LU有漏洞？？？网站被黑了？？？

小文龙

在后台，看到一些新文件，所属用户组，所属用户是 daemon

如何删除呢？？？（文件可以通过FTP删除，但这个用户是如何被加入的呢，LU也没有删除用户的菜单）

iepop

是真有漏洞了！ 后台文件管理模块。

iepop

官方技术人员应该查一下了。

最近被黑，百度200万快归被篡改，搜索引擎劫持。

爱洞特漏

daemon是系统自带的用户，如果有新文件生成，那是网站在使用apache并且使用非FastCgi时生成的（因为运行apache的用户组就是daemon）
初步判断，有可能是apache本身有漏洞，或者是FTP密码被猜到，或者是网站程序本身有问题，导致上传文件。如果LUM有共享给别人使用，才有可能被别人上传文件
无论如何，请先把FTP密码设置复杂一些（建议用LUM生成），然后别用apache运行网站
如果还出现问题，请联系QQ：1937009752

iepop

爱洞特漏 发表于 2014-9-23 13:22
daemon是系统自带的用户，如果有新文件生成，那是网站在使用apache并且使用非FastCgi时生成的（因为运行apa ...

老大，FTP密码是生成的32位密码，用的是nginx。  现在的临时处理方法是，删除local下的lumanager，黑客没有再突破。

具体是不是这样，还有待考证。

fanglong

iepop 发表于 2014-9-25 00:34
老大，FTP密码是生成的32位密码，用的是nginx。  现在的临时处理方法是，删除local下的lumanager，黑客没 ...

旁观一下,继续给出结论!

小文龙

这个问题告一段落。因为无从排查。

但可以给一些详细内容，看哪位看官能否知道原因：

1、服务器上只有一个网站，唯一一个。也从来没有开放给别人使用，哪怕是借用几天都没有。

2、FTP密码是使用LUM生成的。包括所有LUM密码都是生成很长的；我手上有唯一备份。一份纸质打印件，一份U盘保存。每次使用都是复制上去，没有在电脑软件上存档（也极少需要上存下载。网站基本没作任何改动）

3、网站程序是购买的商业版程序，会员仅有浏览和发布（纯文本）功能，没有上存、分享这些交互功能。

如果有新文件生成，那是网站在使用apache并且使用非FastCgi时生成的

引用这句话，由于需要使用伪静态.ht 。所以只能运行于APACHE，PHP是运行FCGI的。如果这些文件是使用非FCGI生成，那就奇怪的，我的网站根本没这用这个设置。而且仅开了两个虚拟主机，一个WWW,另一个WAP。