|
|
本帖最后由 Painjoy 于 2012-12-8 20:16 编辑
由于各种原因,服务器被入侵了,服务器上有很重要的商业源码,11月30日夜----12月1日凌晨被入侵,4日早晨才发现,当时要登陆lum面板进行一个操作,发现密码错误,最后用zijidelu的默认账号登陆成功。由于使用的是Nginx,加上前段时间apache挂掉了,还有一个特殊的原因就是我使用的CMS系统本身是多二级域名部署的,也就是说如果在Lum管理界面设置防止跨站,并且设置了不同的 Fastcgi端口的话,我的系统本身就没法运行,然后有一部分站点就没有设置 限制跨目录运行,运气不好的是,在28号,给一个朋友帮忙,开了一个站点,运行的是shopex(该系统肯定有各种漏洞,后来我也是在这个目录找到了一句话木马。但是根据网站记录的日志,并没有发现相应的运行记录,很郁闷),同时忘记设置 限制跨目录运行了。服务器一套CMS用到了coreseek的全文检索,在配置索引文件的时候,使用了Mysql,root账号(当时配置的时候疏忽了),coreseek的 配置路径在 /usr/local目录下, 然后有了mysql的root账号,有了webshell 自然就可以重置Lum的密码了,Lum的端口没有修改(之前修改过,但是修改后计划任务不能运行,后来发现了方法,还没有实践能否成功),自然而然。由于我自己在此过程中重启过LUM,导致,Lum的apache日志丢失,只记录的重启后的部分操作(求apache重启日志不丢失的方法,建议洞主在新版中注意此功能)。我自己上传webshell测试了下目录访问情况,除个别设置的权限的目录外其他所有目录都是可读的,也就是说如果不设置防止跨目录的话,很多目录都是可以被浏览的。
由以上实际案例总结如下几点:
1.如非特别需要,千万不要用Mysql的root密码
2.如果所用系统没有特别需要,务必防止跨目录访问,如果是nginx 记得同时修改 fastcgi的端口
3.在后台php配置地方,禁止相应的函数执行,防止webshell获得更高的权限
我一般禁用的函数有 exec,shell_exec,system,popen,escapeshellcmd,escapeshellarg,gzuncompress,proc_open,proc_get_status,show_source,gzinflate,touch 其中touch 是修改文件时间的函数,禁用它就是可以通过某些文件的修改日期,检查黑客具体的入侵时间,方便分析
4.可以考虑修改lum的默认端口,建议在新版增加修改默认端口的快速方法
5.对已知的一些程序,特别是织梦等程序,进行单独的权限设置,坚持 可写目录不能运行php 其他目录都不可写
6.不要在LUM中开启phpmyadmin自由访问
7.建议php用apache处理,同时开启防止跨目录访问
8.如果不嫌麻烦,站点又不多的情况下,每个站点都新建用户
9.尽量选择pgsql 作为Lum的数据库
对Lum功能改进的建议:
1.可以自定义防止跨目录访问的目录,这样的话就会灵活很多,
可以在程序中实现,A、基于FTP目录的限制,B、基于当前站点目录的限制,C、基于自定义目录的限制。
2.可以灵活修改Lum端口。
3.Lum的apache日志重启不重置。
4.对非核心模块进行开关,方便其他技术人员进行扩展。或者壮大官方团队,将商业化做的更好。提供完善的文档,以及使用手册。
离开了一会,好多想法忘记了,想起来再补!同时,帖子里面可能会牵扯一些具体的技术代码,请大家跟帖,我根据需求补全该贴!
|
|
IP卡
狗仔卡
发表于 2012-12-8 20:14:02
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2012-12-8 23:05:45
楼主