WDCP漏洞导致ECS服务器被入侵 官方：请升级

站长之家（Chinaz.com）10月30日消息 近日，发现了多例用户ECS服务器被入侵事件。对此，阿里云官方表示，wdcp_v2.5.10之前的版本存在一个严重的安全漏洞，而入侵事件就是因为wdcp漏洞而导致的，建议用户尽快升级新版本。

以下为官方公告：

亲爱的阿里云ECS用户：

您好，近期WDCP官方发现wdcp_v2.5.10之前的版本有一个严重安全漏洞，目前已经发现多例因wdcp漏洞导致的用户ECS服务器被入侵的事件，还可能会导致更多的不安全因素，为保证您的业务和应用的安全，请广大用户尽快升级到比较新版本。

升级方法：           

1）直接在后台升级就可以；

2）如果无法在后台升级,可用如下方法 ，SSH登录服务器 ，操作如下命令完成即可。              

wget https://down.wdlinux.cn/down/wdcp_v2.5.tar.gz                   

tar zxvf wdcp_v2.5.tar.gz -C /                  

阿里云ECS团队   

2014年10月30日   

WDLINUX官方比较新给出的解决方案：

在wdcp 2.5.11以下的版本都会受到影响,请广大用户，IDC，云主机公司升级相应的模板等

如果你的wdcp面板没有限制后台登录域名，也没有修改默认端口的，也没有升级，很可能已被黑

对于这类情况，可能的情况下，较好重装下系统

一般常规检查

1 检查登录记录，是否有其它的IP,用户ID登录

2 检查数据库用户，是否有多出的用户ID

3 检查是否有被上传的文件

4 登录SSH检查是否有异常的进程，以及是否有ip32.rar,ip64,rar这类文件(目前发现，这是黑客上传执行程序)

查杀流程如下：

部分WDCP用户的服务器没有修改默认的WDCP管理地址，没有及时更新，导致被黑客入侵。由于WDCP的稳定和方便，很多朋友使用WDCP创建了很多站点，甚至在淘宝卖起了虚拟主机。

自WDCP九月份爆出漏洞一来，有部分客户被入侵，被恶意发包，让IDC机房烦恼不已，阿里云 腾讯云 先后发布安全预警，提醒用户升级，检查系统安全。

WDCP被入侵后，对系统造成了一定危害，如果直接重装系统，涉及到程序数据的迁移，是很浩大的工程。

鉴于此，WDCP技术团队对黑客入侵手法和痕迹的分析，整理出以下WDCP专杀修复脚本，经过测试，可以保证服务器正常运行。

1 如果SSH可以正常登录系统的，跳过此步骤。SSH无法登陆服务器，密码被恶意修改的，可以在引导系统时，编辑启动项加入single 单用户模式。通过passwd命令 重置密码。 参考连接 https://jingyan.baidu.com/article/acf728fd1de7ebf8e510a3cb.html

2 ls -lh /bin/ps   查看文件大小和时间，正常的是100K以内。如果是1.2M 左右的就是被替换了。(ps是LINUX下的任务管理器程序)

使用XFTP软件上传覆盖对应版本(centos5和6 的不同)的ps 文件 WDCP漏洞修复下载，添加执行权限chmod +x /bin/ps。 同理 上传/bin/netstat文件  。

3 a.去除恶意文件的执行权限

• chmod 000 /tmp/gates.lod   /tmp/moni.lod    
• service sendmail stop
• chkconfig --level 345 sendmail off
• chmod -x  /usr/sbin/sendmail
• chmod -R 000 /root/*rar*
• chattr -i /root/conf.n
• chmod -R 000 /root/conf.n*

b.关闭恶意进程

ps auxww 查看当前系统进程  查找恶意进程 一般是*.rar 或者使用CPU较高的

kill -9 进程ID

killall 进程名  比如256.rar  proxy.rar 等

c. 查看任务计划

crontab -e  看看是否有可疑任务，如果有多个/tmp下的随机名称的文件，那就是恶意程序，删除该任务

d.检测 /etc/rc.d/ 下的rc.local    rc3.d   rc5.d  目录下 是否有可疑文件，可以删除，这个是 启动项程序存放文件夹。

4 修改SSH端口，黑客是脚本实现的批量入侵，修改默认端口，可以有效避免入侵。

vi /etc/ssh/sshd_config 里的  #Port 22 为 Port 40822

重启SSHD服务 service sshd restart

5 部分用户的WDCP密码被非法篡改了。无法使用 https://ip:8080 进行登录管理后台

可以尝试使用 https://ip:8080/phpmyadmin 登录数据库管理  重置WDCP管理员的密码

如果忘记MYSQL的ROOT密码 ，强制修改mysql的root密码 在服务器里执行 sh /www/wdlinux/tools/mysql_root_chg.sh

点击wdcpdb数据库,选择wd_member 浏览信息，选择编辑admin这一行数据的passwd字段，

修改为 fc76c4a86c56becc717a88f651264622  即修改admin用户的密码为 123@abc

此时可以登陆WDCP管理界面了。删除其他管理员用户 一般为 test2，

登陆后还需要修改WDCP的默认8080端口，设置为40880 并在防火墙里允许该端口。

6 删除ssh秘钥文件登陆方式 ，经过对黑客的入侵痕迹分析，发现用户是使用WDCP面板的生成公钥功能，获取SSH权限的。禁止使用SSH公钥登陆  

echo 0 > /root/.ssh/authorized_keys && chattr +i  /root/.ssh/authorized_keys

7  设置防火墙规则 最后再设置防火墙规则，因为WDCP自带的规则设置不完善，推荐手工编辑配置文件。

设置 只允许外网访问 服务器的80(web) 40822(ssh) 40880(wdcp) ftp(20000-20500)  ,禁止服务器访问外网，禁止木马反弹连接。

如果您有固定IP 可以设置只允许您自己的IP 访问. -s 指定来源IP

比如 -A INPUT -s 183.195.120.18/32  -m state --state NEW -p tcp --dport 40822 -j ACCEPT

编辑防火墙规则  vi /etc/sysconfig/iptables

重启防火墙 service iptables restart   

查看当前规则 service iptables status

下面是已经编辑好的规则，如果您设置的端口 和 上面的一样，下面的规则可以直接采用。

• # Generated by WDCP_FIX
• *filter
• :INPUT ACCEPT [0:0]
• :BLOCK - [0:0]
• -A INPUT -i lo -j ACCEPT
• #-A INPUT -s 183.195.120.18/32 YOUR IP  -j ACCEPT
• #-A INPUT -s 192.168.0.0/16 -p udp --dport 161 -j ACCEPT
• -A INPUT -j BLOCK
• -A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT
• -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
• -A INPUT -m state --state NEW -p tcp --dport 40822 -j ACCEPT
• -A INPUT -m state --state NEW -p tcp --dport 40880 -j ACCEPT
• -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
• #-A INPUT -m state --state NEW -p tcp -m multiport --dports 21,20000:20500 -j ACCEPT
• #-A INPUT -s YOUR_IP -m state --state NEW -p tcp --dport 8080 -j ACCEPT
• #-A INPUT -s 8.8.8.8 -m state --state NEW -p tcp --dport 8080 -j ACCEPT
• -A INPUT -j REJECT --reject-with icmp-port-unreachable
• -A OUTPUT -o lo -j ACCEPT
• -A OUTPUT -d 8.8.8.8 -j ACCEPT
• -A OUTPUT -d 8.8.4.4 -j ACCEPT
• #-A OUTPUT -d  183.195.120.18/32  -j ACCEPT
• -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
• #-A OUTPUT -m state --state NEW -p tcp --sport 20 -j ACCEPT
• #-A OUTPUT -m state --state NEW -p tcp -m multiport --dports 22,25,443,465 -j ACCEPT
• -A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
• #-A OUTPUT -m state --state NEW -p tcp --dport 80 -m hashlimit --hashlimit 5/sec --hashlimit-mode dstip --hashlimit-name out_http -j ACCEPT
• -A OUTPUT -j REJECT --reject-with icmp-port-unreachable
• COMMIT
• # Generated by WDCP_FIX.

（举报）