和6 的不同)的ps 文件 WDCP漏洞修复下载,添加执行权限chmod +x /bin/ps。 同理 上传/bin/netstat文件  。

3 a.去除恶意文件的执行权限
chmod 000 /tmp/gates.lod   /tmp/moni.lod    
service sendmail stop
chkconfig --level 345 sendmail off
chmod -x  /usr/sbin/sendmail

chmod -R 000 /root/*rar*
chattr -i /root/conf.n
chmod -R 000 /root/conf.n*

b.关闭恶意进程
ps auxww 查看当前系统进程  查找恶意进程 一般是*.rar 或者使用CPU较高的
kill -9 进程ID
killall 进程名  比如256.rar  proxy.rar 等

c. 查看任务计划 
crontab -e  看看是否有可疑任务,如果有多个/tmp下的随机名称的文件,那就是恶意程序,删除该任务

d.检测 /etc/rc.d/ 下的rc.local    rc3.d   rc5.d  目录下 是否有可疑文件,可以删除,这个是 启动项程序存放文件夹。
4 修改SSH端口,黑客是脚本实现的批量入侵,修改默认端口,可以有效避免入侵。
vi /etc/ssh/sshd_config 里的  #Port 22 为 Port 40822
重启SSHD服务 service sshd restart

5 部分用户的WDCP密码被非法篡改了。无法使用 http://ip:8080 进行登录管理后台
可以尝试使用 http://ip:8080/phpmyadmin 登录数据库管理  重置WDCP管理员的密码 
如果忘记MYSQL的ROOT密码 ,强制修改mysql的root密码 在服务器里执行 sh /www/wdlinux/tools/mysql_root_chg.sh 
点击wdcpdb数据库,选择wd_member 浏览信息,选择编辑admin这一行数据的passwd字段,
修改为 fc76c4a86c56becc717a88f651264622  即修改admin用户的密码为 [email protected]

此时可以登陆WDCP管理界面了。删除其他管理员用户 一般为 test2,
登陆后还需要修改WDCP的默认8080端口,设置为40880 并在防火墙里允许该端口。

6 删除ssh秘钥文件登陆方式 ,经过对黑客的入侵痕迹分析,发现用户是使用WDCP面板的生成公钥功能,获取SSH权限的。禁止使用SSH公钥登陆  
  echo 0 > /root/.ssh/authorized_keys && chattr +i  /root/.ssh/authorized_keys

7  设置防火墙规则 最后再设置防火墙规则,因为WDCP自带的规则设置不完善,推荐手工编辑配置文件。
设置 只允许外网访问 服务器的80(web) 40822(ssh) 40880(wdcp) ftp(20000-20500)  ,禁止服务器访问外网,禁止木马反弹连接。
如果您有固定IP 可以设置只允许您自己的IP 访问. -s 指定来源IP
比如 -A INPUT -s 183.195.120.18/32  -m state --state NEW -p tcp --dport 40822 -j ACCEPT
编辑防火墙规则  vi /etc/sysconfig/iptables 
重启防火墙 service iptables restart   
查看当前规则 service iptables status

下面是已经编辑好的规则,如果您设置的端口 和 上面的一样,下面的规则可以直接采用。
# Generated by WDCP_FIX
*filter
:INPUT ACCEPT [0:0]
:BLOCK - [0:0]
-A INPUT -i lo -j ACCEPT
#-A INPUT -s 183.195.120.18/32 YOUR IP  -j ACCEPT
#-A INPUT -s 192.168.0.0/16 -p udp --dport 161 -j ACCEPT
-A INPUT -j BLOCK
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 40822 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 40880 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
#-A INPUT -m state --state NEW -p tcp -m multiport --dports 21,20000:20500 -j ACCEPT
#-A INPUT -s YOUR_IP -m state --state NEW -p tcp --dport 8080 -j ACCEPT
#-A INPUT -s 8.8.8.8 -m state --state NEW -p tcp --dport 8080 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 8.8.8.8 -j ACCEPT
-A OUTPUT -d 8.8.4.4 -j ACCEPT
#-A OUTPUT -d  183.195.120.18/32  -j ACCEPT 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp --sport 20 -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp -m multiport --dports 22,25,443,465 -j ACCEPT
-A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp --dport 80 -m hashlimit --hashlimit 5/sec --hashlimit-mode dstip --hashlimit-name out_http -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-port-unreachable

COMMIT
# Generated by WDCP_FIX.

说明:禁止服务器访问外网,可能会引起采集文章和图片异常,连接远程数据库异常,建议逐个添加防火墙规则 放行端口 和IP。具体请在 OUTPUT里放行对应的端口。
放行访问外网的80   -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
放行访问外网的3306  -A OUTPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT

8 安全维护建议
1 WDCP 可以设置访问域名。比如设置 一个很长的二级域名,只有自己知道,这样黑客就无法访问了。
更厉害点,这个域名不设置解析,自己修改本地电脑的HOSTS文件,强制指向访问,这样只有自己可以访问了。wdcp后台访问安全设置即限制域名/IP访问设置及清除方法
wdcp安全设置,让你的后台,只有你自己能访问

2 平时关闭 wdcp服务,需要使用时,临时开启。 不影响WEB服务的运行。
  关闭服务和禁止开机启动 /etc/init.d/wdapache stop && chkconfig --list 345 wdapache off

/etc/init.d/wdapache start 开启服务

漏洞修复包 http://www.wdcdn.com/down/WDCP_FIX.zip
时间: 2024-10-04 09:43:55

Linux Bash严重漏洞修复紧急通知的相关文章

Linux Bash严重漏洞修复紧急通知(官方最新解决方案持续更新中)

日前Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271  ),黑客可以利用该Bash漏洞完全控制目标系统并发起攻击,为了避免您Linux服务器受影响,建议您尽快完成漏洞修补,修复方法如下,请了解!  特别提醒:Linux 官方已经给出最新解决方案,已经解决被绕过的bug,建议您尽快重新完成漏洞修补.openSUSE 镜像暂时还没有给出.   [已确认被成功利用的软件及系统]  所

Linux Bash严重漏洞修复方法

bash 是一个为GNU计划编写的Unix shell.:Bourne-Again SHell - 这是关于Bourne shell(sh)的一个双关语(Bourne again / born again).Bourne shell是一个早期的重要shell,由史蒂夫·伯恩在1978年前后编写,并Version 7 Unix一起发布.bash则在1987年由布莱恩·福克斯创造.在1990年,Chet Ramey成为了主要的维护者. shell在linux系统所处的位置: 常见linux和UNIX

Linux Bash安全漏洞修复

1.影响的系统包括 Centos Debian Redhat Ubuntu 2.检查系统是否要修复 [[email protected] ~]# env x='() { :;}; echo vulnerable' bash -c "echo this is a test"vulnerablethis is a test[[email protected] ~]# 如果输出以上结果表示需要修复bash漏洞 3.修复漏洞 [[email protected] ~]# yum update

Linux Bash严重漏洞紧急修复方案

推荐:10年技术力作:<高性能Linux服务器构建实战Ⅱ>全网发行,附试读章节和全书实例源码下载! 今天刚刚爆出Bash安全漏洞,Bash存在一个安全的漏洞,该漏洞直接影响基于Unix的系统(如Linux.OS X 等).该漏洞将导致远程攻击者在受影响的系统上执行任意代码. [已确认被成功利用的软件及系统] 所有安装GNU bash 版本小于或者等于4.3的Linux操作系统. [漏洞描述] 该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash

汉澳sinox2013已经提供bash shellcode漏洞修复安装包

为了避免汉澳sinox2013受到bash漏洞攻击,现提供sinox2013x86操作系统的漏洞修复包下载安装. 请用户马上下载安装. sinox2013安装包是bashx86-4.2.20.tbz 可以这样安装 pkg_add -f ftp://sinox.org/bashx86-4.2.20.tbz 如果半天没反应,可以执行 wget ftp://sinox.org/bashx86-4.2.20.tbz 下载到本地,然后pkg_add -f bashx86-4.2.20.tbz 安装. 详细

Linux Glibc库严重安全漏洞修复方案通知(腾讯开发者社区)

如何查看当前glibc的版本号? rpm -aq | grep glibc 尊敬的用户: 您好!2015年1月28日, 腾讯云安全情报监测到LinuxGlibc库存在一处严重安全漏洞,可以通过gethostbyname系列函数实现远程代码执行,获取服务器的控制权及Shell权限,漏洞详细点击这里查看. [影响版本]: Glibc2.2 ~ Glibc 2.18 [修复方案]:       1.通过官方渠道自助下载更新,升级到Glibc 2.19及其以上版本.官方已在Glibc 2.19及以上版本

Linux ICMP时间戳漏洞修复

近日,在对服务器(系统CentOS 6.8 x64)进行风险评估检测时,出现以下低风险漏洞,虽然风险较低,但看着就是不爽.长期从事IT工作的,总要追求完美嘛. 漏洞描述:服务器会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间.这可能允许攻击者攻击一些基于时间认证的协议. 解决建议:可采取以下措施以降低威胁:在防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文. 根据以上建议,启用iptables防火墙,增加过滤规则: #

Linux 曝出重大bash安全漏洞及修复方法

日前Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271  ),黑客可以利用该Bash漏洞完全控制目标系统并发起攻击. 已确认被成功利用的软件及系统:所有安装GNU bash 版本小于或者等于4.3的Linux操作系统. 该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行. 漏洞检测方法: env x='() { :;}; e

linux_曝出重大bash安全漏洞及修复方法

日前Linux官方内置Bash中新发现一个非常严重安全漏洞(漏洞参考https://access.redhat.com/security/cve/CVE-2014-6271  ),黑客可以利用该Bash漏洞完全控制目标系统并发起攻击. 已确认被成功利用的软件及系统:所有安装GNU bash 版本小于或者等于4.3的Linux操作系统. 该漏洞源于你调用的bash shell之前创建的特殊的环境变量,这些变量可以包含代码,同时会被bash执行. 漏洞检测方法: 1 env x='() { :;};