数码之家

标题: 我和“网渣”的一场智斗（记一次网站防护） [打印本页]

作者: pop-q 时间: 2019-6-2 10:28
标题: 我和“网渣”的一场智斗（记一次网站防护）
本帖最后由 pop-q 于 2019-6-2 10:43 编辑

我在阿里云上有个网站，虽然没什么访问量，但是一直稳稳地。直到今年4月份，频繁收到阿里云的短信和邮件通知，看内容还挺严重的：
[attach]222629[/attach]
这个截图是最后一次阿里的邮件提示，到今天发帖来看，说明我的拦截还是有了效果的，具体的接下来说。

刚开始看到阿里云的提醒，以为哪个网友胡乱发了一些黄色的内容，就没当回事，反正被屏蔽的链接也点不开。后来，看着提醒越来越多，真怕万一被阿里云停站，就开始搜索这个提醒是咋回事，搜索到的答案基本可以明确是：被挂马了！一百度，果不其然，（心中万念：草泥马）

[attach]222665[/attach]
再打开阿里云的安全中心看看，好嘛，我就是一个被痛宰得肉鸡:mad:
[attach]222667[/attach]

一般来说，这种攻击其实都是利用网站的一些漏洞，并不是拿到了站长的口令，阿里的安骑士给出了可能的漏洞，当时急着处理问题，漏洞就没做截图了，站长们有情况的可以自行检查。简要的记录一下这次处理的步骤，一是为了自己得瑟，二是方便以后站长们处理类似情况。
1、虽然阿里云给了漏洞的提示，但是基础版是没有修复的功能的，那得升级交钱才有的待遇；不过校验漏洞是免费的，也挺好了。
漏洞主要是针对PHP、Apache、Centos内核和建站平台的，PHP、Apache和kernel的升级好办，yum update 就行，建站平台咱们多数用开源的，也是漏洞问题最突出的地方，这次就发现了针对dede、opencms、phpcms的漏洞，似乎升级版本也未必能有效。好在这几个我都不用:lol:，dede我安装过，目录没删除干净，阿里还是提醒了漏洞，这个就直接删除了吧。
2、再用安骑士检查不出漏洞了，到百度站长平台上投诉，把那些网渣的快照复制粘贴到投诉中，要求百度删除快照（链接：https://help.baidu.com/newadd?prod_id=1&category=1）。
[attach]222676[/attach]
提交后，会收到百度的处理恢复，有的很快就会清除，有的要重复多次才会，一般隔天再看，没清除掉的再投诉。
[attach]222691[/attach]
3、FTP连接上服务器，检查一下文件，这里有个技巧，看文件的日期，注意红框中的对比下，正常的文件（index.htm）日期是建站的日期，被挂马的脚本日期都比较近一些。
这些日期比较新的统统删除了。还有个问题就是文件的权限，没特殊要求的一律0555.
[attach]222766[/attach]
4、问题基本上解决了，不过自从漏洞都堵上后，安全中心每天都报告一两百次被攻击的提醒。
[attach]222794[/attach]
阿里云的后台系统是Centos，这个系统自带的有iptables防火墙，配置一下看看什么情况：
[attach]222807[/attach]
iptables性能还可以的，针对攻击的关键字做了drop处理，单独有日志记录
[attach]222811[/attach]
红框根据攻击特点做了记录，都是针对漏洞的，还有针对mysql的。
每天被网渣无休止的骚扰实在不胜其烦，做了个脚本用iptables+ipset自动屏蔽嫌疑ip，日志效果：
[attach]222820[/attach]
再看看今天的安全中心被攻击情况：
[attach]222795[/attach] [attach]222868[/attach]
阿里云的安全提示次数明显减少，对比一下我的日志，我自己的拦截次数明显比安全中心的更多，效果也更加显著一些。

做个总结吧：
1、空间商要选大牌的，香港的什么免备案的我也用过，很不靠谱；
2、漏洞一定不要丢着，看看我的日志，网渣们的攻击撑起我的访问量（也不知道他们是不是不甘心）；
3、针对性的防火墙策略，针对攻击（其实是试探）特点做屏蔽。
4、文件权限不能胡乱的0777，install和update那些用过了就赶紧删除。
5、一定要鄙视那些“网渣”，很认真的那种鄙视。

作者: 行走时光 时间: 2019-6-2 14:37
介个~挺有技术含量哈

作者: erik0 时间: 2019-6-2 14:50
先mark一下，万一以后有个网站呢

作者: yuren777 时间: 2019-6-2 16:23
要不怎么对得起“网渣”的称呼~

作者: 感动常在骚尼 时间: 2019-6-3 00:19
本帖最后由感动常在骚尼于 2019-6-3 00:21 编辑

还好我网站倒闭了好几年,只剩一个网页不怕种马,机智:lol:

作者: cctvtstv 时间: 2019-6-3 10:31
我是用的ecs 2008 r2 系统被阿里云的电话打的烦了，就是全部拉黑了。赶紧上阿里云看看有没有漏洞。

作者: snaker 时间: 2019-6-3 11:12
百度云的也是一天几百次破解[attach]224981[/attach]

[attach]224982[/attach]

作者: pop-q 时间: 2019-6-3 17:38

snaker 发表于 2019-6-3 11:12
百度云的也是一天几百次破解

你那些居然爆破ssh密码，我的ssh限制了访问ip，非法ip门都没有

作者: pop-q 时间: 2019-6-3 17:39

cctvtstv 发表于 2019-6-3 10:31
我是用的ecs 2008 r2 系统被阿里云的电话打的烦了，就是全部拉黑了。赶紧上阿里云看看有没有漏洞。 ...

:lol:掩耳盗铃

作者: mcdasy 时间: 2019-6-3 18:47
漏洞修复了就好

作者: isvip 时间: 2019-6-3 18:47
请教如果是程序代码有漏洞一般如何去判断问题出自哪里？谢谢。

作者: 虐待叔叔 时间: 2019-6-3 19:15
本帖最后由虐待叔叔于 2019-6-3 19:32 编辑

snaker 发表于 2019-6-3 11:12
百度云的也是一天几百次破解

为毛不用密钥？并禁止KEY登陆？

Apache这种东西换掉还能提高并发……
Centos的老旧内核我真是说不出话来
还不如用opensuse Leap……
顺便一提我自己的站用opensuse滚动发行版Tumbleweed搞了也有两年了
然而并没有因为访问或者其他的挂掉过
MYSQL？TiDB了解一下

作者: 虐待叔叔 时间: 2019-6-3 19:23

cctvtstv 发表于 2019-6-3 10:31
我是用的ecs 2008 r2 系统被阿里云的电话打的烦了，就是全部拉黑了。赶紧上阿里云看看有没有漏洞。 ...

2008就算了
漏洞堵了也没用
反正是盗版

作者: 虐待叔叔 时间: 2019-6-3 19:40

isvip 发表于 2019-6-3 18:47
请教如果是程序代码有漏洞一般如何去判断问题出自哪里？谢谢。

up补丁就完事了
安全补丁一般能解决一切问题

作者: isvip 时间: 2019-6-3 20:14

虐待叔叔发表于 2019-6-3 19:40
up补丁就完事了
安全补丁一般能解决一切问题

谢谢答复。程序有更新维护那最好，我想问的是如果用的是停维的或者是第三方团队开发买断版权的那种，后期如何做漏洞更新和程序修补工作呢？

作者: junyee 时间: 2019-6-3 20:51
我也是用 cron + 脚本封睹一些干坏事的IP...
效果看得见.

作者: 虐待叔叔 时间: 2019-6-4 00:02

isvip 发表于 2019-6-3 20:14
谢谢答复。程序有更新维护那最好，我想问的是如果用的是停维的或者是第三方团队开发买断版权的那种，后期 ...

能别用最好别用
有技术支持最好找技术支持
比如你只是搭网站
一个大众且积极维护的开源项目比如用于建设论坛的Discourse！或者资讯站的WordPress之类就算有漏洞一两天内也会响应
然后出补丁
update就完事了
如果是那种没几个人用商业的维护不积极的
老实说linux上很少
win上多
那就只能自求多福
毕竟甚至在用SQL2003

作者: snaker 时间: 2019-6-4 08:12

pop-q 发表于 2019-6-3 17:38
你那些居然爆破ssh密码，我的ssh限制了访问ip，非法ip门都没有

有时候回用手机连接ssh，ip不固定。而且没用ftp，用scp上传下载文件，密码登陆也没禁

作者: snaker 时间: 2019-6-4 08:17

虐待叔叔发表于 2019-6-3 19:15
为毛不用密钥？并禁止KEY登陆？

Apache这种东西换掉还能提高并发……

用密钥了，没有禁key，偶尔用scp上传下载文件
系统是ubuntu+apache2+php+mysql，
只会用ubuntu和apache2

作者: pop-q 时间: 2019-6-4 10:04
本帖最后由 pop-q 于 2019-6-4 10:08 编辑

isvip 发表于 2019-6-3 18:47
请教如果是程序代码有漏洞一般如何去判断问题出自哪里？谢谢。

他山之石可以攻玉，一般常见的漏洞，云平台都会有提示，修复方法可以搜索。如果是代码有问题，比如discuz的管理后台可以直接访问的问题，可以修改admin.php的代码，先通过首页的用户验证再跳转到后台管理。只是举个例子，问题不同，方法也不同。

作者: pop-q 时间: 2019-6-4 10:05

snaker 发表于 2019-6-4 08:12
有时候回用手机连接ssh，ip不固定。而且没用ftp，用scp上传下载文件，密码登陆也没禁 ...

我的手机vpn到单位，然后再ssh

作者: 草莽剑客 时间: 2019-6-4 11:20
能网上攻击的就不是网渣。是比网渣更高级的网高。

作者: pop-q 时间: 2019-6-4 15:35

草莽剑客发表于 2019-6-4 11:20
能网上攻击的就不是网渣。是比网渣更高级的网高。

:titter: 干坏事的就是坏人，知识再多，也是坏人

作者: 铁皮屋 时间: 2019-6-6 14:18
先mark一下，万一以后有个网站呢

作者: litenglai 时间: 2019-6-6 23:41
你这个网站是干嘛用的，怎么会被那些人盯上？

作者: pop-q 时间: 2019-6-7 18:18

litenglai 发表于 2019-6-6 23:41
你这个网站是干嘛用的，怎么会被那些人盯上？

那些个网渣发布的都是赌博的内容，不管是国外还是国内站一定被封。

利用国内网站的漏洞，可以在百度这些搜索引擎的爬虫采集时候替换一些内容，这样就利用你的网站热度，发了他的垃圾广告。

通常在夜间爬虫采集后，又还原成你原来的文件，这样的操作很隐蔽，不是经常收到阿里的提醒我到今天也不会知道。

作者: icec 时间: 2019-6-9 09:28

草莽剑客发表于 2019-6-4 11:20
能网上攻击的就不是网渣。是比网渣更高级的网高。

没毛病啊，路线错误，知识越多越反动

作者: bxh111 时间: 2019-6-11 08:40

pop-q 发表于 2019-6-4 10:05
我的手机vpn到单位，然后再ssh

我也是这样。

欢迎光临数码之家 (https://www.mydigit.cn/)