站長之家（Chinaz.com）10月30日消息 近日，發(fā)現(xiàn)了多例用戶ECS服務(wù)器被入侵事件。對此，阿里云官方表示，wdcp_v2.5.10之前的版本存在一個嚴(yán)重的安全漏洞，而入侵事件就是因為wdcp漏洞而導(dǎo)致的，建議用戶盡快升級新版本。

以下為官方公告：

親愛的阿里云ECS用戶：

您好，近期WDCP官方發(fā)現(xiàn)wdcp_v2.5.10之前的版本有一個嚴(yán)重安全漏洞，目前已經(jīng)發(fā)現(xiàn)多例因wdcp漏洞導(dǎo)致的用戶ECS服務(wù)器被入侵的事件，還可能會導(dǎo)致更多的不安全因素，為保證您的業(yè)務(wù)和應(yīng)用的安全，請廣大用戶盡快升級到比較新版本。

升級方法：           

1）直接在后臺升級就可以；

2）如果無法在后臺升級,可用如下方法 ，SSH登錄服務(wù)器 ，操作如下命令完成即可。              

wget https://down.wdlinux.cn/down/wdcp_v2.5.tar.gz                   

tar zxvf wdcp_v2.5.tar.gz -C /                  

阿里云ECS團隊   

2014年10月30日   

WDLINUX官方比較新給出的解決方案：

在wdcp 2.5.11以下的版本都會受到影響,請廣大用戶，IDC，云主機公司升級相應(yīng)的模板等

如果你的wdcp面板沒有限制后臺登錄域名，也沒有修改默認端口的，也沒有升級，很可能已被黑

對于這類情況，可能的情況下，較好重裝下系統(tǒng)

一般常規(guī)檢查

1 檢查登錄記錄，是否有其它的IP,用戶ID登錄

2 檢查數(shù)據(jù)庫用戶，是否有多出的用戶ID

3 檢查是否有被上傳的文件

4 登錄SSH檢查是否有異常的進程，以及是否有ip32.rar,ip64,rar這類文件(目前發(fā)現(xiàn)，這是黑客上傳執(zhí)行程序)

查殺流程如下：

部分WDCP用戶的服務(wù)器沒有修改默認的WDCP管理地址，沒有及時更新，導(dǎo)致被黑客入侵。由于WDCP的穩(wěn)定和方便，很多朋友使用WDCP創(chuàng)建了很多站點，甚至在淘寶賣起了虛擬主機。

自WDCP九月份爆出漏洞一來，有部分客戶被入侵，被惡意發(fā)包，讓IDC機房煩惱不已，阿里云 騰訊云 先后發(fā)布安全預(yù)警，提醒用戶升級，檢查系統(tǒng)安全。

WDCP被入侵后，對系統(tǒng)造成了一定危害，如果直接重裝系統(tǒng)，涉及到程序數(shù)據(jù)的遷移，是很浩大的工程。

鑒于此，WDCP技術(shù)團隊對黑客入侵手法和痕跡的分析，整理出以下WDCP專殺修復(fù)腳本，經(jīng)過測試，可以保證服務(wù)器正常運行。

1 如果SSH可以正常登錄系統(tǒng)的，跳過此步驟。SSH無法登陸服務(wù)器，密碼被惡意修改的，可以在引導(dǎo)系統(tǒng)時，編輯啟動項加入single 單用戶模式。通過passwd命令 重置密碼。 參考連接 https://jingyan.baidu.com/article/acf728fd1de7ebf8e510a3cb.html

2 ls -lh /bin/ps   查看文件大小和時間，正常的是100K以內(nèi)。如果是1.2M 左右的就是被替換了。(ps是LINUX下的任務(wù)管理器程序)

使用XFTP軟件上傳覆蓋對應(yīng)版本(centos5和6 的不同)的ps 文件 WDCP漏洞修復(fù)下載，添加執(zhí)行權(quán)限chmod +x /bin/ps。 同理 上傳/bin/netstat文件  。

3 a.去除惡意文件的執(zhí)行權(quán)限

• chmod 000 /tmp/gates.lod   /tmp/moni.lod    
• service sendmail stop
• chkconfig --level 345 sendmail off
• chmod -x  /usr/sbin/sendmail
• chmod -R 000 /root/*rar*
• chattr -i /root/conf.n
• chmod -R 000 /root/conf.n*

b.關(guān)閉惡意進程

ps auxww 查看當(dāng)前系統(tǒng)進程  查找惡意進程 一般是*.rar 或者使用CPU較高的

kill -9 進程ID

killall 進程名  比如256.rar  proxy.rar 等

c. 查看任務(wù)計劃

crontab -e  看看是否有可疑任務(wù)，如果有多個/tmp下的隨機名稱的文件，那就是惡意程序，刪除該任務(wù)

d.檢測 /etc/rc.d/ 下的rc.local    rc3.d   rc5.d  目錄下 是否有可疑文件，可以刪除，這個是 啟動項程序存放文件夾。

4 修改SSH端口，黑客是腳本實現(xiàn)的批量入侵，修改默認端口，可以有效避免入侵。

vi /etc/ssh/sshd_config 里的  #Port 22 為 Port 40822

重啟SSHD服務(wù) service sshd restart

5 部分用戶的WDCP密碼被非法篡改了。無法使用 https://ip:8080 進行登錄管理后臺

可以嘗試使用 https://ip:8080/phpmyadmin 登錄數(shù)據(jù)庫管理  重置WDCP管理員的密碼

如果忘記MYSQL的ROOT密碼 ，強制修改mysql的root密碼 在服務(wù)器里執(zhí)行 sh /www/wdlinux/tools/mysql_root_chg.sh

點擊wdcpdb數(shù)據(jù)庫,選擇wd_member 瀏覽信息，選擇編輯admin這一行數(shù)據(jù)的passwd字段，

修改為 fc76c4a86c56becc717a88f651264622  即修改admin用戶的密碼為 123@abc

此時可以登陸WDCP管理界面了。刪除其他管理員用戶 一般為 test2，

登陸后還需要修改WDCP的默認8080端口，設(shè)置為40880 并在防火墻里允許該端口。

6 刪除ssh秘鑰文件登陸方式 ，經(jīng)過對黑客的入侵痕跡分析，發(fā)現(xiàn)用戶是使用WDCP面板的生成公鑰功能，獲取SSH權(quán)限的。禁止使用SSH公鑰登陸  

echo 0 > /root/.ssh/authorized_keys && chattr +i  /root/.ssh/authorized_keys

7  設(shè)置防火墻規(guī)則 最后再設(shè)置防火墻規(guī)則，因為WDCP自帶的規(guī)則設(shè)置不完善，推薦手工編輯配置文件。

設(shè)置 只允許外網(wǎng)訪問 服務(wù)器的80(web) 40822(ssh) 40880(wdcp) ftp(20000-20500)  ,禁止服務(wù)器訪問外網(wǎng)，禁止木馬反彈連接。

如果您有固定IP 可以設(shè)置只允許您自己的IP 訪問. -s 指定來源IP

比如 -A INPUT -s 183.195.120.18/32  -m state --state NEW -p tcp --dport 40822 -j ACCEPT

編輯防火墻規(guī)則  vi /etc/sysconfig/iptables

重啟防火墻 service iptables restart   

查看當(dāng)前規(guī)則 service iptables status

下面是已經(jīng)編輯好的規(guī)則，如果您設(shè)置的端口 和 上面的一樣，下面的規(guī)則可以直接采用。

• # Generated by WDCP_FIX
• *filter
• :INPUT ACCEPT [0:0]
• :BLOCK - [0:0]
• -A INPUT -i lo -j ACCEPT
• #-A INPUT -s 183.195.120.18/32 YOUR IP  -j ACCEPT
• #-A INPUT -s 192.168.0.0/16 -p udp --dport 161 -j ACCEPT
• -A INPUT -j BLOCK
• -A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT
• -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
• -A INPUT -m state --state NEW -p tcp --dport 40822 -j ACCEPT
• -A INPUT -m state --state NEW -p tcp --dport 40880 -j ACCEPT
• -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
• #-A INPUT -m state --state NEW -p tcp -m multiport --dports 21,20000:20500 -j ACCEPT
• #-A INPUT -s YOUR_IP -m state --state NEW -p tcp --dport 8080 -j ACCEPT
• #-A INPUT -s 8.8.8.8 -m state --state NEW -p tcp --dport 8080 -j ACCEPT
• -A INPUT -j REJECT --reject-with icmp-port-unreachable
• -A OUTPUT -o lo -j ACCEPT
• -A OUTPUT -d 8.8.8.8 -j ACCEPT
• -A OUTPUT -d 8.8.4.4 -j ACCEPT
• #-A OUTPUT -d  183.195.120.18/32  -j ACCEPT
• -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
• #-A OUTPUT -m state --state NEW -p tcp --sport 20 -j ACCEPT
• #-A OUTPUT -m state --state NEW -p tcp -m multiport --dports 22,25,443,465 -j ACCEPT
• -A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
• #-A OUTPUT -m state --state NEW -p tcp --dport 80 -m hashlimit --hashlimit 5/sec --hashlimit-mode dstip --hashlimit-name out_http -j ACCEPT
• -A OUTPUT -j REJECT --reject-with icmp-port-unreachable
• COMMIT
• # Generated by WDCP_FIX.

（舉報）