全球主机交流论坛

标题: nginx 被传了木马 [打印本页]

作者: freebsd 时间: 2010-5-21 14:51
标题: nginx 被传了木马
被人传了 angel 的那个2008.php，是另外个没人气的站点的，因为了装了phpcms，这个东西很多目录需要写php，而且php要能执行才能使用，就侥幸心理疏忽了，没设置好权限。

查得是上次dz7.2漏洞搞攻击被我查到封了帐号的家伙，看来是盯上我网站了。

重新检查每个phpcms目录，重新配置nginx.conf，那些要能写又要执行的目录，准备更新网站内容的时候开放写权限，平时关掉写权限，图个心安。

在此提供大家一个抓利用次漏洞攻击你的网站的命令，查得攻击者的IP，然后后续的判断谁搞你，看你自己的本事了。很简单的

tail -n 200000 nginx的日志路径 | grep -iE "*\.(chm|pdf|zip|rar|tar|gz|bzip2|torrent|gif|jpg|jpeg|png|txt)\/.*\.php"

那些扩展名改成你自己论坛或者网站允许上传的文件类型。

作者: outshine 时间: 2010-5-21 14:53
网络安全令人担忧

作者: 网络寄生虫 时间: 2010-5-21 14:54
不开跳板自认倒霉吧

作者: gdtv 时间: 2010-5-21 14:55
标题: 回复 3# 的帖子
什么跳板？

作者: freebsd 时间: 2010-5-21 14:56
这个家伙用了两个肉鸡来搞的。。。还好做了php目录访问限制，传了木马访问不到服务器上的主站点。

作者: 网络寄生虫 时间: 2010-5-21 14:59

2跳板都能被你找到你FBI工作?

作者: 网络寄生虫 时间: 2010-5-21 15:01

是不是 php木马里面留了个人信息

作者: gdtv 时间: 2010-5-21 15:02
请教：

tail -n 200000 nginx的日志路径 | grep -iE "*\.(chm|pdf|zip|rar|tar|gz|bzip2|torrent|gif|jpg|jpeg|png|txt)\/.*\.php"

这条命令，能不能改成搜索整个目录里的所有日志文件？

作者: cpuer 时间: 2010-5-21 15:02
感谢楼主分享

作者: wzwen 时间: 2010-5-21 15:24
安全要天天讲月月讲年年讲

作者: freebsd 时间: 2010-5-21 20:07

原帖由 gdtv 于 2010-5-21 15:02 发表
请教：

tail -n 200000 nginx的日志路径 | grep -iE "*\.(chm|pdf|zip|rar|tar|gz|bzip2|torrent|gif|jpg|jpeg|png|txt)\/.*\.php"

这条命令，能不能改成搜索整个目录里的所有日志文件？ ...

nginx的日志文件路径换成

nginx的日志目录/*

就可以了，如果你的日志全在一个目录下的话

作者: shangpan 时间: 2010-5-21 22:46
感谢分享。

作者: 准备好了 时间: 2010-5-25 17:26
请教一下楼主，查到下面两条结果，但看不明白究竟被入侵成功了没有，

211.155.224.98 - - [23/May/2010:23:11:07 +0800] "GET //ucenter/data/tmp/upload6249.jpg/1.php HTTP/1.1" 200 1728 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" -

123.163.162.45 - - [25/May/2010:09:09:31 +0800] "GET /\x22images/smilies/grapeman/12.gif/\x22 HTTP/1.1" 404 571 "http://（网址隐藏）/bbs/viewthread.php?tid=27330" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" -

作者: fengyn 时间: 2010-5-25 18:05
nginx控制目录执行比较麻烦。。IIS最方便

作者: freebsd 时间: 2010-5-25 18:06
标题: 回复 13# 的帖子
看上面一行的日志，应该是中招了，你再 tail -n 200000 nginx的日志路径 | grep "211.155.224.98"

看人家做了什么后续的入侵动作。

作者: leven 时间: 2010-5-25 18:59

原帖由 准备好了 于 2010-5-25 17:26 发表
请教一下楼主，查到下面两条结果，但看不明白究竟被入侵成功了没有，

211.155.224.98 - - [23/May/2010:23:11:07 +0800] "GET //ucenter/data/tmp/upload6249.jpg/1.php HTTP/1.1" 200 1728 "-" "Mozilla/4.0 (compati ...

危险啊，赶紧检查。。。。

作者: 准备好了 时间: 2010-5-25 19:28
谢谢楼主指点，按照楼主的方法又去查看了日志，确实应该是中招了，211.155.224.98这个IP从23日入侵成功开始，日志记录里这个IP的动作几乎这几天每天都有一长串，长到我都无法贴上来，不知道他在我的网站上忙着布置什么东东，准备用我当跳板攻击白宫吗？

郁闷啊，还是怪我贪玩，21日那几天我出去玩了，没有上网，没有上代购，唉，如果我坚持每天上代购肯定会第一时间知道nigux的这个漏洞，及时把漏洞补上就啥事都没有了。

幸好我每天都做了备份的，为了避免以后更大的麻烦，决定重建系统，23日后的数据全部不要了，宁肯丢几天数据也要彻底清除隐患。

再次谢谢楼主的指点，

作者: 准备好了 时间: 2010-5-26 13:19
损失了几天数据，刚重装好系统，又发现有2个IP来上传php，但是这次我已经补好漏洞了，呵呵。

折腾一个晚上，”血的教训“啊

作者: 诡谲 时间: 2010-5-26 13:59
标题: 我跑反向代理的.没事
(, 下载次数: 4)

全部返回404 后端apache.哈哈

欢迎光临全球主机交流论坛 (https://mjj.022333.xyz/)