VPS侦探论坛

 找回密码
 注册
查看: 2400|回复: 3

请问怎么防护PURE-FTP安全,不知道是不是有漏洞?

[复制链接]
发表于 2022-11-21 15:12:42 | 显示全部楼层 |阅读模式


不知道是不是PURE-FTPD有漏洞还是什么原因,网站所有JS文件被植入恶意代码。查看/var/log下syslog,发现是通过pure-ftpd连接,短短几秒钟内将网站下所有js文件自动下载后又上传植入代码后的同名文件。pureftp是禁止匿名连接的,唯一的用户名密码也不算简单。系统:ubuntu20.04,LNMP版本:1.9正式版。

以下是LOG文件:

Nov 14 18:36:22 instance-20220813-4081 pure-ftpd: (?@172.81.104.64) [INFO] New connection from 172.81.104.64
Nov 14 18:36:22 instance-20220813-4081 pure-ftpd: (?@172.81.104.64) [INFO] myFtp is now logged in
Nov 14 18:36:22 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/calendarHandler.js downloaded  (4933 bytes, 69674.37KB/sec)
Nov 14 18:36:23 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/calendarHandler.js uploaded  (14384 bytes, 353.30KB/sec)
Nov 14 18:36:23 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/calendarObj.js downloaded  (27475 bytes, 330992.94KB/sec)
Nov 14 18:36:23 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/calendarObj.js uploaded  (36926 bytes, 455.42KB/sec)
Nov 14 18:36:23 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/common.js downloaded  (30809 bytes, 165174.95KB/sec)
Nov 14 18:36:24 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/common.js uploaded  (40260 bytes, 433.86KB/sec)
Nov 14 18:36:24 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/dataHandler.js downloaded  (11633 bytes, 67682.91KB/sec)
Nov 14 18:36:24 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/dataHandler.js uploaded  (21084 bytes, 228.32KB/sec)
Nov 14 18:36:24 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/jquery-1.js downloaded  (72328 bytes, 1576.17KB/sec)
Nov 14 18:36:25 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/jquery-1.js uploaded  (81779 bytes, 617.09KB/sec)
Nov 14 18:36:25 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/json.js downloaded  (5093 bytes, 36856.76KB/sec)
Nov 14 18:36:25 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/json.js uploaded  (14544 bytes, 326.49KB/sec)
Nov 14 18:36:25 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/makeCal.js downloaded  (59202 bytes, 326367.96KB/sec)
Nov 14 18:36:26 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/makeCal.js uploaded  (68653 bytes, 486.10KB/sec)
Nov 14 18:36:26 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/workTime.js downloaded  (4956 bytes, 27175.07KB/sec)
Nov 14 18:36:26 instance-20220813-4081 pure-ftpd: (myFtp@172.81.104.64) [NOTICE] /home/wwwroot//default/workTime.js uploaded  (14407 bytes, 327.86KB/sec)


具体被植入的恶意代码,可以查看这个地址:https://segmentfault.com/q/1010000042809600/a-1020000042812410

美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
 楼主| 发表于 2022-11-21 15:14:45 | 显示全部楼层


上面LOG文件中的IP地址172.81.104.64是远程攻击者登录时的IP。

补充内容 (2022-11-21 17:53):
https://segmentfault.com/q/1010000042809600/a-1020000042812410 这个地址是其他遇到类似问题的网友
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
发表于 2022-11-21 20:38:17 | 显示全部楼层

公开的漏洞目前应该是没有,即使有也不会有直接跳过密码验证之类的严重漏洞
你找找日志中是否有其他的信息

通过ip查询这个貌似是个专门用来扫描破解挂马用的
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
 楼主| 发表于 2022-11-22 11:36:11 | 显示全部楼层



licess 发表于 2022-11-21 20:38
公开的漏洞目前应该是没有,即使有也不会有直接跳过密码验证之类的严重漏洞
你找找日志中是否有其他的信息
...

谢谢军哥。日志中没有其他更多信息了。
目前没有什么办法,先把FTP端口和帐号信息改了,防火墙屏蔽了默认端口,看看后续情况吧。
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|VPS侦探 ( 鲁ICP备16040043号-1 )

GMT+8, 2024-11-5 16:40 , Processed in 0.026337 second(s), 17 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表