设为首页收藏本站
切换到窄版

容器技术交流

 找回密码
 立即注册
容器技术交流»论坛首页 LuManager 主机管理面板 LuManager安装使用 求助,网站被反复挂马,设0555根本没用
返回列表 发新帖
查看: 4325|回复: 9

求助,网站被反复挂马,设0555根本没用

[复制链接]
发表于 2012-8-23 15:17:05 | 显示全部楼层 |阅读模式
老大,网站被反复挂马,设0555根本没用,怎么办呢
回复

使用道具 举报

发表于 2012-8-23 15:29:32 | 显示全部楼层
如果555都没用,那有两种可能:
1. 操作系统的密码被盗了
2. LUM或其它管理系统的密码被盗(如果是LUM的密码被盗,应该在后台日志中可以找到)
回复 支持 反对

使用道具 举报

 楼主| 发表于 2012-8-23 15:55:34 | 显示全部楼层
谢谢老大解答,怎么查呢,你看我昨天的系统日志统计

--------------------- pam_unix Begin ------------------------

sshd:
    Authentication Failures:
       root (218.85.135.166): 22 Time(s)
       root (61.160.235.221): 19 Time(s)
       root (94.249.208.53): 3 Time(s)
       unknown (61.160.235.221): 2 Time(s)
    Invalid Users:
       Unknown Account: 2 Time(s)
    Sessions Opened:
       root: 7 Time(s)


---------------------- pam_unix End -------------------------


--------------------- Connections (secure-log) Begin ------------------------


**Unmatched Entries**
    crond: pam_limits(crond:session): unknown limit item 'noproc': 1202 Time(s)

---------------------- Connections (secure-log) End -------------------------

--------------------- SSHD Begin ------------------------


Failed logins from:
    61.160.235.221: 19 times
       root/password: 19 times
    94.249.208.53: 3 times
       root/password: 3 times
    218.85.135.166: 22 times
       root/password: 22 times

Illegal users from:
    61.160.235.221: 2 times
       oracle/password: 1 time
       test/password: 1 time

Users logging in through sshd:
    root:
       125.83.18.203: 6 times
       14.104.15.190: 1 time


Received disconnect:
    11: Bye Bye
       218.85.135.166 : 21 Time(s)
       61.160.235.221 : 21 Time(s)
       94.249.208.53 : 3 Time(s)

SFTP subsystem requests: 2 Time(s)

**Unmatched Entries**
pam_limits(sshd:session): unknown limit item 'noproc' : 14 time(s)

---------------------- SSHD End -------------------------
回复 支持 反对

使用道具 举报

 楼主| 发表于 2012-8-23 15:57:17 | 显示全部楼层
       125.83.18.203: 6 times
       14.104.15.190: 1 time

      这两个IP是我自己的
回复 支持 反对

使用道具 举报

 楼主| 发表于 2012-8-23 16:03:53 | 显示全部楼层
系统没有其它管理系统,CentOS 5.8 ,只装了LUM,网站两个,全部都是禁止跨目录访问的。

看了LUM的后台操作日志,确认都是本人操作的。

另外,以前好像有个可以设置防火墙端口的功能吧?现在升级了怎么不见了呢,我想改一下SSH端口,却不知到哪里修改防火墙
回复 支持 反对

使用道具 举报

发表于 2012-8-24 00:22:23 | 显示全部楼层
FTP密码设置得简单吗?
回复 支持 反对

使用道具 举报

 楼主| 发表于 2012-8-24 14:58:57 | 显示全部楼层
FTP密码应该来说还是挺复杂了,9位,含数字和字母

我看了 /var/log/pureftpd.log 好像都是我自己的IP操作记录。

老大,告诉我怎么改SSH端口的防火墙过滤,昨天好多尝试SSH口令的啊

Failed logins from:
    58.51.91.54: 50 times
       root/password: 50 times
    115.69.124.12: 1 time
       root/password: 1 time
    121.125.72.180: 1 time
       postgres/password: 1 time
    209.188.114.6 (209-188-114-6.brownrice.com): 177 times
       root/password: 168 times
       apache/password: 2 times
       postgres/password: 2 times
       bin/password: 1 time
       games/password: 1 time
       mail/password: 1 time
       news/password: 1 time
       smmsp/password: 1 time
    211.210.124.201: 13 times
       root/password: 13 times
回复 支持 反对

使用道具 举报

发表于 2012-8-31 02:20:03 | 显示全部楼层
关闭pureftpd吧,我之前就出现服务器不知道是不是给ARP欺骗攻击了
我的FTP账号无故给人登陆进去,然后挂了马。
查了pureftpd的日志,发现是通过FTP挂的。
SSH的密码也设得复杂一点。是密码都复杂一点。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2012-9-13 10:07:20 | 显示全部楼层
我是谁也?℃ 发表于 2012-8-31 02:20
关闭pureftpd吧,我之前就出现服务器不知道是不是给ARP欺骗攻击了
我的FTP账号无故给人登陆进去,然后挂了 ...

经过确认,确实是经过ARP欺骗攻击,嗅探到了FTP密码挂马的。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2012-9-13 10:22:40 | 显示全部楼层
LUM 为什么不集成ARP防火墙功能呢?
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Archiver|URLOS ( 粤ICP备18087780号 )

GMT+8, 2025-7-4 10:13 , Processed in 0.027398 second(s), 18 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表