问:请协助检查,已经将www设置成只读,但是还是被攻击入侵写入文件,现在要求清空www 恢复到 数据!
,www 已经设置成只读,为何还是被入侵写入文件
答:您好,当前已经为您恢复了主机 空间数据备份,您可以重新核实看看,并为您检查了一下发现其有一个小木马文件已经为您清除,暂时没有查看到其他文件内容异常,而您当前可以先参考https://www.west.cn/faq/list.asp?unid=814 去操作一下数据备份,然后联系您网站程序员为您检查一下程序漏洞的问题,该类挂马根源解决就是修补到程序漏洞上面,如漏洞依然存在网站还是有可能出现再次被挂马的情况,非常感谢您长期对我司的支持!
问:可是根目录下还是有很多文件没有删掉,
问:麻烦把所有清空一下,5.27 应该还没挂这么多
我准备把所有php删掉,只保留生成的静态
答:您好,其您截图中的文件,就是对应27号备份中的内容,因不清楚您哪些文件需要保留,所以需要您自行删除一下,非常感谢您长期对我司的支持!
问:麻烦在根目录下,除了文件夹不删,其余的php 或 html都删完,我去后台重新生成,然后我自己再删php动态文件
答:您好,已经为您删除了对应文件,请您重新核实查看,非常感谢您长期对我司的支持!
问:公安局电话说网站有漏洞whkeda.com,要求修复。以下内容是公安局发布的,请帮忙查看具体需要怎么修复?接通报,启明星辰公司天玥运维安全网关产品存在多个高危安全漏洞,上述设备存在文件读取、SQL注入、越权查看、存储型跨站脚本攻击等高危安全漏洞,攻击者在获取管理员权限或运维用户权限的情况下,可利用上述漏洞,查看敏感数据,实施网络攻击。受影响产品固件版本号为127.0.0.133。
一是迅速排查天玥运维安全网关设备使用情况。
二是在确保安全的前提下,及时升级固件版本,消除安全隐患。5月16日12时启明星辰公司将正式发布补丁程序,请相关单位及时联系该公司官方客服、,获取补丁程序。
三是加强管理员和运维用户账号密码管理,立即更改口令并定期更新。
四是全面开展隐患排查和安全加固工作,发现攻击情况及时处置并报告。
问:0x01 漏洞描述 2月20日,国家信息安全漏洞共享平台(CNVD)发布了 Tomcat文件包含漏洞(CNVD/CVE。该漏洞是由于 AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。目前,厂商已发布新版本完成漏洞修复。 是Apache软件基金会中的一个重要项目,性能稳定且免费,是目前较为流行的Web应用服务器。由于应用范围较广,因此本次通告的漏洞影响范围较大,请相关用户及时采取防护措施修复此漏洞。 参考链接:https://www.cnvd.org.cn/webinfo/show/5415 0x02 影响范围 ?span> 受影响版本 Tomcat Tomcat 7 < 7.0.100
Apache 8 < 8.5.51Apache 9 < 9.0.31不受影响版本 Tomcat = 7.0.100Apache = 8.5.51Apache = 9.0.31
0x03 风险提示 此文档中的修复方案已在我们自行搭建的测试环境测试通过,但是生产环境较为复杂,可能与我们的测试环境存在差异。 建议您先在备份环境进行测试,若无备份环境,请您先对重要数据(数据库、网站源代码等)进行备份,防止修复过程造成意外故障,影响业务的正常运行。
0x04 修复方案 4.1 漏洞复现 本地搭建 7.0.99服务器(服务器ip:127.0.0.1)作为漏洞复现环境。 漏洞利用脚本下载:https://github.com/YDHCUI/CNVDTomcat-Ajp-lfi 脚本利用命令: CNVDTomcat-Ajp-lfi.py IP -p 8009 -f 文件 目前绿盟云也开放在线平台验证,验证地址:https://cloud.nsfocus.com/#/secwarning/secwarning_news?menu_id=urgent 在另一台主机ip为127.0.0.1上使用此验证脚本,验证结果如下: 输出显示了web.xml的详细内容,再与服务器上web.xml文件作比较: 比较发现两者内容一致,验证了此漏洞脚本利用的可行性及漏洞真实存在。 4.2 漏洞修复 4.2.1 官方升级 目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接: 版本号下载地址 Tomcat 7.0.100http://tomcat.apache.org/download-70.cgiApache 8.5.51http://tomcat.apache.org/download-80.cgiApache 9.0.31http://tomcat.apache.org/download-90.cgi 官方在最新版本中对server=demo文件做了修改,默认注释掉AJP协议的使用,与之后提到的方法类似: 4.2.2 禁用AJP协议端口 具体操作如下: 1. 编辑conf/server=demo文件,找到如下行: 2. 将其注释掉,保存后重启: 3. 漏洞复验:利用脚本继续访问WEB_INF/web.xml文件,结果如下: 连接被拒绝,无法访问web.xml文件,漏洞修复完成。 4.2.3 设置认证凭证 若需要使用 AJP协议,可以根据使用版本配置协议属性设置认证凭证,方法如下: 1. 使用 7和 9的用户可以为AJP 配置来设置AJP协议的认证凭证。例如(必须将YOUR_SERCRT更改为一个安全性高,无法被轻易猜解的值): 2. 使用 8的用户可为AJP 配置来设置AJP协议的认证凭证。例如(注意必须将YOUR_SECRET更改为一个安全性高、无法被轻易猜解的值,此处便未搭建一个单独的 8环境进行验证,原理相通):< port=\”8009\”protocol=\”AJP/1.3\” redirectPort=\”8443\” address=\” \” requiredSecret=\”YOUR_SECRET\” /> 3. 7设置AJP协议认证凭证后,测试漏洞修复结果: 响应与禁用AJP协议端口相同,也都无法访问文件,漏洞修复成功。
答:您好,whkeda.com该网站前端是nginx,后端是iis,并没有用到apache_tomcat环境,请核实;
用您提供的网址检测也不存在此漏洞,非常感谢您长期对我司的支持!
西部数码(west.cn)是经工信部、ICANN、CNNIC认证审批,持有ISP、云牌照、IDC、CDN、顶级域名注册商等全业务资质的正规老牌服务商,自成立至今20余年专注于域名注册、虚拟主机、云服务器、企业邮箱、企业建站等互联网基础服务!
截止目前,已经为超过2000万个域名提供了注册、解析等服务,是中国五星级域名注册注册商!已为超过50万个网站提供了高速稳定的云托管服务,获评中国最受用户喜欢云主机服务商。
西部数码提供全方位7X24H专业售后支撑,域名注册特价1元起,高速稳定云主机45元起,更多详情请浏览西部数码官网:https://www.west.cn/
