攻击服务器CentOs

时间:2017-05-18 11:42:50

标签: security cpanel code-injection centos7

我检查了/ etc / logs / error_log并发现:

第一步: 通过acunetix.com进行漏洞测试

{[Tue May 16 14:23:39.954825 2017] [ssl:error] [pid 24692:tid 140230707291904] AH02032:通过SNI提供的主机名domaine.com和通过HTTP提供的主机名www.acunetix.wvs没有兼容的SSL设置}

和以下几行: 

[Tue May 16 14:39:20.961494 2017] [core:error] [pid 24787:tid 140230858360576] [client 105.155.95.29:8493] AH00126: Invalid URI in request GET /../../../../../../../../../../etc/passwd/reset HTTP/1.1, referer: https://domaine.com/

第二步: 已从联系表单(未整合recaptcha)发送200封邮件与示例:

Nom: %2fetc%2fpasswd / Email: sample@email.tst / Message: 20
Nom: vdpaafxb / Email: sample@email.tst / Message: W49ztm2m';select pg_sleep(12); --

第三步: 我收到了4份报告:

server.xxx上的

1 - lfd:检测到系统完整性检查

modified system file
/usr/bin/ghostscript: FAILED
/usr/bin/gs: FAILED
/bin/ghostscript: FAILED
/bin/gs: FAILED
server.xxx上的

2 - lfd:高5分钟加载平均警报 - 6.11 

Time:                    Tue May 16 14:42:17 2017 +0100
1 Min Load Avg:          8.46
5 Min Load Avg:          6.11
15 Min Load Avg:         3.19
Running/Total Processes: 11/358
With 4 files
PS.txt  vmstat.txt  netstat.txt  apachstatus.html
server.xxx上的

3 - lfd:域名的LOCALRELAY警告

Time:  Tue May 16 14:52:14 2017 +0100
Type:  LOCALRELAY, Local Account - domaine
Count: 101 emails relayed
Blocked: No
Sample of the first 10 emails:
server.xxx上的

4 - lfd:

的脚本警报 
'/home/domaine/public_html/domaine/public'
Time:  Tue May 16 14:52:14 2017 +0100
Path:  '/home/domaine/public_html/domaine/public'
Count: 101 emails sent
Sample of the first 10 emails:
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:34 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:35 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:35 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:35 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
2017-05-16 14:51:35 cwd=/home/domaine/public_html/domaine/public 3 args: /usr/sbin/sendmail -t -i
Possible Scripts:

最后一次在cpanel更新后的同一天发送 

lfd on server.xxx: System Integrity checking detected a modified system file
Time:     Thu May 18 00:50:21 2017 +0100

以下文件列表已失败md5sum比较测试。这意味着文件已经以某种方式更改。这可能是操作系统更新或应用程序升级的结果。如果更改是意外的,则应进行调查:

/usr/bin/ab: FAILED
/usr/bin/htdbm: FAILED
/usr/bin/htdigest: FAILED
/usr/bin/htpasswd: FAILED
/usr/bin/httxt2dbm: FAILED
/usr/bin/logresolve: FAILED
/usr/sbin/fcgistarter: FAILED
/usr/sbin/htcacheclean: FAILED
/usr/sbin/httpd: FAILED
/usr/sbin/rotatelogs: FAILED
/usr/sbin/suexec: FAILED
/bin/ab: FAILED
/bin/htdbm: FAILED
/bin/htdigest: FAILED
/bin/htpasswd: FAILED
/bin/httxt2dbm: FAILED
/bin/logresolve: FAILED
/sbin/fcgistarter: FAILED
/sbin/htcacheclean: FAILED
/sbin/httpd: FAILED
/sbin/rotatelogs: FAILED
/sbin/suexec: FAILED
/usr/local/bin/passwd: FAILED

知道攻击的WS是用php框架开发的:Laravel 5.2 不知道发生了什么或如何知道服务器是否可以访问,攻击者可以随时随地做任何事情...... 请建议

1 个答案:

答案 0 :(得分:0)

您应该使用恶意软件扫描程序扫描您的主文件夹 / home / domaine / public_html / 。一种选择是来自RXFN的maldet。另一种选择是ISPProtect,它允许您进行初始免费扫描(之后,它需要许可)。您也可以使用Sucuri的在线扫描仪https://sitecheck.sucuri.net/

通过网络扫描您的网站

我很确定您的cPanel帐户中有一些恶意文件,因此攻击者可以发送电子邮件。

在cPanel更新后获取这些通知是正常的。在更新期间会替换某些文件,因此与旧文件相比,新文件将具有不同的md5哈希值。 CSF会看到并向您发送通知。

LFD脚本警报告诉您电子邮件是从该cpanel用户的帐户发送的(很可能是垃圾邮件)。由于它们是使用恶意脚本并使用php mail()函数发送的,因此您可以手动禁用该帐户的mail()函数,以确保在找到受感染的文件之前不再发送邮件。您还可以安装ConfigServer Mail Manage WHM插件(它是免费的),这样您就可以为该帐户的外发电子邮件设置限制。将限制设置为1封电子邮件以防止垃圾邮件发送。

很难说攻击者利用了哪些安全漏洞,但首先您必须扫描您的帐户并查找恶意文件。然后你可以分析日志,看看这个人是怎么进来的。

相关问题
最新问题