欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 6253|回复: 2

[经验分享] wdcp恶意进程清理与漏洞修复方案

[复制链接]

426

主题

85

好友

5488

积分

资深攻城师[LV4]

Rank: 4

云币
1869
威望
5488
发表于 2015-1-13 09:17:54 |显示全部楼层 |未分类
背景:
在九月份的时候,wdcp出了一个很严重的安全漏洞,黑客利用这个安全漏洞登陆用户的服务器,下载木马脚本并运行,wdcp 2.5.11以下的版本都会受到影响,这边根据最近用户的反馈集中整理了该篇文档,希望可以对您有所帮助。

对服务器的影响:
系统中被上传恶意文件
存在恶意进程,并且有复活机制,无法彻底杀死
恶意发包对外攻击,入出流量异常增大
服务器因对外攻击被平台封堵
网站无法打开,公网IP无法登陆或操作非常卡顿

尝试清理大致步骤:
内网IP登陆服务器---删除恶意文件、查杀木马进程---立即修复wdcp漏洞---后续观察
top查看有个可疑的进程在运行,是随机的乱序字母
图片1.png


登陆服务器后开启清理
这部分木马服务器上不一定都有,如果有的话,按下面方法清理
清除getty进程
# rm -rf /usr/bin/bsd-port/*
# ps -ef|grep 'getty'|grep -v grep|awk '{print $2}'|xargs kill -9

清除google进程
# rm -f /root/google
# ps -ef|grep './google'|grep -v grep|awk '{print $2}'|xargs kill -9

清除proxy.rar进程
# rm -f /root/proxy.rar
# ps -ef|grep 'proxy.rar'|grep -v grep|awk '{print $2}'|xargs kill -9

清除伪装的sshd进程,注意不要删除正常的sshd进程
# rm -f /www/wdlinux/wdcp/sys/sshd
# ps -ef|grep '/www/wdlinux/wdcp/sys/sshd'|grep -v grep|awk '{print $2}'|xargs kill -9
# rm -f /usr/bin/.sshd
# ps -ef|grep '\.sshd'|grep -v grep|awk '{print $2}'|xargs kill -9

清除uptime进程
# rm -f /www/wdlinux/wdcp/sys/sshd/uptime
# ps -ef|grep '/www/wdlinux/wdcp/sys/uptime'|grep -v grep|awk '{print $2}'|xargs kill -9

清理主木马进程
# rm -f /root/ym
# rm -f /root/.hushlogin
# rm -f /usr/bin/acpid
# rm -f /etc/rc.d/init.d/selinux
# rm -f /etc/rc.d/rc*.d/S97DbSecuritySpt
# rm -f /etc/rc.d/init.d/DbSecurityMdt
# rm -f /etc/rc.d/init.d/DbSecuritySpt
# rm -f /bin/ps
# rm -f /bin/netstat
# cp -rp /usr/bin/dpkgd/ps /bin/
# cp -rp /usr/bin/dpkgd/netstat /bin/
# chattr +i /bin /sbin /usr/bin /usr/sbin /tmp
top命令查看木马进程的pid
# top
图片2.png
# kill -9 1304
编辑计划任务文件,将里面的那条记录删除
# vi /etc/crontab
*/3 * * * * root /etc/cron.hourly/udev.sh
# rm -f /etc/cron.hourly/udev.sh
编辑rc.local文件,将不是系统自带的记录全部删除掉
# vi /etc/rc.local
清除密钥登陆,有需要后续再自己添加
# rm -rf /root/.ssh/*
chattr -i /bin /sbin /usr/bin /usr/sbin /tmp

修复漏洞:
1、删除add_user.php文件
find / -name add_user.php -exec rm {} \;
2、升级wdcp到最新的2.5.11版本
方法一:登陆wdcp后台首页,点击“升级”按钮完成升级
方法二:下载文件解压覆盖升级
tar zxvf wdcp_v2.5.tar.gz -C /
3、在管理后台,修改wdcp管理后台和数据库的默认密码,默认密码存在安全隐患
(此漏洞修复方法,也适用于刚刚安装好wdcp的用户,建议安装好立即做如上修复)

最后观察确认:
Top命令观察是否还有可疑进程
# top  
观察流量是否正常
# iftop NnP

0

主题

0

好友

11

积分

小白[LV1]

Rank: 1

云币
5
威望
1
发表于 2015-3-12 04:30:31 来自手机 |显示全部楼层
腾讯云助手好好好好
来自: 微社区
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2019-3-27 01:11 , Processed in 1.185296 second(s), 35 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部