問:請協(xié)助檢查,已經(jīng)將www設(shè)置成只讀,但是還是被攻擊入侵寫入文件,現(xiàn)在要求清空www 恢復(fù)到 數(shù)據(jù)!
,www 已經(jīng)設(shè)置成只讀,為何還是被入侵寫入文件

答:您好,當(dāng)前已經(jīng)為您恢復(fù)了主機(jī) 空間數(shù)據(jù)備份,您可以重新核實(shí)看看,并為您檢查了一下發(fā)現(xiàn)其有一個(gè)小木馬文件已經(jīng)為您清除,暫時(shí)沒有查看到其他文件內(nèi)容異常,而您當(dāng)前可以先參考http://bingfeng168.cn/faq/list.asp?unid=814 去操作一下數(shù)據(jù)備份,然后聯(lián)系您網(wǎng)站程序員為您檢查一下程序漏洞的問題,該類掛馬根源解決就是修補(bǔ)到程序漏洞上面,如漏洞依然存在網(wǎng)站還是有可能出現(xiàn)再次被掛馬的情況,非常感謝您長期對我司的支持!

問:可是根目錄下還是有很多文件沒有刪掉,

問:麻煩把所有清空一下,5.27  應(yīng)該還沒掛這么多
我準(zhǔn)備把所有php刪掉,只保留生成的靜態(tài)

答:您好,其您截圖中的文件,就是對應(yīng)27號備份中的內(nèi)容,因不清楚您哪些文件需要保留,所以需要您自行刪除一下,非常感謝您長期對我司的支持!

問:麻煩在根目錄下,除了文件夾不刪,其余的php 或  html都刪完,我去后臺重新生成,然后我自己再刪php動態(tài)文件

答:您好,已經(jīng)為您刪除了對應(yīng)文件,請您重新核實(shí)查看,非常感謝您長期對我司的支持!

問:公安局電話說網(wǎng)站有漏洞whkeda.com,要求修復(fù)。以下內(nèi)容是公安局發(fā)布的,請幫忙查看具體需要怎么修復(fù)?接通報(bào),啟明星辰公司天玥運(yùn)維安全網(wǎng)關(guān)產(chǎn)品存在多個(gè)高危安全漏洞,上述設(shè)備存在文件讀取、SQL注入、越權(quán)查看、存儲型跨站腳本攻擊等高危安全漏洞,攻擊者在獲取管理員權(quán)限或運(yùn)維用戶權(quán)限的情況下,可利用上述漏洞,查看敏感數(shù)據(jù),實(shí)施網(wǎng)絡(luò)攻擊。受影響產(chǎn)品固件版本號為127.0.0.133。
一是迅速排查天玥運(yùn)維安全網(wǎng)關(guān)設(shè)備使用情況。
二是在確保安全的前提下,及時(shí)升級固件版本,消除安全隱患。5月16日12時(shí)啟明星辰公司將正式發(fā)布補(bǔ)丁程序,請相關(guān)單位及時(shí)聯(lián)系該公司官方客服、,獲取補(bǔ)丁程序。
三是加強(qiáng)管理員和運(yùn)維用戶賬號密碼管理,立即更改口令并定期更新。
四是全面開展隱患排查和安全加固工作,發(fā)現(xiàn)攻擊情況及時(shí)處置并報(bào)告。

問:0x01 漏洞描述        2月20日,國家信息安全漏洞共享平臺(CNVD)發(fā)布了 Tomcat文件包含漏洞(CNVD/CVE。該漏洞是由于 AJP協(xié)議存在缺陷而導(dǎo)致,攻擊者利用該漏洞可通過構(gòu)造特定參數(shù),讀取服務(wù)器下的任意文件。若目標(biāo)服務(wù)器同時(shí)存在文件上傳功能,攻擊者可進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。目前,廠商已發(fā)布新版本完成漏洞修復(fù)。        是Apache軟件基金會中的一個(gè)重要項(xiàng)目,性能穩(wěn)定且免費(fèi),是目前較為流行的Web應(yīng)用服務(wù)器。由于應(yīng)用范圍較廣,因此本次通告的漏洞影響范圍較大,請相關(guān)用戶及時(shí)采取防護(hù)措施修復(fù)此漏洞。        參考鏈接:https://www.cnvd.org.cn/webinfo/show/5415 0x02 影響范圍 ?span> 受影響版本 Tomcat Tomcat 7 < 7.0.100
Apache 8 < 8.5.51Apache 9 < 9.0.31不受影響版本 Tomcat = 7.0.100Apache = 8.5.51Apache = 9.0.31
0x03 風(fēng)險(xiǎn)提示        此文檔中的修復(fù)方案已在我們自行搭建的測試環(huán)境測試通過,但是生產(chǎn)環(huán)境較為復(fù)雜,可能與我們的測試環(huán)境存在差異。        建議您先在備份環(huán)境進(jìn)行測試,若無備份環(huán)境,請您先對重要數(shù)據(jù)(數(shù)據(jù)庫、網(wǎng)站源代碼等)進(jìn)行備份,防止修復(fù)過程造成意外故障,影響業(yè)務(wù)的正常運(yùn)行。
0x04 修復(fù)方案 4.1 漏洞復(fù)現(xiàn) 本地搭建 7.0.99服務(wù)器(服務(wù)器ip:127.0.0.1)作為漏洞復(fù)現(xiàn)環(huán)境。 漏洞利用腳本下載:https://github.com/YDHCUI/CNVDTomcat-Ajp-lfi 腳本利用命令: CNVDTomcat-Ajp-lfi.py IP -p 8009  -f 文件 目前綠盟云也開放在線平臺驗(yàn)證,驗(yàn)證地址:https://cloud.nsfocus.com/#/secwarning/secwarning_news?menu_id=urgent 在另一臺主機(jī)ip為127.0.0.1上使用此驗(yàn)證腳本,驗(yàn)證結(jié)果如下:   輸出顯示了web.xml的詳細(xì)內(nèi)容,再與服務(wù)器上web.xml文件作比較:   比較發(fā)現(xiàn)兩者內(nèi)容一致,驗(yàn)證了此漏洞腳本利用的可行性及漏洞真實(shí)存在。 4.2 漏洞修復(fù) 4.2.1 官方升級   目前官方已在最新版本中修復(fù)了該漏洞,請受影響的用戶盡快升級版本進(jìn)行防護(hù),官方下載鏈接: 版本號下載地址 Tomcat 7.0.100http://tomcat.apache.org/download-70.cgiApache 8.5.51http://tomcat.apache.org/download-80.cgiApache 9.0.31http://tomcat.apache.org/download-90.cgi 官方在最新版本中對server=demo文件做了修改,默認(rèn)注釋掉AJP協(xié)議的使用,與之后提到的方法類似:  4.2.2 禁用AJP協(xié)議端口 具體操作如下: 1. 編輯conf/server=demo文件,找到如下行:  2. 將其注釋掉,保存后重啟:   3. 漏洞復(fù)驗(yàn):利用腳本繼續(xù)訪問WEB_INF/web.xml文件,結(jié)果如下:   連接被拒絕,無法訪問web.xml文件,漏洞修復(fù)完成。 4.2.3 設(shè)置認(rèn)證憑證 若需要使用 AJP協(xié)議,可以根據(jù)使用版本配置協(xié)議屬性設(shè)置認(rèn)證憑證,方法如下: 1. 使用 7和 9的用戶可以為AJP 配置來設(shè)置AJP協(xié)議的認(rèn)證憑證。例如(必須將YOUR_SERCRT更改為一個(gè)安全性高,無法被輕易猜解的值):   2. 使用 8的用戶可為AJP 配置來設(shè)置AJP協(xié)議的認(rèn)證憑證。例如(注意必須將YOUR_SECRET更改為一個(gè)安全性高、無法被輕易猜解的值,此處便未搭建一個(gè)單獨(dú)的 8環(huán)境進(jìn)行驗(yàn)證,原理相通):< port=\”8009\”protocol=\”AJP/1.3\” redirectPort=\”8443\” address=\” \” requiredSecret=\”YOUR_SECRET\” /> 3. 7設(shè)置AJP協(xié)議認(rèn)證憑證后,測試漏洞修復(fù)結(jié)果:  響應(yīng)與禁用AJP協(xié)議端口相同,也都無法訪問文件,漏洞修復(fù)成功。 

答:您好,whkeda.com該網(wǎng)站前端是nginx,后端是iis,并沒有用到apache_tomcat環(huán)境,請核實(shí);
用您提供的網(wǎng)址檢測也不存在此漏洞,非常感謝您長期對我司的支持!

西部數(shù)碼(west.cn)是經(jīng)工信部、ICANN、CNNIC認(rèn)證審批,持有ISP、云牌照、IDC、CDN、頂級域名注冊商等全業(yè)務(wù)資質(zhì)的正規(guī)老牌服務(wù)商,自成立至今20余年專注于域名注冊、虛擬主機(jī)、云服務(wù)器、企業(yè)郵箱、企業(yè)建站等互聯(lián)網(wǎng)基礎(chǔ)服務(wù)!

截止目前,已經(jīng)為超過2000萬個(gè)域名提供了注冊、解析等服務(wù),是中國五星級域名注冊注冊商!已為超過50萬個(gè)網(wǎng)站提供了高速穩(wěn)定的云托管服務(wù),獲評中國最受用戶喜歡云主機(jī)服務(wù)商。

西部數(shù)碼提供全方位7X24H專業(yè)售后支撐,域名注冊特價(jià)1元起,高速穩(wěn)定云主機(jī)45元起,更多詳情請瀏覽西部數(shù)碼官網(wǎng):http://bingfeng168.cn/

贊(0)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享網(wǎng)絡(luò)內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-62778877-8306;郵箱:fanjiao@west.cn。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明出處:西部數(shù)碼知識庫 » www 已經(jīng)設(shè)置成只讀,為何還是被入侵寫入文件

登錄

找回密碼

注冊