189 8069 5689
第一步:收集Xshell登陆信息
创新互联长期为上1000+客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为泽州企业提供专业的成都网站制作、做网站,泽州网站改版等技术服务。拥有十年丰富建站经验和众多成功案例,为您定制开发。
登陆阿里云管理中心,点击“云服务器ECS”,点击“实例”,看到服务器信息页面,点击“管理”(如图)在此信息中查看公网IP地址
阿里云服务器ECS配置全解
第二步:进入命令界面
打开 Xshell 4 ,点击“用户身份验证”,输入主机(公网IP),‘确定’后输入用户名和密码连接(如图)
阿里云服务器ECS配置全解
第三步:更新并安装yum源
#yum check-update 检查可更新的所有软件包
#yum update 下载更新系统已经安装的软件包
#yum install vsftpd -y 成功安装yum源
第四步:创建FTP用户
#service vsftpd start 启动vsftpd
#useradd -p /alidata/www/wwwroot -s /sbin/nologin koothon 添加账户(此用户名即为FTP用户名,会在home文件下生成以用户名命名的文件夹)
#passwd koothon 修改密码(此密码即为FTP的连接密码)
确认密码:在输入密码的时候,不显示输入的内容,两次确认密码一致就可以了
#chkconfig vsftpd on 设置为开机启动
第五步:连接FTP上传文件
登陆阿里云下载文件: 解压后会生成一个新的名为“sh-1.4.1”文件夹;
连接FTP解压得到的“sh-1.4.1”文件夹上传到根目录下;
第六步:安装环境
# cd /home/username 登陆服务器进入根目录
#chmod -R 777 sh-1.4.1 文件夹得安装权限
# cd sh-1.4.1 进入cd sh-1.4.1目录
# ./install.sh 执行安装命令
Please select the web of nginx/apache, input 1 or 2 : 1(自选nginx/apache版本:1、2);
Please select the nginx version of 1.0.15/1.2.5/1.4.4, input 1 or 2 or 3 : 3 (自选nginx版本:1、2、3)
Please select the mysql version of 5.1.73/5.5.35/5.6.15, input 1 or 2 or 3 : 3(自选mysql版本:1、2、3);
You select the version : 以下是选择的版本:web : nginxnginx : 1.4.4php : 5.5.7mysql : 5.6.15Enter the y or Y to continue:y 输入y或Y继续:Ywill be installed, wait … (环境安装中需要等待半小时左右)
看到如图界面,那么恭喜你环境安装成功了!
阿里云服务器ECS配置全解
第七步:查看环境配置和安装网站
#netstat -tunpl 此命令用户查看服务及端口
在sh-1.4.1目录输入 #cat account.log 就能看到ftp和mysql的密码
第四步:配置自己的网站
根据ftp用户名密码连接到服务器将“phpwind”程序删除,上传自己的网站程序
解析已经备案域名到云服务器
管理数据库
小鸟云服务器niaoyun实例创建好之后,您可以使用以下任意一种方式登录服务器:
远程桌面连接(MicrosoftTerminalServicesClient,MSTSC):采用这种方式登录,请确保实例能访问公网。如果在创建实例时没有购买带宽,则不能使用远程桌面连接。
管理终端VNC:无论您在创建实例时是否购买了带宽,只要您本地有网页浏览器,都可以通过管理控制台的管理终端登录实例。
使用远程桌面连接(MSTSC)登录实例
打开开始菜单远程桌面连接,或在开始菜单搜索中输入mstsc。也可以使用快捷键Win+R来启动运行窗口,输入mstsc后回车启动远程桌面连接。
在远程桌面连接对话框中,输入实例的公网IP地址。单击显示选项。
输入用户名,如小鸟云默认为niaoyun。单击允许我保存凭据,然后单击连接。这样以后登录就不需要手动输入密码了。
原生安卓系统的
网络机顶盒
不好吗?
为什么要整个
那玩意呢?
1、阿里云提示在x.x.x.x服务器上发现木马文件,被植入了webshell。
2、木马文件路径:/web/tomcat-xxx/webapps/no3/cc.jsp。
1、在未确认cc.jsp文件功能之前,将webapps文件夹下的no3文件夹和no3.war文件删除,同时将no3.war文件备份到/home/xxx目录下。
2、同时将no3文件夹下的cc.jsp文件发送到本地进行分析,确认是一个jsp的木马后门文件,可以获取远程服务器权限。
1、攻击者在webapps文件夹下上传了一个no3.war文件,并创建了包含cc.jsp木马文件的no3 文件夹,首先应找到上传的方式和路径。查看下网站,发现网站是采用的Tomcat容器。
2、进一步的思路是排查Tomcat本身的漏洞,查看Tomcat的配置文件tomcat-users.xml,发现Manager APP管理员弱口令。
3、可能的攻击思路是,通过Tomcat弱口令漏洞上传war格式的木马文件。
1、通过admin/admin弱口令登录 的Manager App功能。
2、然后找到WAR file to depoly功能,上传一个包含了木马的Tomcat WAR包。WAR包类似于一个网站的压缩包文件,可以在WAR包里构造好自己的木马,然后传至服务器。
3、在这里测试上传了一个goodwin.war文件(war里边包含了一个木马文件cc.jsp),上传成功之后在服务器的网站根目录下会自动解压生成一个goodwin的文件夹。而木马文件cc.jsp就在goodwin文件夹内。
4、祭出菜刀神器,添加并连接刚才上传的木马文件地址,密码023。
5、然后打开文件管理功能,发现我们已经获得了服务器权限,并可以访问服务器上的所有文件。
6、这样就复现了攻击者通过上传一个no3.war文件,并自动解压生成一个包含了cc.jsp木马的no3文件夹,然后通过远程连接获取了服务器的webshell,拿下了服务器权限的过程。
1、确定可疑文件为木马后门后,删除服务器上备份的no3.war。
2、删除测试过程上传的goodwin.war文件和goodwin文件夹下的所有文件。
3、修改Tomcat管理员密码。
1、排查并删除服务器上的可疑用户cat /etc/passwd。
2、不定期修改Tomcat口令,更改为包含了大写字母、小写字母、数字、特殊字符的强密码。
3、升级Tomcat版本,目前采用的版本为7.0.54,存在多个安全漏洞,建议升级到最新版本7.0.88。