56
关于wdcp漏洞导致断网恢复的操作步骤
方法一:重装系统、升级wdcp版本。
1、登录云主机产品管理平台-云主机基本功能-系统重装。选择保留数据,选择当前的模板进行重装。
2、联络我司开通云主机
3、登录云主机执行一下命令:
wget blog.51web.net/s/wdcp.sh
chmod +x wdcp.sh
./wdcp.sh
4、登陆至wdcp面板,重新编辑站点列表中的站点配置并保存,以重新生成站点配置文件。
方法二:直接升级到最新版,查杀后门和恶意程序,此种方式存在一定风险,但可免去重装的麻烦
如果root密码可以正常登录系统的,跳过此步骤。无法登陆服务器,密码被恶意修改的。请通过云主机产品管理平台密码重置功能进行重置,登录云主机后按照以下步骤操作
1、去掉恶意文件的执行权限
chmod 000 /tmp/gates.lod /tmp/moni.lod
service sendmail stop
chkconfig --level 345 sendmail off
chmod -x /usr/sbin/sendmail
chmod -R 000 /root/*rar*
chattr -i /root/conf.n
chmod -R 000 /root/conf.n*
2、关闭恶意进程
ps auxww 查看当前系统进程 查找恶意进程 一般是*.rar 或者使用CPU较高的
kill -9 进程ID
killall 进程名 比如256.rar proxy.rar 等
3、删除恶意启动和计划任务
crontab -e 看看是否有可疑任务,如果有多个/tmp下的随机名称的文件,那就是恶意程序,删除该任务
检测 /etc/rc.d/ 下的rc.local rc3.d rc5.d 目录下 是否有可疑文件,可以删除,这个是 启动项程序存放文件夹。
删除ssh秘钥文件登陆方式 ,经过对黑客的入侵痕迹分析,发现用户是使用WDCP面板的生成公钥功能,获取SSH权限的。禁止使用SSH公钥登陆
echo 0 > /root/.ssh/authorized_keys && chattr +i /root/.ssh/authorized_keys
4、联络我司开通云主机
5、查找有问题文件并替换
ls -lh /bin/ps 查看文件大小和时间,正常的是100K以内。如果是1.2M 左右的就是被替换了。(ps是LINUX下的任务管理器程序) 使用XFTP软件上传覆盖对应版本(centos5和6 的不同)的ps文件,添加执行权限chmod +x /bin/ps。 同理 上传/bin/netstat文件。
6、部分用户的WDCP密码被非法篡改了。无法使用 https://ip:8080 进行登录管理后台,可以尝试使用 https://ip:8080/phpmyadmin 登录数据库管理 重置WDCP管理员的密码,如果忘记MYSQL的ROOT密码 ,强制修改mysql的root密码 在服务器里执行 sh /www/wdlinux/tools/mysql_root_chg.sh,点击wdcpdb数据库,选择wd_member 浏览信息,选择编辑admin这一行数据的passwd字段,修改成您自己的密码。(此处密码为MD5加密的32位小写)
7、登录wdcp管理平台删除wdcp下面的非法账户
8、有条件的客户可以加强下防火墙设置关闭不必要的端口(设置只允许外网访问服务器的websshwdcpftp ,禁止服务器访问外网,禁止木马反弹连接)
9、附漏洞修复包下载地址:https://www.wdcdn.com/down/WDCP_FIX.zip
wdcp官方参考链接:https://www.wdlinux.cn/bbs/thread-37766-1-1.html
最后更新:2017-01-10 21:30:52