wdcp的一个安全漏洞，非常严重，请大家及时升级和检查 - wdcp|linux下免费的服务器/虚拟主机管理系统 -
WDlinux官方论坛 Linux服务器架构,性能优化.免费CDN系统,智能DNS,负载均衡,集群分流等应用
wdCP系统 (,,,,,,)
wdCDN系统 (,,,,,,)
wdOS系统 (,,,,,,)
wdDNS系统 (,,,,,,)
提问三步曲: 提问先看教程/FAQ索引(,,)及搜索,会让你更快解决问题
1 对应版块,提供系统版本位数,wdcp版本,lamp,lnmp,lnamp是哪个环境,rpm或编译安装
2 有哪些错误信息或提示,贴上论坛或截图发论坛
3 做过哪些操作或更改或设置等详细说明
信息不详者,一律不解答,谢谢.如需&&&&&&&&
wdcp的一个安全漏洞，非常严重，请大家及时升级和检查
在九月份的时候，wdcp出了一个很严重的安全漏洞，当时也出了补丁更新，具体可看
但近日来，发现，很多wdcp的用户都被黑，被增加数据库用户，被上传文件，恶意发包攻击，流量异常，甚至是控制了SSH的权限等
此次事件非常严重，影响也非常大，希望大家及时更新下补丁，以及做下安全限制
在wdcp 2.5.11以下的版本都会受到影响,请广大用户，IDC，云主机公司升级相应的模板等
如果你的wdcp面板没有限制后台登录域名，也没有修改默认端口的，也没有升级，很可能已被黑
对于这类情况，可能的情况下，最好重装下系统
一般常规检查
1 检查登录记录，是否有其它的IP,用户ID登录
2 检查数据库用户，是否有多出的用户ID
3 检查是否有被上传的文件
4 登录SSH检查是否有异常的进程，以及是否有ip32.rar,ip64,rar这类文件(目前发现，这是黑客上传执行程序)
请大家相互转告
=====如果被黑也不要害怕，目前已经有解决方法！========
使用分割线下的查收步骤，基本可以查杀后门和恶意程序，维持服务器稳定正常运行，免去重装系统的烦恼。
============查杀流程 更新====================
& &部分WDCP用户的服务器没有修改默认的WDCP管理地址，没有及时更新，导致被黑客入侵。由于WDCP的稳定和方便，很多朋友使用WDCP创建了很多站点，甚至在淘宝卖起了虚拟主机。
自WDCP九月份爆出漏洞一来，有部分客户被入侵，被恶意发包，让IDC机房烦恼不已，阿里云 腾讯云 先后发布安全预警，提醒用户升级，检查系统安全。
WDCP被入侵后，对系统造成了一定危害，如果直接重装系统，涉及到程序数据的迁移，是很浩大的工程。
鉴于此，WDCP技术团队对黑客入侵手法和痕迹的分析，整理出以下WDCP专杀修复脚本，经过测试，可以保证服务器正常运行。
<font color="# 如果SSH可以正常登录系统的，跳过此步骤。SSH无法登陆服务器，密码被恶意修改的，可以在引导系统时，编辑启动项加入single 单用户模式。通过passwd命令 重置密码。 参考连接
2 ls -lh /bin/ps& &查看文件大小和时间，正常的是100K以内。如果是1.2M 左右的就是被替换了。(ps是LINUX下的任务管理器程序)
&&使用上传覆盖对应版本(centos5和6 的不同)的ps 文件 ，添加执行权限chmod +x /bin/ps。 同理 上传/bin/netstat文件&&。
论坛用户补充，黑客在窜改前，对上述文件进行了备份，大家也可以使用下面的命令进行恢复 原始版本的文件。
cp&&/usr/bin/dpkgd/* /sbin/&&&& cp&&-f /usr/bin/dpkgd/* /bin/& && &然后按几次Y&&确认覆盖即可。
<font color="# a.去除恶意文件的执行权限
chmod 000 /tmp/gates.lod& &/tmp/moni.lod& &
service sendmail stop
chkconfig --level 345 sendmail off
chmod -x&&/usr/sbin/sendmail
chmod -R 000&&/root/*rar*
chattr -i /root/conf.n
chmod -R 000 /root/conf.n*
rm -rf&&/www/wdlinux/wdcp/sys/802
rm -rf&&/www/wdlinux/wdcp/sys/802.1
rm -rf&&/usr/bin/lixww
rm -rf&&/usr/bin/bsd-port/getty
rm -rf& &/tmp/gates.lock
rm -rf&&/tmp/moni.lock
rm -rf&&/usr/bin/bsd-port/getty.lock
rm -rf /www/wdlinux/wdcp/sys/conf.n
rm -rf&&/usr/bin/bsd-port/conf.n
b.关闭恶意进程
ps auxww 查看当前系统进程&&查找恶意进程 一般是*.rar 或者使用CPU较高的
kill -9 进程ID
killall 进程名&&比如256.rar&&proxy.rar 等
c. 查看任务计划
crontab -e&&看看是否有可疑任务，如果有多个/tmp下的随机名称的文件，那就是恶意程序，删除该任务
d.检测 /etc/rc.d/ 下的rc.local& & rc3.d& &rc5.d&&目录下 是否有可疑文件，可以删除，这个是 启动项程序存放文件夹。
<font color="# 修改SSH端口，黑客是脚本实现的批量入侵，修改默认端口，可以有效避免入侵。
vi /etc/ssh/sshd_config 里的&&#Port 22 为 Port 40822
重启SSHD服务 service sshd restart
<font color="# 部分用户的WDCP密码被非法篡改了。无法使用 http://ip:8080 进行登录管理后台
可以尝试使用 http://ip:8080/phpmyadmin 登录数据库管理&&重置WDCP管理员的密码
如果忘记MYSQL的ROOT密码 ，强制修改mysql的root密码 在服务器里执行 sh /www/wdlinux/tools/mysql_root_chg.sh
点击wdcpdb数据库,选择wd_member 浏览信息，选择编辑admin这一行数据的passwd字段，
修改为 fc76c4a86c56becc717a88f&&即修改admin用户的密码为 123@abc
此时可以登陆WDCP管理界面了。删除其他管理员用户 一般为 test2，
登陆后还需要修改WDCP的默认8080端口，设置为40880 并在防火墙里允许该端口。
<font color="# 删除ssh秘钥文件登陆方式 ，经过对黑客的入侵痕迹分析，发现用户是使用WDCP面板的生成公钥功能，获取SSH权限的。禁止使用SSH公钥登陆&&
&&echo 0 & /root/.ssh/authorized_keys && chattr +i&&/root/.ssh/authorized_keys
<font color="#&&设置防火墙规则 最后再设置防火墙规则，因为WDCP自带的规则设置不完善，推荐手工编辑配置文件。
设置 只允许外网访问 服务器的80(web) 40822(ssh) 40880(wdcp) ftp()&&,禁止服务器访问外网，禁止木马反弹连接。
如果您有固定IP 可以设置只允许您自己的IP 访问. -s 指定来源IP
比如 -A INPUT -s 183.195.120.18/32&&-m state --state NEW -p tcp --dport 40822 -j ACCEPT
编辑防火墙规则&&vi /etc/sysconfig/iptables
重启防火墙 service iptables restart& &
查看当前规则 service iptables status
下面是已经编辑好的规则，如果您设置的端口 和 上面的一样，下面的规则可以直接采用。
# Generated by WDCP_FIX
:INPUT ACCEPT [0:0]
:BLOCK - [0:0]
-A INPUT -i lo -j ACCEPT
#-A INPUT -s 183.195.120.18/32 YOUR IP&&-j ACCEPT
#-A INPUT -s 192.168.0.0/16 -p udp --dport 161 -j ACCEPT
-A INPUT -j BLOCK
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 40822 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 40880 -j ACCEPT
-A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
#-A INPUT -m state --state NEW -p tcp -m multiport --dports 21, -j ACCEPT
#-A INPUT -s YOUR_IP -m state --state NEW -p tcp --dport 8080 -j ACCEPT
#-A INPUT -s 8.8.8.8 -m state --state NEW -p tcp --dport 8080 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 8.8.8.8 -j ACCEPT
-A OUTPUT -d 8.8.4.4 -j ACCEPT
#-A OUTPUT -d&&183.195.120.18/32&&-j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp --sport 20 -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp -m multiport --dports 22,25,443,465 -j ACCEPT
-A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
#-A OUTPUT -m state --state NEW -p tcp --dport 80 -m hashlimit --hashlimit 5/sec --hashlimit-mode dstip --hashlimit-name out_http -j ACCEPT
-A OUTPUT -j REJECT --reject-with icmp-port-unreachable
# Generated by WDCP_FIX.
说明：禁止服务器访问外网，可能会引起采集文章和图片异常，连接远程数据库异常，建议逐个添加防火墙规则 放行端口 和IP。具体请在 OUTPUT里放行对应的端口。
放行访问外网的80& &-A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
放行访问外网的3306&&-A OUTPUT -m state --state NEW -p tcp --dport 3306 -j ACCEPT
<font color="# 安全维护建议
<font color="# WDCP 可以设置访问域名。比如设置 一个很长的二级域名，只有自己知道，这样黑客就无法访问了。
更厉害点，这个域名不设置解析，自己修改本地电脑的HOSTS文件，强制指向访问，这样只有自己可以访问了。
<font color="# 平时关闭 wdcp服务，需要使用时，临时开启。 不影响WEB服务的运行。
&&关闭服务和禁止开机启动 /etc/init.d/wdapache stop && chkconfig --level 345 wdapache off
& &/etc/init.d/wdapache start 开启服务
感谢您的支持！祝您生活愉快！WDCP漏洞修复包下载，如果您对LINUX不熟悉，可以找懂技术的朋友参考此文档帮忙清理！
漏洞修复包
看清提问三步曲及多看教程/FAQ索引(,,),益处多多.
建议wdcp官方提供一个邮件或者短信订阅，大家都把手机号或者邮箱提交一下，这样以后有更新可以及时通知。可能很多人都不经常登录wdcp的
我的站打不开了。。。。
能及时告知大家&&支持wdcp
/etc/rc.d/下还有内容呢。。。。& &重伤。
为什么要金币才能下载呢~
已经 设置为免费下载了。请测试！
WDCDN联盟项目负责人 IDC商务合作洽谈&&技术团队加盟 QQ:& &网址
& &已经群发邮件，稍后会继续跟进通知！
WDCDN联盟项目负责人 IDC商务合作洽谈&&技术团队加盟 QQ:& &网址
我在WDCP后台面板上面点升级到wdcp 2.5.11,然后过一会提示升级成功。
这样就可以了吗？还是要再重启一下linux系统呢？
建议最好重启下吧。
安全维护建议
1: WDCP 可以设置访问域名。比如设置 一个很长的二级域名，只有自己知道，这样黑客就无法访问了。
更厉害点，这个域名不设置解析，自己修改本地电脑的HOSTS文件，强制指向访问，这样只有自己可以访问了。
2: 平时关闭 wdcp服务，需要使用时，临时开启。 不影响WEB服务的运行。
&&关闭服务和禁止开机启动 /etc/init.d/wdapache stop && chkconfig --list 345 wdapache off
& && && && && && && &&&开启服务 /etc/init.d/wdapache start
-----------------------------------------------
收藏,备用.-----------------------------------------------
已经中毒状态了 求管理看看如何解决 小白菜们需要经验
(56.16 KB)
-A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT
我想知道这句的意义，是否会引起网络请求延迟呢？……求指导！
我发现文中提到的两个可疑文件：/bin/ps 与 /bin/netstat
大小都是 1,135,000byte
于是我查找这个大小的全部文件：
find / -size 1135000c
得到如下结果
/bin/netstat
/www/wdlinux/wdcp/sys/802
/www/wdlinux/wdcp/sys/802.1
/usr/bin/lixww
/usr/bin/bsd-port/getty
希望对官方能有所帮助，并指导一下我们如何处理……
在 /tmp 目录下发现两个可疑文件：gates.lock 与 moni.lock
大小都为 4byte
于是我查找以lock结尾并且只有4byte大小的文件：
find /&&-name '*.lock' -size 4c
得到如下结果
/tmp/gates.lock
/tmp/moni.lock
/usr/bin/bsd-port/getty.lock
三个文件我全部删除了……希望有用………
[通过 QQ、MSN 分享给朋友]用了wdcp这么好的面板数天，发现的一些小问题，以及几个内存优化方法分享 - wdcp|linux下免费的服务器/虚拟主机管理系统 -
WDlinux官方论坛 Linux服务器架构,性能优化.免费CDN系统,智能DNS,负载均衡,集群分流等应用
wdCP系统 (,,,,,,)
wdCDN系统 (,,,,,,)
wdOS系统 (,,,,,,)
wdDNS系统 (,,,,,,)
提问三步曲: 提问先看教程/FAQ索引(,,)及搜索,会让你更快解决问题
1 对应版块,提供系统版本位数,wdcp版本,lamp,lnmp,lnamp是哪个环境,rpm或编译安装
2 有哪些错误信息或提示,贴上论坛或截图发论坛
3 做过哪些操作或更改或设置等详细说明
信息不详者,一律不解答,谢谢.如需&&&&&&&&
用了wdcp这么好的面板数天，发现的一些小问题，以及几个内存优化方法分享
本帖最后由 samer 于
21:47 编辑
换了几次vps空间商，估计没有人有我这么频繁的了，都是用centOS5的系统安装wdcp，已经安装得非常熟练，wdcp的面板也用得熟练，现在提出几个在使用中发现的小问题，刚安装论坛提供的2.4安装包，面板的文件管理是没有上传选项的，通过在线升级面板之后才有，上传选项支持多文件上传，但我尝试过几个不同vps的wdcp面板，这个多文件上传即使你选择了多个文件，点一下确定之后，也只会上传第一个文件，下面选择的其他文件不会上传。这是第一个发现的小问题。
第二个问题 就是 防火墙iptables访问规则配置
一开始我以为增加了访问规则就算是搞定了，谁知一重启系统之后，那些规则没有了，后来看了一看，原来还有一个不太显眼的 保存 链接没有按，还好自己搞的只有两个规则，不算多，很快就可以重新设置过，建议这个保存 换成按钮，或者放在页面底下，一般人的习惯都是习惯下面有一个按钮点一下保存。或者干脆不用保存，直接增加了规则就算是保存了。
其实wdcp是可以很省内存的，只是wdcp安装的时候都是默认的设置php,mysql,所以刚安装完很占内存，其实我们安装完wdcp之后，可以只用一个web引擎，我选择apache，php设置 使用的内存比默认的小一半，mysql连接数也设置小有点，用优化方案，我的内存基本在140以内，最低可以去到40-70，网站的效率基本没变化。大家也可以试试的。当然如果是流量大的网站，不适宜这样设置，大虾就请一笑而过吧。如果我的分享能给你帮助的话，那就帮忙顶一下帖吧，让其他人都看到
增加一个服务器安全的分享：
刚看到置顶帖的一篇关于某IDC的帖子，其实这些安全问题我用了wdcp数天也发现了，确实ssh密码过于简单也存在重大隐患，大家可以在系统日志里面查看一下，ssh默认端口是22，我之前就在日志里面经常看到有人用硬破解想破解我的root密码，试过用防火墙规则隔离这些黑客IP，可是来攻击不止一个，太多了，为了阿全问题，所以决定改了ssh的端口,wdcp里面也提供了ssh修改端口的功能，改了端口还需要在防火墙里面增加相应的规则，否则你访问不到的，而wdcp的后台登陆端口也建议改一下吧，安全一点。
很不错的分享,也建议大家多分享
1 这个是浏览器的兼容问题,在IE里是正常的,chrome是只能上传一个,这个在教程里做过说明
2 调整了下,标红了
3 很不错的一个优化方案
关于安全方面的设置,论坛也有过相关的讨论和说明了
看清提问三步曲及多看教程/FAQ索引(,,),益处多多.
楼主我改了ssh端口但是没加防火墙规则 wdcp后台进不去了咋办啊
[通过 QQ、MSN 分享给朋友]WDCP漏洞导致ECS服务器被入侵 官方：请升级 - 站长之家()
WDCP漏洞导致ECS服务器被入侵 官方：请升级
站长之家（）10月30日消息 近日，发现了多例用户ECS服务器被入侵事件。对此，阿里云官方表示，wdcp_v2.5.10之前的版本存在一个严重的安全漏洞，而入侵事件就是因为wdcp漏洞而导致的，建议用户尽快升级新版本。 以下为官方公告： 亲爱的阿里云ECS用户： 您好，近期WDCP官方发现wdcp_v2.5.10之前的版本有一个严重安全漏洞，目前已经发现多例因wdcp漏洞导致的用户ECS服务器被入侵的事件，还可能会导致更多的不安全因素，为保证您的业务和应用的安全，请广大用户尽快升级到最新版本。 升级方法：&&&&&&&&& & 1）直接在后台升级就可以； 2）如果无法在后台升级,可用如下方法 ，SSH登录服务器 ，操作如下命令完成即可。&&&&&&&&&&&& & wget /down/wdcp_v2.5.tar.gz&&&&&&&&&&&&&&&&& & tar zxvf wdcp_v2.5.tar.gz -C /&&&&&&&&&&&&&&&& & 阿里云ECS团队 && 日 && WDLINUX官方最新给出的解决方案： 在wdcp 2.5.11以下的版本都会受到影响,请广大用户，IDC，云主机公司升级相应的模板等 如果你的wdcp面板没有限制后台登录域名，也没有修改默认端口的，也没有升级，很可能已被黑 对于这类情况，可能的情况下，最好重装下系统 一般常规检查 1 检查登录记录，是否有其它的IP,用户ID登录 2 检查数据库用户，是否有多出的用户ID 3 检查是否有被上传的文件 4 登录SSH检查是否有异常的进程，以及是否有ip32.rar,ip64,rar这类文件(目前发现，这是黑客上传执行程序) 查杀流程如下： 部分WDCP用户的服务器没有修改默认的WDCP管理地址，没有及时更新，导致被黑客入侵。由于WDCP的稳定和方便，很多朋友使用WDCP创建了很多站点，甚至在淘宝卖起了虚拟主机。 自WDCP九月份爆出漏洞一来，有部分客户被入侵，被恶意发包，让IDC机房烦恼不已，阿里云 腾讯云 先后发布安全预警，提醒用户升级，检查系统安全。 WDCP被入侵后，对系统造成了一定危害，如果直接重装系统，涉及到程序数据的迁移，是很浩大的工程。 鉴于此，WDCP技术团队对黑客入侵手法和痕迹的分析，整理出以下WDCP专杀修复脚本，经过测试，可以保证服务器正常运行。 1 如果SSH可以正常登录系统的，跳过此步骤。SSH无法登陆服务器，密码被恶意修改的，可以在引导系统时，编辑启动项加入single 单用户模式。通过passwd命令 重置密码。 参考连接 /article/acf728fd1de7ebf8e510a3cb.html 2 ls -lh /bin/ps&& 查看文件大小和时间，正常的是100K以内。如果是1.2M 左右的就是被替换了。(ps是LINUX下的任务管理器程序) 使用XFTP软件上传覆盖对应版本(centos5和6 的不同)的ps 文件 WDCP漏洞修复下载，添加执行权限chmod +x /bin/ps。 同理 上传/bin/netstat文件& 。 3 a.去除恶意文件的执行权限
chmod 000 /tmp/gates.lod&& /tmp/moni.lod&& & service sendmail stop chkconfig --level 345 sendmail off chmod -x& /usr/sbin/sendmail chmod -R 000 /root/*rar* chattr -i /root/conf.n chmod -R 000 /root/conf.n*
b.关闭恶意进程 ps auxww 查看当前系统进程& 查找恶意进程 一般是*.rar 或者使用CPU较高的 kill -9 进程ID killall 进程名& 比如256.rar& proxy.rar 等 c. 查看任务计划 crontab -e& 看看是否有可疑任务，如果有多个/tmp下的随机名称的文件，那就是恶意程序，删除该任务 d.检测 /etc/rc.d/ 下的rc.local&&& rc3.d&& rc5.d& 目录下 是否有可疑文件，可以删除，这个是 启动项程序存放文件夹。 4 修改SSH端口，黑客是脚本实现的批量入侵，修改默认端口，可以有效避免入侵。 vi /etc/ssh/sshd_config 里的& #Port 22 为 Port 40822 重启SSHD服务 service sshd restart 5 部分用户的WDCP密码被非法篡改了。无法使用 http://ip:8080 进行登录管理后台 可以尝试使用 http://ip:8080/phpmyadmin 登录数据库管理& 重置WDCP管理员的密码 如果忘记MYSQL的ROOT密码 ，强制修改mysql的root密码 在服务器里执行 sh /www/wdlinux/tools/mysql_root_chg.sh 点击wdcpdb数据库,选择wd_member 浏览信息，选择编辑admin这一行数据的passwd字段， 修改为 fc76c4a86c56becc717a88f& 即修改admin用户的密码为 123@abc 此时可以登陆WDCP管理界面了。删除其他管理员用户 一般为 test2， 登陆后还需要修改WDCP的默认8080端口，设置为40880 并在防火墙里允许该端口。 6 删除ssh秘钥文件登陆方式 ，经过对黑客的入侵痕迹分析，发现用户是使用WDCP面板的生成公钥功能，获取SSH权限的。禁止使用SSH公钥登陆 &
echo 0 & /root/.ssh/authorized_keys && chattr +i& /root/.ssh/authorized_keys
7& 设置防火墙规则 最后再设置防火墙规则，因为WDCP自带的规则设置不完善，推荐手工编辑配置文件。 设置 只允许外网访问 服务器的80(web) 40822(ssh) 40880(wdcp) ftp()& ,禁止服务器访问外网，禁止木马反弹连接。 如果您有固定IP 可以设置只允许您自己的IP 访问. -s 指定来源IP 比如 -A INPUT -s 183.195.120.18/32& -m state --state NEW -p tcp --dport 40822 -j ACCEPT 编辑防火墙规则& vi /etc/sysconfig/iptables 重启防火墙 service iptables restart& & 查看当前规则 service iptables status 下面是已经编辑好的规则，如果您设置的端口 和 上面的一样，下面的规则可以直接采用。
# Generated by WDCP_FIX *filter :INPUT ACCEPT [0:0] :BLOCK - [0:0] -A INPUT -i lo -j ACCEPT #-A INPUT -s 183.195.120.18/32 YOUR IP& -j ACCEPT #-A INPUT -s 192.168.0.0/16 -p udp --dport 161 -j ACCEPT -A INPUT -j BLOCK -A INPUT -p icmp -m limit --limit 1/s --limit-burst 3 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -m state --state NEW -p tcp --dport 40822 -j ACCEPT -A INPUT -m state --state NEW -p tcp --dport 40880 -j ACCEPT -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT #-A INPUT -m state --state NEW -p tcp -m multiport --dports 21, -j ACCEPT #-A INPUT -s YOUR_IP -m state --state NEW -p tcp --dport 8080 -j ACCEPT #-A INPUT -s 8.8.8.8 -m state --state NEW -p tcp --dport 8080 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-port-unreachable -A OUTPUT -o lo -j ACCEPT -A OUTPUT -d 8.8.8.8 -j ACCEPT -A OUTPUT -d 8.8.4.4 -j ACCEPT #-A OUTPUT -d& 183.195.120.18/32& -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #-A OUTPUT -m state --state NEW -p tcp --sport 20 -j ACCEPT #-A OUTPUT -m state --state NEW -p tcp -m multiport --dports 22,25,443,465 -j ACCEPT -A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT #-A OUTPUT -m state --state NEW -p tcp --dport 80 -m hashlimit --hashlimit 5/sec --hashlimit-mode dstip --hashlimit-name out_http -j ACCEPT -A OUTPUT -j REJECT --reject-with icmp-port-unreachable COMMIT # Generated by WDCP_FIX.
8 安全维护建议 1、WDCP 可以设置访问域名。比如设置 一个很长的二级域名，只有自己知道，这样黑客就无法访问了。 更厉害点，这个域名不设置解析，自己修改本地电脑的HOSTS文件，强制指向访问，这样只有自己可以访问了。wdcp后台访问安全设置即限制域名/IP访问设置及清除方法 wdcp安全设置,让你的后台,只有你自己能访问： wdcp的后台默认端口是8080，可以修改为其它端口wdcp的后台，可以限制IP地址的访问，也可以限制域名的访问。 做了这些限制与设置后,已相对安全了，也一般没人知道和能访问你的后台了。 但有一些情况，就是搜索引擎里，有些把这个后台的地址也给收录了，这样还是把这个后台的地址给爆露了。 那有没一个比较绝对的安全限制方法？答案是有的，如下说的就是： 怎么实现，很简单。 在后台限制域名里，绑定一个不存在或没做解析的域名，比如。因为这个域名不存在或没解析，所以没有人知道这个域名的存在，除了你自己。也因为不存在或没解析,所以是访问不了的，但要怎么办呢？ 很简单,比如服务器的IP地址是:192.168.1.100,限制访名的域名是 那么,只需要在C:\Windows\System32\drivers\etc\hosts 这个文件里添加一行，如 192.168.1.100&&
保存 这样就完成了。这样，这个后台，现在就只有你自己能访问了！ 不过切记，这个设置只在本机或本地电脑有效，如果换了电脑登录，还是登录不了。不过只需要做如上的设置操作才可以登录了，也就是添加一行到hosts文件里。 2、平时关闭 wdcp服务，需要使用时，临时开启。 不影响WEB服务的运行。 关闭服务和禁止开机启动 /etc/init.d/wdapache stop && chkconfig --list 345 wdapache off /etc/init.d/wdapache start 开启服务 相关案例： QQ上一位阿里云用户发来的截图：
很明显，机器被入侵了，并且被黑 客用来对外发包或者扫描了。 登录系统后，ps命令结果有下面这些内容：
看到这，可以100%确定是被入侵了。 再来看看黑 客在做什么：
到这里基本可以下结论了，这位客户的机器上安装了WDCP面板，而这个面板最近又出了漏洞，很有可能是通过这个漏洞入侵进来，并且在入侵后又把这位客户的机器作为肉鸡，对外进行扫描、入侵，这一切，都是全自动化的！ 查明情况后，就是善后处理了。 面板的漏洞不同于网站程序的漏洞，网站程序的漏洞被入侵后，如果做好严格的安全设置，被入侵了很难拿到系统的root权限，但是面板漏洞不同，面板本身必须要具有系统的管理权限，那么一旦面板出现了漏洞，很多情况下都是会被直接拿到root权限。 黑 客有了root权限后，系统中所有的工具都是不可信的。 后来查明，ps命令本身(/bin/ps)被作了替换，替换了之后仍具有ps命令本来的功能，但是会把命令结果中的一部分内容隐藏掉，而且，替换后的ps命令被加进了上面3.rar这个程序的功能。 查看了客户机器的系统版本后，启动了我本地PC虚拟机中的相同的系统，复制了一份ps命令程序，传到了客户的系统中。 恢复了ps命令之后，可以看到了原来隐藏的内容：
这个和上面的3.rar是同一个程序。 有了正常的ps程序之后，把所有的进程都检查了一遍。 用rootkit检测工具跑了一遍，没有发现情况，和往常一样，自动化的入侵不太喜欢装rootkit，但是基本都会替换掉系统中常用的管理命令，比如前面说的ps，后来又发现netstat命令也被黑 客做了替换。 自动化的入侵中，黑 客更追求量，而非质，这样就留下了很多马脚给检查提供了便利，比如替换了程序之后，文件日期都是没有伪装的。 把所有有问题的命令程序都处理结果后，带宽占用恢复了正常。但是善后工作并没有结束，被搞到root权限后，系统中所有必要的安全检查都要做一遍。 如果您也安装WDCP这个面板，但是系统中没有异常情况，不要忘了检查下/www/wdlinux/wdapache/logs/access_log这个日志，进一步确定是否有被入侵（现在的黑 客们已经懒到很少有人去删除自己的日志，要么不删，要么清空）。
上述案例来自服务器之家，原文地址：/linux_sec/26.html}