56
世紀東方
關於wdcp漏洞導致斷網恢複的操作步驟
方法一:重裝係統、升級wdcp版本。
1、登錄雲主機產品管理平台-雲主機基本功能-係統重裝。選擇保留數據,選擇當前的模板進行重裝。
2、聯絡我司開通雲主機
3、登錄雲主機執行一下命令:
wget blog.51web.net/s/wdcp.sh
chmod +x wdcp.sh
./wdcp.sh
4、登陸至wdcp麵板,重新編輯站點列表中的站點配置並保存,以重新生成站點配置文件。
方法二:直接升級到最新版,查殺後門和惡意程序,此種方式存在一定風險,但可免去重裝的麻煩
如果root密碼可以正常登錄係統的,跳過此步驟。無法登陸服務器,密碼被惡意修改的。請通過雲主機產品管理平台密碼重置功能進行重置,登錄雲主機後按照以下步驟操作
1、去掉惡意文件的執行權限
chmod 000 /tmp/gates.lod /tmp/moni.lod
service sendmail stop
chkconfig --level 345 sendmail off
chmod -x /usr/sbin/sendmail
chmod -R 000 /root/*rar*
chattr -i /root/conf.n
chmod -R 000 /root/conf.n*
2、關閉惡意進程
ps auxww 查看當前係統進程 查找惡意進程 一般是*.rar 或者使用CPU較高的
kill -9 進程ID
killall 進程名 比如256.rar proxy.rar 等
3、刪除惡意啟動和計劃任務
crontab -e 看看是否有可疑任務,如果有多個/tmp下的隨機名稱的文件,那就是惡意程序,刪除該任務
檢測 /etc/rc.d/ 下的rc.local rc3.d rc5.d 目錄下 是否有可疑文件,可以刪除,這個是 啟動項程序存放文件夾。
刪除ssh秘鑰文件登陸方式 ,經過對黑客的入侵痕跡分析,發現用戶是使用WDCP麵板的生成公鑰功能,獲取SSH權限的。禁止使用SSH公鑰登陸
echo 0 > /root/.ssh/authorized_keys && chattr +i /root/.ssh/authorized_keys
4、聯絡我司開通雲主機
5、查找有問題文件並替換
ls -lh /bin/ps 查看文件大小和時間,正常的是100K以內。如果是1.2M 左右的就是被替換了。(ps是LINUX下的任務管理器程序) 使用XFTP軟件上傳覆蓋對應版本(centos5和6 的不同)的ps文件,添加執行權限chmod +x /bin/ps。 同理 上傳/bin/netstat文件。
6、部分用戶的WDCP密碼被非法篡改了。無法使用 https://ip:8080 進行登錄管理後台,可以嚐試使用 https://ip:8080/phpmyadmin 登錄數據庫管理 重置WDCP管理員的密碼,如果忘記MYSQL的ROOT密碼 ,強製修改mysql的root密碼 在服務器裏執行 sh /www/wdlinux/tools/mysql_root_chg.sh,點擊wdcpdb數據庫,選擇wd_member 瀏覽信息,選擇編輯admin這一行數據的passwd字段,修改成您自己的密碼。(此處密碼為MD5加密的32位小寫)
7、登錄wdcp管理平台刪除wdcp下麵的非法賬戶
8、有條件的客戶可以加強下防火牆設置關閉不必要的端口(設置隻允許外網訪問服務器的websshwdcpftp ,禁止服務器訪問外網,禁止木馬反彈連接)
9、附漏洞修複包下載地址:https://www.wdcdn.com/down/WDCP_FIX.zip
wdcp官方參考鏈接:https://www.wdlinux.cn/bbs/thread-37766-1-1.html
最後更新:2017-01-10 21:30:52