m403d 发表于 2022-11-21 15:12:42

请问怎么防护PURE-FTP安全,不知道是不是有漏洞?


不知道是不是PURE-FTPD有漏洞还是什么原因,网站所有JS文件被植入恶意代码。查看/var/log下syslog,发现是通过pure-ftpd连接,短短几秒钟内将网站下所有js文件自动下载后又上传植入代码后的同名文件。pureftp是禁止匿名连接的,唯一的用户名密码也不算简单。系统:ubuntu20.04,LNMP版本:1.9正式版。

以下是LOG文件:

Nov 14 18:36:22 instance-20220813-4081 pure-ftpd: (?@172.81.104.64) New connection from 172.81.104.64
Nov 14 18:36:22 instance-20220813-4081 pure-ftpd: (?@172.81.104.64) myFtp is now logged in
Nov 14 18:36:22 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/calendarHandler.js downloaded(4933 bytes, 69674.37KB/sec)
Nov 14 18:36:23 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/calendarHandler.js uploaded(14384 bytes, 353.30KB/sec)
Nov 14 18:36:23 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/calendarObj.js downloaded(27475 bytes, 330992.94KB/sec)
Nov 14 18:36:23 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/calendarObj.js uploaded(36926 bytes, 455.42KB/sec)
Nov 14 18:36:23 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/common.js downloaded(30809 bytes, 165174.95KB/sec)
Nov 14 18:36:24 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/common.js uploaded(40260 bytes, 433.86KB/sec)
Nov 14 18:36:24 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/dataHandler.js downloaded(11633 bytes, 67682.91KB/sec)
Nov 14 18:36:24 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/dataHandler.js uploaded(21084 bytes, 228.32KB/sec)
Nov 14 18:36:24 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/jquery-1.js downloaded(72328 bytes, 1576.17KB/sec)
Nov 14 18:36:25 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/jquery-1.js uploaded(81779 bytes, 617.09KB/sec)
Nov 14 18:36:25 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/json.js downloaded(5093 bytes, 36856.76KB/sec)
Nov 14 18:36:25 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/json.js uploaded(14544 bytes, 326.49KB/sec)
Nov 14 18:36:25 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/makeCal.js downloaded(59202 bytes, 326367.96KB/sec)
Nov 14 18:36:26 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/makeCal.js uploaded(68653 bytes, 486.10KB/sec)
Nov 14 18:36:26 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/workTime.js downloaded(4956 bytes, 27175.07KB/sec)
Nov 14 18:36:26 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) /home/wwwroot//default/workTime.js uploaded(14407 bytes, 327.86KB/sec)


具体被植入的恶意代码,可以查看这个地址:https://segmentfault.com/q/1010000042809600/a-1020000042812410

m403d 发表于 2022-11-21 15:14:45

上面LOG文件中的IP地址172.81.104.64是远程攻击者登录时的IP。

补充内容 (2022-11-21 17:53):
https://segmentfault.com/q/1010000042809600/a-1020000042812410 这个地址是其他遇到类似问题的网友

licess 发表于 2022-11-21 20:38:17

公开的漏洞目前应该是没有,即使有也不会有直接跳过密码验证之类的严重漏洞
你找找日志中是否有其他的信息

通过ip查询这个貌似是个专门用来扫描破解挂马用的

m403d 发表于 2022-11-22 11:36:11

licess 发表于 2022-11-21 20:38
公开的漏洞目前应该是没有,即使有也不会有直接跳过密码验证之类的严重漏洞
你找找日志中是否有其他的信息
...

谢谢军哥。日志中没有其他更多信息了。
目前没有什么办法,先把FTP端口和帐号信息改了,防火墙屏蔽了默认端口,看看后续情况吧。
页: [1]
查看完整版本: 请问怎么防护PURE-FTP安全,不知道是不是有漏洞?