DH空间全面封杀织梦站。 DreamHost上用织梦建站全挂了。如何解决！如何重做(页 1) - 国内外主机、空间空间交流 - LunarPages主机,DreamHost主机

idc886 发表于 2011-6-28 11:25

DH空间全面封杀织梦站。 DreamHost上用织梦建站全挂了。如何解决！如何重做

[b][color=#ff0000]10月份 DH又封杀织梦站分析：[/color][/b]

[url=http://www.idc866.com/thread-13931-1-1.html][color=#000000]DH又封杀织梦站，包括织梦5.7版。还有DH空间上phpwind论坛站也出了问题。如何解决？[/color][/url]

[url=http://www.idc866.com/thread-13931-1-1.html]http://www.idc866.com/thread-13931-1-1.html[/url]

Hello,
During a scan of our servers we have identified that your DreamHost account is hosting an insecure version of the popular "DedeCMS" software. Due to recent attacks against this software we have been forced to disable insecure versions until the webmasters are able to address this matter and upgrade their sites the a secure version
Insecure sites identified:

/home/ch***6/ch***6.cn

We have disabled the sites in question until you are able to address this matter, this is for the safety of our servers and the customers you share them with.  We will require that you take a few minutes to address this matter and secure your account from further abuse.
If you have any questions, please feel free to contact our support staff (make your subject line include ATTN: Security) and we will be more than happy to assist you with securing your sites.
Sincerly,
The DreamHost security team

[size=4][color=red]注：这是幸运的。来信告诉你网站有问题了。  [/color][/size]
[size=4][color=red]    你[/color][/size][size=4][color=red]必需去解决。  [/color][/size][size=4][color=red]免得DH帐户被封了。[/color][/size]
[size=4][color=#ff0000]    有些，DH会把你网站目录改成长长的目录名，至网站无法打开[/color][/size]
[size=4][color=#ff0000]    有些是，把那些被上传的木马设为000属性，至无法访问。[/color][/size]
[size=4][color=#ff0000][/color][/size]
[size=4][color=#ff0000]    有些DH帐户是直接被封了的。[/color][/size]

把FTP里目录换成了： ch8***.cn_DISABLED_BY_DREAMHOST__INSECURE

如果你把FTP里改过来，而不解决问题（如更新版本），这样会引起帐户被删的可能。

织梦最新版论坛相关贴：[url=http://bbs.dedecms.com/331304.html]http://bbs.dedecms.com/331304.html[/url]
织梦最新版下载地址：[url=http://www.dedecms.com/products/dedecms/downloads/]http://www.dedecms.com/products/dedecms/downloads/[/url]

idc886 发表于 2011-6-28 11:25

如何解决！  过下分析，先搬站！

------------------------7.5日加--------------------

讲解DH两次关站，关于这两次关站。这两次DH关闭分析。

DH于5.21，关了一部分被上传了攻击程序的织梦站：

DH于6.23  关闭了全部的织梦网站。[11] [/11]

关于这个被上传的程序，分析我们这两次遇到的。

5、21日，DH发来邮件说，几个使用织梦程序的站被上传了攻击程序，已被临时关闭。
            其实并不是关闭，只是FTP里域名目录被改成长长的了。要解决问题后，才给开启。

我们当时就就打包网站，备份数据。并把网站域名从DH上删除，并且清除数据库。

6.23 日，DH又发来邮件说，织梦站都关了。
         我DH上的所有织梦站。这次应该是所有的织梦站都关了。
         [color=red]因为，我的一个没绑域名的，只放了个织梦程序的目录，也被改名，并发邮件来了。[/color]

            DH大规模关闭织梦站。也像上次一样，改了域名目录为长长的。

DH群里，大家都大叫，织梦站关了。咱办？？

[b][color=red]就算你是用的最新程序，全新安装的站，都关了。  怎么回事？全清了？[/color][/b]

但是群里有些用织梦做站群的，又在反应他做的几十个织梦，好好的。

后来他道出原因，他是自己弄的简易织梦。也就是把一些不需要的文件都删除了。

[color=red]删除了包括会员目录 member。没有会员目录 member的站，就无法会员管理。[/color]

DH这次清理是针对织梦站的，并且基本上是全清。
难道DH只是以  member中的某些文件来断定你用的织梦站，并把你站清理掉？？

[color=blue]很多人在DH群里问，网站该如何恢复？？织梦站，还可以使用DH吗？[/color]
[color=blue][/color]
[color=blue]综合上述现象分析，可以肯定的回答，可以：[/color]

[size=4][color=blue]那么，如何在DH空间上重建织梦站呢？[/color][/size]

方法供参考：
**** Hidden Message *****
[color=blue]第3点很重要。这样DH以后就不会再查你织梦站了。[/color]
[color=#0000ff]第4点清除木杷，就不会让你站反复被黑，或利用来做攻击源。[/color]

经过这几步，你站的就可以完全放心的运作了。
[color=blue]如果有能力和条件，最好是把织梦程序升级到最新版。[/color]

[color=red]但是关闭会员注册后，就只能自己发信息了。。。做站群的都是自己一个人在发的。[/color]
[color=red]如果是会员互动的站，就要考虑换空间啦。[/color]
[color=#ff0000][/color]
[color=#ff0000][/color]
[size=5][color=blue]请别错过下面五、六、七楼的问题分析。[/color][/size]

xy1989 发表于 2011-6-28 15:27

<P>是说织梦有安全漏洞吗</P><body onselectstart="return false">

扣扣屋 发表于 2011-6-28 19:50

跟织梦官方说一下，同时询问织梦有什么安全漏洞
跟他官方如实放映，修复漏洞

————————————纯属天真想法

idc886 发表于 2011-7-5 20:47

是织梦的漏洞引起的。。

主要是织梦系统程序开启会员注册后，会员利用软件发布等漏洞。
[url=http://bbs.dedecms.com/354574.html]http://bbs.dedecms.com/354574.html[/url]

如果你关闭了会员注册，就不会出现这问题。

[color=red]注：如果你是自己发布文章的话，那么最好把会员注册关闭。[/color]

不过在新版的织梦5.7系统中已说补上了。如果是安装全新的是没问题。

[color=red]但是很多使用此织梦老版系统，如5.6等，就存在这问题。

就算是官方现在的 5.6包，在官方的下载5.6包也还是没有补上的。

[/color]还是需要自己手动手补上。

而且，如果你只是5.6版本。经过升级成 5.7的最新版。
或许，你只是在原文件上进行覆盖。
那么，已利用漏洞上传的木马呀、攻击程序呀，还是在你网站上的。

如果你不确定网站是否已存在已上传的文件，
最好的解决办法是，程序升级到最新版后，
再删除网站中的所有文件（所有文件移到一个目录里了好，以免删除错误），
再重新上传全新的官方包，再上传配制文件，这样就是全新的程序。绝没木马等。
（配制文件是：data目录下的common.inc.php、与config.cache.inc.php 文件）

删除install、修改dede目录、关闭会员注册或删除member目录（如果只是自己发文章），

还可以删除 plus 目录后，会有一些php文件不能使用。很多都是通过这里的程序入侵。
如搜索。怕出404 就建个空白的在里面就成了

即OK。

idc886 发表于 2011-7-5 20:53

讲解DH两次关站，关于这两次关站。我们都把被上传相应的程序清理出来了，以便分析。

5.21织梦漏洞导至上传的程序，至使服务器大量流量，应该是攻击他人

6月23日高流量输出，

分析攻击程序代码：

[color=red][b]5.21后[/b][/color]，把几个织梦站迁到VPS上后，VPS大流量来了。
         在HyperVM 显示 900M/S流量。  能有这么大吗？？

         登录 HyperVM  都很慢。关VPS，重启。
         FTP里，把域名目录都改了。一切恢复正常。

         再一个一个清理。最后发现一个网站目录里有新添加的文件。。

         拉下来一分析。。是个攻击型程序。  执行一下，显示发送流量5G、10G的不等。

      删除后，服务器正常！

查看这攻击文件内容为 a.php：

[code]<?php
eval

(gzinflate(base64_decode('7f37dxzXdSYM/0yvpf+h3EbUgA2Adb8QBK26SpB5E0FSF5KD1ehuAC02upvdDV5E8vtfnL[/code]
后面还很多的乱乱的看不明白。

此次是二三个文件结合，

检测日志发现是这样，执行时是运行：
      /plus/config_system.php?host=60.191.150.6&port=50002&time=60
但 config_system.php并不是攻击代码源程序。

[b][color=red]6.23日[/color][/b] DH又大规模关站了，包括没有域名解析的目录（里面有织梦程序）
         但也是在这一天。VPS又来了大流量了。也是几百M/S显示流量。
         经分析清理，还是上的一个上次从DH移过来的站出的问题。

      一直找不到文件，因为没看到被更新的文件。
      最后下载这个站的最近来路统计。发现一个不熟悉的文件在访问。
      下载文件分析，看来又是这个文件在执行。

原文件代码：

[code]*/
eval(gzinflate(base64_decode('DZNHkqNIAADv85HpDg4tTGFidrYDCRBOOOEvG5gqrPBOvH77CRmZ+f3vP99DOfz6Bbek/SjOqkNtssCPNJkhTf2Xw6zP[/code]

经检测，这次是执行的：
/include/tpllib/plus_info.php?ip=61.155.142.141&port=80&time=100

目录下的这个文件。。可以看出这两次被上传的文件存放的目录不同。
这个目录下的文件，还是上次DH关站时上传了的，日期还是那个以前的。

所以，你网站最好是全部重新删除上传。以免以前上传的，还在目录里。

[color=red]两次攻击，文件名、目录、源代码都不同，但是执行起来，还是一样的。

[/color]并且，经检测日志，他们同时攻击多个IP和网站。多条 IP=信息。可能是在不同的刷。

查看日志，那么多，如何去查询执行了攻击指令呢：

那就是写字板打开日志文件，搜索：

**** Hidden Message *****
[color=red]注：[/color]DH的网站日志在FTP根目录下的 /logs/  目录里

经过两次DH关织梦事件，可以看出，
这利用服务器进行攻击的手段是非常强大的。

一发起攻击，就会导致服务器高流量。虽然有些流量是发不出去的，见下楼：

idc886 发表于 2011-7-5 20:53

5月21日，，国内有些代售国外VPS的，的也受到影响。

收到他们的回复：

最近一段时间，我们收到一些客户的投诉说VPS经常在一天内就跑完流量，然后就被系统禁用。经检查，我们发现客户的VPS里面某个域名下的DedeCMS有漏洞，被无聊人士加以利用后上传PHP格式的UDP攻击代码，并利用它不定时发出大量的UDP包去攻击其他IP。目前我们已经在我们机柜的核心交换机上部署了相关的安全设置，禁止这些UDP包通过交换机，保证了其他客户的正常使用。不过即使这些数据包无法通过我们的线路发布出去，但是还是会客户的VPS产生巨大的流量而导致被系统禁用。[33] [/33]
如果您发现您的VPS流量有异常，请立即联系我们的客服人员，我们将配合您找出可能有问题的代码文件。

另外，如果您熟悉Linux下的Shell命令，您也可以尝试通过下面的命令，快速找出有问题的文件。该命令为一行，拷贝后粘贴执行即可。

for i in `find /home/admin/ -type d -name "plus"`; do grep -i 'eval(gzinflate(base64_decode' $i/*.php; done

注意的是执行该代码会占用大量的IO资源，请勿恶意使用。
[color=blue]（以上代码是在SSH 里用以上命令查找文件内容）
[/color]

这段代码是，查找网站目录下包括 gzinflate(base64_decode' 源代码的，所有PHP文件。
但是经过上一楼分析。他们这里的源代码，有时是不同的。

[color=red]只能说，发现这文件被利用来攻击，再用以上命令查找VPS中其它站是否还存在这相同的文件。[/color]
[color=#ff0000][/color]
[color=#ff0000]不同代码的攻击文件，就无法查找到了。[/color]
[color=#ff0000][/color]

如果你只是用空间，无 SSH登录权，可使用这个工具的查找功能：
[url=http://www.idc866.com/thread-13429-1-1.html][b]还在说FTP上传慢吗？妙用 PHP文件管理工具，直接下载，空间文件查找。[/b][/url]
[url=http://www.idc866.com/thread-13429-1-1.html][size=3][b]http://www.idc866.com/thread-13429-1-1.html[/b][/size][/url]

[color=#ff0000][/color]
[color=#ff0000][/color]
[color=blue]分析到这，应该基本上理清了，这次DH关织梦站的问题了！[/color]
[color=#0000ff][/color]
[color=#0000ff]如有站友有这方面的问题，可回贴讨论。[/color]

amao 发表于 2011-8-12 13:17

哇塞！看得不太懂，但超经典！

万众发表于 2011-8-25 20:06

看看，学习了

秒杀发表于 2011-8-25 20:47

我来学习的

wangxin79 发表于 2011-8-26 16:39

我的也被屏蔽了唉

kncx 发表于 2011-9-4 13:01

其实可以用WordPress然后安装CMS样式也可以啊

uglypig 发表于 2011-10-6 12:40

真的是郁闷，主要是dh上面用dedecms的太多了

yao2003 发表于 2011-10-6 17:02

看看是怎么会事，再不弄好，可以有空间会被封了！

lizhaolinlin 发表于 2011-10-13 23:09

正找这个呢·····支持下···

likui0632 发表于 2011-10-17 10:28

正着这个呢

luofeng3838 发表于 2011-10-20 09:06

看看66666666666

libo5410391 发表于 2011-10-27 11:24

[b]回复 [url=http://www.idc866.com/redirect.php?goto=findpost&pid=78517&ptid=12878]2#[/url] [i]idc886[/i] [/b]

共同研究啊

mettle 发表于 2011-11-28 13:46

看下啊

111111 发表于 2011-12-7 11:47

我的站也被提示了

xiyo 发表于 2011-12-7 11:49

悲催了

fengyuwujian 发表于 2012-1-3 20:45

11111111111111111111111

页: [1]

免费国外空间,国外免费空间,'s Archiver

DH空间全面封杀织梦站。 DreamHost上用织梦建站全挂了。如何解决！如何重做