問:請協助檢查,已經將www設置成只讀,但是還是被攻擊入侵寫入文件,現在要求清空www 恢復到 數據!
,www 已經設置成只讀,為何還是被入侵寫入文件
答:您好,當前已經為您恢復了主機 空間數據備份,您可以重新核實看看,并為您檢查了一下發現其有一個小木馬文件已經為您清除,暫時沒有查看到其他文件內容異常,而您當前可以先參考http://www.shinetop.cn/faq/list.asp?unid=814 去操作一下數據備份,然后聯系您網站程序員為您檢查一下程序漏洞的問題,該類掛馬根源解決就是修補到程序漏洞上面,如漏洞依然存在網站還是有可能出現再次被掛馬的情況,非常感謝您長期對我司的支持!
問:可是根目錄下還是有很多文件沒有刪掉,
問:麻煩把所有清空一下,5.27 應該還沒掛這么多
我準備把所有php刪掉,只保留生成的靜態
答:您好,其您截圖中的文件,就是對應27號備份中的內容,因不清楚您哪些文件需要保留,所以需要您自行刪除一下,非常感謝您長期對我司的支持!
問:麻煩在根目錄下,除了文件夾不刪,其余的php 或 html都刪完,我去后臺重新生成,然后我自己再刪php動態文件
答:您好,已經為您刪除了對應文件,請您重新核實查看,非常感謝您長期對我司的支持!
問:公安局電話說網站有漏洞whkeda.com,要求修復。以下內容是公安局發布的,請幫忙查看具體需要怎么修復?接通報,啟明星辰公司天玥運維安全網關產品存在多個高危安全漏洞,上述設備存在文件讀取、SQL注入、越權查看、存儲型跨站腳本攻擊等高危安全漏洞,攻擊者在獲取管理員權限或運維用戶權限的情況下,可利用上述漏洞,查看敏感數據,實施網絡攻擊。受影響產品固件版本號為127.0.0.133。
一是迅速排查天玥運維安全網關設備使用情況。
二是在確保安全的前提下,及時升級固件版本,消除安全隱患。5月16日12時啟明星辰公司將正式發布補丁程序,請相關單位及時聯系該公司官方客服、,獲取補丁程序。
三是加強管理員和運維用戶賬號密碼管理,立即更改口令并定期更新。
四是全面開展隱患排查和安全加固工作,發現攻擊情況及時處置并報告。
問:0x01 漏洞描述 2月20日,國家信息安全漏洞共享平臺(CNVD)發布了 Tomcat文件包含漏洞(CNVD/CVE。該漏洞是由于 AJP協議存在缺陷而導致,攻擊者利用該漏洞可通過構造特定參數,讀取服務器下的任意文件。若目標服務器同時存在文件上傳功能,攻擊者可進一步實現遠程代碼執行。目前,廠商已發布新版本完成漏洞修復。 是Apache軟件基金會中的一個重要項目,性能穩定且免費,是目前較為流行的Web應用服務器。由于應用范圍較廣,因此本次通告的漏洞影響范圍較大,請相關用戶及時采取防護措施修復此漏洞。 參考鏈接:https://www.cnvd.org.cn/webinfo/show/5415 0x02 影響范圍 ?span> 受影響版本 Tomcat Tomcat 7 < 7.0.100
Apache 8 < 8.5.51Apache 9 < 9.0.31不受影響版本 Tomcat = 7.0.100Apache = 8.5.51Apache = 9.0.31
0x03 風險提示 此文檔中的修復方案已在我們自行搭建的測試環境測試通過,但是生產環境較為復雜,可能與我們的測試環境存在差異。 建議您先在備份環境進行測試,若無備份環境,請您先對重要數據(數據庫、網站源代碼等)進行備份,防止修復過程造成意外故障,影響業務的正常運行。
0x04 修復方案 4.1 漏洞復現 本地搭建 7.0.99服務器(服務器ip:127.0.0.1)作為漏洞復現環境。 漏洞利用腳本下載:https://github.com/YDHCUI/CNVDTomcat-Ajp-lfi 腳本利用命令: CNVDTomcat-Ajp-lfi.py IP -p 8009 -f 文件 目前綠盟云也開放在線平臺驗證,驗證地址:https://cloud.nsfocus.com/#/secwarning/secwarning_news?menu_id=urgent 在另一臺主機ip為127.0.0.1上使用此驗證腳本,驗證結果如下: 輸出顯示了web.xml的詳細內容,再與服務器上web.xml文件作比較: 比較發現兩者內容一致,驗證了此漏洞腳本利用的可行性及漏洞真實存在。 4.2 漏洞修復 4.2.1 官方升級 目前官方已在最新版本中修復了該漏洞,請受影響的用戶盡快升級版本進行防護,官方下載鏈接: 版本號下載地址 Tomcat 7.0.100http://tomcat.apache.org/download-70.cgiApache 8.5.51http://tomcat.apache.org/download-80.cgiApache 9.0.31http://tomcat.apache.org/download-90.cgi 官方在最新版本中對server=demo文件做了修改,默認注釋掉AJP協議的使用,與之后提到的方法類似: 4.2.2 禁用AJP協議端口 具體操作如下: 1. 編輯conf/server=demo文件,找到如下行: 2. 將其注釋掉,保存后重啟: 3. 漏洞復驗:利用腳本繼續訪問WEB_INF/web.xml文件,結果如下: 連接被拒絕,無法訪問web.xml文件,漏洞修復完成。 4.2.3 設置認證憑證 若需要使用 AJP協議,可以根據使用版本配置協議屬性設置認證憑證,方法如下: 1. 使用 7和 9的用戶可以為AJP 配置來設置AJP協議的認證憑證。例如(必須將YOUR_SERCRT更改為一個安全性高,無法被輕易猜解的值): 2. 使用 8的用戶可為AJP 配置來設置AJP協議的認證憑證。例如(注意必須將YOUR_SECRET更改為一個安全性高、無法被輕易猜解的值,此處便未搭建一個單獨的 8環境進行驗證,原理相通):< port=\”8009\”protocol=\”AJP/1.3\” redirectPort=\”8443\” address=\” \” requiredSecret=\”YOUR_SECRET\” /> 3. 7設置AJP協議認證憑證后,測試漏洞修復結果: 響應與禁用AJP協議端口相同,也都無法訪問文件,漏洞修復成功。
答:您好,whkeda.com該網站前端是nginx,后端是iis,并沒有用到apache_tomcat環境,請核實;
用您提供的網址檢測也不存在此漏洞,非常感謝您長期對我司的支持!
三五互聯(35.com)是經工信部、ICANN、CNNIC認證審批,持有ISP、云牌照、IDC、CDN、頂級域名注冊商等全業務資質的正規老牌服務商,自成立至今20余年專注于域名注冊、虛擬主機、云服務器、企業郵箱、企業建站等互聯網基礎服務!
截止目前,已經為超過2000萬個域名提供了注冊、解析等服務,是中國五星級域名注冊注冊商!已為超過50萬個網站提供了高速穩定的云托管服務,獲評中國最受用戶喜歡云主機服務商。
三五互聯提供全方位7X24H專業售后支撐,域名注冊特價1元起,高速穩定云主機45元起,更多詳情請瀏覽三五互聯官網:http://www.shinetop.cn/
