主WEB服務(wù)器被入侵，如何提高安全性？

smilecat

freebsd 7的系統(tǒng)，學(xué)校的主服務(wù)器被掛了PHP木馬了，怎么才能找到了，通過(guò)vsftp可以提取root權(quán)限么，反正入侵者說(shuō)已經(jīng)找到了root密碼，今天趕快把ftp關(guān)了，世界實(shí)在太不安全了
還有個(gè)問(wèn)題，網(wǎng)站目錄的權(quán)限我只能設(shè)置成777，要不后臺(tái)就不能發(fā)新聞，圖片了，感覺(jué)很不安全，有什么方法可以解決了。我又不能設(shè)置成755，是后臺(tái)的缺陷么？freebsd下面有殺木馬的軟件嗎？
  
幸虧這為入侵的大哥手下留情。
各位大俠幫我看看，要不俺的飯碗都要丟了�。。。。。�

謝謝大家得踴躍回帖,給了我很大得幫助,我把剛找到得一些資料給大家看看,大家?guī)臀曳治龇治?br />
1.入侵者通過(guò)二級(jí)ASP網(wǎng)站漏洞,上傳了ASP木馬,這個(gè)我已經(jīng)找到了,發(fā)現(xiàn)asp木馬直接可以打開(kāi)可以看到登陸密碼,密碼是520,如下圖


2.入侵者通過(guò)這個(gè)asp木馬找到了原來(lái)很久前存在服務(wù)器上面綠色版得flashfxp,這是個(gè)很大得錯(cuò)誤,綠色版都是復(fù)制來(lái)復(fù)制去得,所以以前FTP的連接密碼都還在,剛好我系統(tǒng)5月?lián)Q成FREEBSD后,VSFTP又沒(méi)有配置好,用tcp_warpper沒(méi)有成功限制IP地址登陸,LINUX下成功,實(shí)在不知道為什么,所以入侵者輕松的破解了flashfxp里面的密碼,剛好有主WEB的,剛好我懶,FTP密碼都用一樣的,但是我的系統(tǒng)root密碼是跟其他密碼都不一樣的,并且我設(shè)置的非常長(zhǎng),也做到了定期更換,所以,入侵者說(shuō)通過(guò)FTP獲取了ROOT密碼,我就不太明白了
找到了入侵者得登陸記錄 ,翻了半天  
vsftpd.log

Tue Aug  5 07:38:17 2008 1 61.184.109.139 84119 /usr/home/smilecat/????PHP????????????????????.php a _ i r smilecat ftp 0 * c
Tue Aug  5 07:44:04 2008 1 61.184.109.139 84119 /usr/home/smilecat/news/123.php a _ i r smilecat ftp 0 * c
Tue Aug  5 07:46:45 2008 1 61.184.109.139 278 /usr/home/smilecat/jmxy/admin/config.php b _ o r smilecat ftp 0 * c
Tue Aug  5 07:47:27 2008 1 61.184.109.139 11866 /usr/home/smilecat/jmxy/newspost1.html b _ o r smilecat ftp 0 * c
Tue Aug  5 07:49:00 2008 1 61.184.109.139 84119 /usr/home/smilecat/jmxy/gonghui/123.php b _ i r smilecat ftp 0 * c
Tue Aug  5 07:49:27 2008 1 61.184.109.139 84119 /usr/home/smilecat/jmxy/123.php b _ i r smilecat ftp 0 * c
Tue Aug  5 07:50:35 2008 1 61.184.109.139 84129 /usr/home/smilecat/jmxy/web/smphp.php b _ o r smilecat ftp 0 * c
好像是黃石師范學(xué)院的學(xué)生,不過(guò)還好是友情測(cè)試,還應(yīng)該感謝這位同學(xué)

3.入侵者通過(guò)我用的FTP帳號(hào),剛好我懶,用的smilecat的帳號(hào),wheel組的用戶,我SSH也是這個(gè)帳號(hào),不過(guò)ssh我限制了登陸IP,上傳了php木馬,我找了半天終于找到了

被上傳了一大堆東西

我找到了那個(gè)smphp.php的文件,但是打開(kāi)只有

<?php
$admin['pass']  = "admin"; 后面還有很多好像是加密過(guò)的,
使用admin密碼進(jìn)去

PHPINFO顯示的環(huán)境變量信息!如果這里顯示不了,入侵者是不是就不知道我是用的什么操作系統(tǒng)了??


暫時(shí)獲取了這些資料,我會(huì)按照大家建議重新調(diào)整服務(wù)器的安全設(shè)置,PHP不熟悉還真是不行
現(xiàn)在已經(jīng)停掉FTP.用winscp上傳文件,關(guān)鍵是網(wǎng)站目錄777如何解決還是不太清楚,畢竟后臺(tái)發(fā)新聞和圖片得時(shí)候一定要可寫(xiě),要是網(wǎng)站能限制上傳得IP地址就好了,就是網(wǎng)站目錄是777,但是只能內(nèi)網(wǎng)用戶上傳,或者某一IP段上傳,不知道這樣能不能實(shí)現(xiàn)了??再次感謝各位大俠!!!

我考,不知道是不是那篇文章大家多看了,查看auth.log狂多掃描信息,IP有印度的,香港的,



[ 本帖最后由 smilecat 于 2008-10-8 10:36 編輯 ]

llzqq

網(wǎng)站目錄的權(quán)限我只能設(shè)置成777

一切罪惡的源泉

smilecat

版主告訴我該怎么辦啊，我也知道不該設(shè)置成777，但是我設(shè)置成其755他們后臺(tái)就不能發(fā)新聞了，急死了，給個(gè)解決的方法啊

flb_2001

你看看后臺(tái)的安裝說(shuō)明，是不是一定要設(shè)置成777��？

linyin

直覺(jué)告訴我是通過(guò)PHP注射入侵的
如果說(shuō)是ROOT密碼的話,你是不是MYSQL密碼和ROOT密碼一樣?!

smilecat

肯定不一樣啊，系統(tǒng)root跟mysql root密碼不一樣，有什么解決方法沒(méi)有，目錄777權(quán)限沒(méi)辦法啊，后臺(tái)發(fā)新聞，圖片什么的肯定會(huì)上傳到服務(wù)器上面，沒(méi)寫(xiě)的權(quán)限肯定發(fā)不了��！

lbt5210

如果全部刪除wheel組用戶``會(huì)怎么樣呢？ 會(huì)不會(huì)即使入侵成功了也不會(huì)登陸呢？ 弱智的問(wèn)下。。

feiyueheu

原帖由 lbt5210 于 2008-10-2 23:20 發(fā)表
如果全部刪除wheel組用戶``會(huì)怎么樣呢？ 會(huì)不會(huì)即使入侵成功了也不會(huì)登陸呢？ 弱智的問(wèn)下。。

這方法有點(diǎn)損。

smilecat

原帖由 lbt5210 于 2008-10-2 23:20 發(fā)表
如果全部刪除wheel組用戶``會(huì)怎么樣呢？ 會(huì)不會(huì)即使入侵成功了也不會(huì)登陸呢？ 弱智的問(wèn)下。。

那SSH肯定上不來(lái)了，不過(guò)沒(méi)什么意義啊，你不用SSH怎么管理服務(wù)器了

關(guān)鍵是網(wǎng)站目錄必須有寫(xiě)的權(quán)限，怎么解決啊，各位大俠管理WEB的時(shí)候是怎么做的了，apache建的站，這樣就被掛木馬了！如果不讓寫(xiě)，木馬怎么進(jìn)來(lái)啊
入侵者說(shuō)找到root密碼是指系統(tǒng)密碼么，難道通過(guò)vsftp可以找到root密碼，我的vsftp是用wheel組用戶登錄的，是不是很危險(xiǎn)，還是掛了PHP木馬能找出來(lái)了，搞的我把FTP都關(guān)了，幸虧SSH限制了登錄IP

qishking

馬后炮，建服務(wù)器之前都應(yīng)該做好被入侵的準(zhǔn)備