服务器大神来支招，网站被挂马！

一般都是网站存在漏洞

检查所有 UGC，特别是能上传文件的地方

@liyvhg 主要是不懂 linux，你说的是检测我 web 程序的上传文件的代码吗？

很简单
1，可写的目录，不给执行和访问权限
2，代码做版本管理，一行命令列出来新增和修改的问题，批量清除

网站肯定有漏洞 建议升级

@vus520 1，可写的目录，不给执行和访问权限 （是不是我自己的程序 也没有可写的权限了？）
2，代码做版本管理，一行命令列出来新增和修改的问题，批量清除 （我觉得我 web 代码没有被修改，应该是 linux 系统被植入后门了）

网站帝国 CMS 系统，业界公认的很安全。我知道肯定是哪里有问题了，我现在想知道 怎么查找到问题点。

帝国 CMS 系统，业界公认的很安全

…………

啥业界？

@jarlyyn 站长界 ，开源 CMS 业界。

@ningcool 只要开源了就没有公认安全这个说法

@ningcool

开源 cms 业界都快 wordpress 一家独大了，还会去公认帝国 cms 么？

看来我孤陋寡闻了……

还有最好还是尽量少觉得。

从一楼开始都在和你说是网站问题。

很简单，如果 linux 系统被植入后门了，还需 evel 去执行 php 代码吗……

会放一个 eval 脚本的，最高级也就是 ftp 密码被泄漏了吧……

帝国早 GG 了兄弟..
推荐你看看权限 除了穿图的目录 其余的都别给权限

被挂一句话木马八成是网站 /CMS 有上传漏洞。

帝国 CMS 确实业界公认最安全…白帽子界。

@jarlyyn 谢谢点播，不过 cms 中确实是帝国 CMS 最安全，wordpress 虽然流行，虽然独大， 但是安全性不如帝国吧。

楼主说的业界早就不属于这个时代了

@Light3 帝国早 GG 此话怎么说？ 难道有更好的替代品？

@ningcool 你咋就认帝国呢？
wordpress 这么多年一直在更新，为啥你会觉得安全性不如帝国

@ningcool

随便了，不和你讨论安全的问题了。

如果是最简单的木马，看看那些生成的文件是什么用户的。

如果是 apache 用户的(www-data 或者 apache)

那就本就是网站问题了。

记录一下 HTTP 请求的内容，然后分析一下日志就知道了

@jarlyyn 啊！ 我居然忘记看生成文件的用户了 ，没注意 www 还是 apache，还是 root，就给我删了。。

@ningcool

另外一个简单的处理方法，不能根治，但能简单的起点防护作用。

你需要禁止 index.php 或者其他你需要的 php 之外的 php 文件的访问。

在 apache 或者 nginx 配置文件里把其他 php 文件的访问都 deny 掉，能防止简单的木马文件被执行。

最简单的是去 web 日志搜索这个文件名，然后看前一个时间这个 IP 的日志都访问了啥，大概知道用什么方法进来了

看楼主意思，不止 1 个？那是被日穿了啊
除了上面说的文件权限，php 开安全模式，disable_functions 设置下，危险的函数都禁掉，装插件把 eval 禁掉
还有代码里各种上传点，有没有做类型检查，有没有写文件的点等等等等……

http://www.jianshu.com/p/44fe3ec5b704
网站目录权限加固

一些目录下生成。。。。这个，查询服务器的访问日志，看看能不能找到蛛丝马迹

装个安全狗或者 360 主机卫士把，然后检查一下所有可能上传文件的地方看看是不是有什么上传漏洞

都散了吧，楼主对帝国 cms 有盲目自信，这么安全怎么可能会被挂马呢，肯定是幻觉，都散了吧

小白问一下，linux 上 web 开放了上传了文件的功能，怎么会被攻击，文件能自动执行？

@rootx 大佬我读书少你可不要骗我

现在的 CMS 就没有安全的，要认真做站，还是自己开发吧

要不 access.log 日志发下？

不是自己写的程序，谁敢保证安全

还特么业界……都是吹出来的业界吧

不要随便就把业界代表了吧

@springmarker #30 可以找文件包含的地方，也可以尝试解析漏洞。

把网站部署到 Docker 里，只绑定一个端口到服务器。Wordpress 的话，mysql 也可以放进去。

扫描下是否有 webshell，有的话，服务器做安全没什么用

..手残去 Google 了一下～最安全的～"帝国 CMS"
....我是穿越回了小时候吗？！ 这官网怎么有股"天空软件站"的味道。。。
.....这东西最后一次更新是 2015 年阿～ 2015 年阿～ 2015 年阿～ 2015 年阿～

帝国系统很傻逼好吗，漏洞很多的，挂木马的话，最好重装系统

对用户负责点吧 请个运维很难？

带哥，花钱买 windows server 吧，linux 真的没意思。。cms 就用 wordpress 吧，没毛病。

帝国 CMS 安全？
哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈

检查下 cron.d

帝国 CMS 业界安全？？？想笑了~

回到了清朝

对帝国蜜汁自信…… 23333

@Silicon 我老了吗，带哥什么意思！

@tempdban Wordpress 不太适合做 CMS，性能不好

@test99 漏洞原因并非是 CMS 的问题啊，可能是我的目录权限什么的都是 777.。。。。

写个程序 遍历全部文件，并查找 特殊关键字

@nVic 不都是 linux 性能好一些吗？

业界最安全 6666666

@ningcool 你 777 也要有漏洞才能写进去啊。

我用帝国 cms 的时候好像还是 2012 年.已经不是这个时代的产品了.

http://www.phome.net/
这个网站？

网站有上传漏洞，帝国 CMS 已经不是这个时代的产物了。如果楼主继续用帝国建议换到 Windows server。你应该不太适合用 Linux，用 Windows 你还能傻瓜式用些软件去查下漏洞，Windows server 性能不差。

@AlisaDestiny 哈哈哈 是的！

@ningcool 做 cache，再不行直接全静态，腾讯 n 多博客都是 wordpress，要是性能有大问题早就弃用了。


@H3x 这个漏洞需要后台密码。难道我的后台密码泄漏了？

@wooyuntest 具体怎么拿到 shell 的？

开先看文件修改时间，再看服务器访问日志，在日志里搜索相关文件名看它是怎么执行的，帝国 CMS 在国产 CMS 里算是比较安全的，虽然说现在不更新了。

同 33 楼 发出访问日志 木马文件生成日期前后的部分
这种 cms 漏洞一大堆
一般是：
看 cms 版本，查漏洞，有漏洞，over ；没漏洞，下载来源代码，自己挖。要是没什么深仇大恨，没人会闲着没事挖你程序的漏洞

楼上也别瞎推荐 Windows Server 了。连 Linux 都搞不定，你让他去搞 Windows ？

帝国 CMS 让我联想到国内那些屎一样的程序和程序员

lz 有点顽固啊，听不进大家的意见。

@coolypf 主要是楼主那句 **业界公认**

@LioMore 你对帝国 CMS 为啥这么有偏见呢 哈哈！ 用过的人都觉得好！

日志放着干什么吃的，看看文件生成时间附近的日志

楼主能不能把贵站地址报出来

@surfire91 然后分享一下，大家用来做图床。。。

我怎么感觉楼上一堆傻逼，楼主你 ecms 用的什么版本的？还有各位为什么不可能是 Linux 服务器的问题呢？

@ningcool 用过的人都觉得好？保重

先看一下开放的端口
是不是有 redis
mysql 是不是有弱密码
再看看进程和计划任务

@anyclue

因为放这种木马就是为了得到系统的控制权。

窗被小偷锯了，一般不会去怀疑是不是小偷用钥匙开了门从里面锯的。

@anyclue
有啥不可能的？当然有可能是 Linux 服务器的问题。
但是槽点不是楼主觉得帝国 CMS 不可能有问题吗？

@ningcool 帝国 cms 也就国内用的多，出了国门基本没人用，wordpress 已经是世界第一大开源 cms 了，举个最简单的例子，wordpress 自身的漏洞是可以拿到 CVE 编号的，帝国的漏洞不可能拿到，原因就是影响力，你的眼界只局限在国内站长圈子当然觉得帝国好了，在我们这些做安全的人眼里，帝国和 wordpress 不是一个量级上的东西，不可相提并论。
对于漏洞，个人觉得应该是帝国自身或是插件的问题导致被上了 shell，漏洞不修补，这些 shell 也就是发几个 http 包的事情，我个人觉得，服务器有没有被提权先不表，肯定是有一个守护式进程一样的东西，要么在你服务器里面（类似于定时任务自动写入），要么在对方攻击机（对方定时过来发个包）那边，建议先自查 http 日志，看下什么时候谁访问了这个 php shell，记录 IP，给 ban 掉，日志的上下文有没有其他看起来比较可疑的访问请求，跟着访问一次，模拟一下当时的过程，如果有的话最好抓包，有流量就可以复现攻击过程，一点一点查，总会找到源头的

@jarlyyn #78 有道理

@surfire91 #79 槽点？说这些有屁用，光会冷嘲热讽的一帮人

还好用的是 wordpress

@anyclue 确实是冷嘲热讽
问题是楼主也不多给点信息想帮都帮不了啊

@anyclue

这和冷嘲热讽有什么关系？

大部分人一开都告诉他最有可能是网站的问题。

结果楼主却所这个 cms 很安全，不会是 cms 的问题啊

注意查看 日志文件

last
/var/log/*

1、数据库更改账户密码
2、系统更改账户密码
3、尽量更改下远程登陆账户密码 linux 启动证书登陆
4、针对程序进行漏洞修复。
如果不知道怎么修复
1、查看程序是什么写的，然后更新成最新版
2、启用网站访问日志、观察是从哪里上传上来的

服务器安全性配置

参考 26 楼的 url

看日志，先确定这个人怎么进来的，然后在考虑怎么修复！

@yw9381 谢谢你详细的回复，日志我查了，可疑地是最近几天居然没有日志，其他日期都有。。。

@ningcool 估计日志都删除了，防止你查到被黑的原因。

@zqjilove 如果有权限删日志，说明已经提权，已经不需要依赖网马了吧。

帝国 cms 0day 漫天飞

php.ini 中禁用 exec 等指令即可

但是这个治标不治本

关键要找出注入点

@husky 被日穿了啊看到这里一种老家的家乡话气息扑面而来，应该也是北方的吧

@ningcool 不存在的，linux 在大多数情况下都只能跟上 iis 性能，安全性上更是远远比不上。

@nVic Linux vs IIS 性能 ? 不要骗我没读过书

l z 把站发上来吧 说不定有小伙伴可以帮你重现

运维人员来给你几个建议
国内 CMS 基本上都是漏洞百出,为啥呢,因为都是各种中小站用的多,还有各种小软件商,揽了活就用现成的改改去掉 copyright 就糊弄了
那自然研究攻击的人也多.
加上水平确实比较低,所谓的维护绝对不会有架构上的变动,都是一层盖一层的打补丁,在我看来是挺"丑"和粗糙的
作为 IDC 运维我其实很不喜欢这样的客户,非常加重我们运维负担
国内的 IDC 商的主机,也是常年不更新,大部分还是 PHP 5.4/5.5,甚至一些还是 5.2
也倒是"相辅相成"
所以这一块市场其实很大,v2 的大佬一向轮子都要自己造,肯定看不上"草根"这些了

下面具体分析
首先生成 php 脚本,的确不太可能是从系统入手的攻击,因为拿到你的肉鸡,对于大部分攻击者来说,主要用途就是 2 个,第一个变成他可以控制的代理,作为跳板来去控制更多,以及直接利用你的发动 DDOS,大部分都是批量攻击,手法也粗糙,随便系统日志看看,或者你的 IDC 商也会警告你的网络流量异常,你没提到这个,说明至少暂时没有用.
那么第二个用途就是把你的网站插入各种推广,小尾巴之类,这样你花掉推广的钱和力气,他都可以渔翁得利
我猜你一开始也是发现自己页面变了,被插入各种垃圾广告,甚至网站都被百度 360 腾讯列为不安全网站才发现异常了
这基本就是证明了从你网站入手的,同样的都是批量扫描入侵

安骑士的介绍稍微看了下,感觉还是侧重于服务器防入侵类,并且也仅仅是提示你打补丁,以及事后日志分析,这 2 点说实在的,都是运维工程师基本水平

一般我是推荐客户,尤其是 windows 客户使用安全狗,服务器安全狗+网站安全狗
虽然也手法也挺粗糙,不过基本上常见的一些漏洞不太需要操心,大不了每天扫一遍也可以把生成的垃圾清除掉
网站安全狗是作为 IIS 的插件生效,可以直接进行拦截一些危险操作,基本的核心思想是危险的参数禁掉,不需要写的目录禁掉,常见的注入禁掉,总的来说我觉得,在无法修改源代码的情况下,差不多也就只能这么做了
linux 下的安全钩我没用过,毕竟 linux 服务器基本都是自己维护了,不太需要这些

楼上一些朋友推荐了你改用 windows 服务器我也比较赞同的
默认配置下,你不要乱看所谓的优化文章,其实 win 的安全性并不算差,至少我没有发现和 linux 有天地之差
但是会有更多入门安全软件支撑,更容易操作的界面,至少更新系统你会比较熟悉,出了问题也容易搜索到中文信息

不过总的来说...还是尽量提高自己的姿势水平

另外说 WP 性能不好...其实倒也没说错
最近我也没怎么碰 WP
所以说的可能有点落后

WP 原生是没有所谓生成静态页面的
而国内 CMS 这点基本标配,基本上后台都有一个所谓生成页面之类的选项,生成完了就是一大堆 html,纯浏览当然超快的
但是一遇到交互的很可能就傻逼了
另外就是一大堆 js 是用的国外源,需要自己改回国内的,国内都喜欢 include 自己本地,当然也快啦
另外就是自由度,国内 CMS 你改来改去都会发现,不一样的包装还是一样的味道...
自由度其实很低的...框架基本都是死的...代码也是各种粗暴实现...

其实 WP 好好优化一下,速度并不慢(不过还是相对于其他的慢一些,但绝对是可以接受的,如果接受不了,说明你的 PV 早就足够你请人开发了,还用什么 WP)

第一次听说帝国 CMS 似乎是在 ctf 赛棍圈子里……还有 dedeCMS

楼主这心态，有漏洞不管帝国的事情。