小樱 发表于 2021/3/30 19:30

cdnbest本地主控系统如何查看区域列表同步日志来检查被黑问题,所有站点403拒绝访问,配置文件为ipfrequency

cdnbest本地主控系统如何查看区域列表同步日志来检查被黑问题,所有站点403拒绝访问,配置文件为ipfrequency

通过检查节点日志,未发现节点被暴力破解插入请求控制规则引起被黑,然后从主控下手,发现是主控被黑了
节点日志获取方法
https://bbs.itzmx.com/thread-97663-1-1.html

登录后台,移动上去操作类型会弹出具体的信息,不带域名的那种就行了,例子如下









例如这样,就是主控被黑了,和节点无关系,看上面的信息,视乎连接到了http://18.163.117.251:8099/12.sh 下载一个木马文件在/tmp文件夹中,然后执行给节点插入一段规则

恢复方法就是,在同步日志处,删除所有日志,然后进入节点列表全选,点击重置节点即可恢复

重置节点后看看恢复了没,没恢复要登录节点看是哪个站出问题,例如重置后网站还是响应403状态,登录节点可以看到站点里面的请求控制单独被插入了一个表名配置文件为ipfrequency


在主控中搜索配置文件,全部删除即可恢复访问


然后观察服务器登录日志,发现是ssh被黑引起,还被中了xmra64挖矿木马
root   pts/0      103.145.73.118   Thu Mar 11 00:55 - 03:50(02:55)

查了下tmp文件夹,发现12月15号就中毒了,被植入了挖矿程序,钱包已经挖了给对方几千块收入了




cdnbest主控访问日志获取,来找是怎么被黑的原因,是服务器被黑,还是程序漏洞,等未来官方上线后提交日志给官方进行检查。
yum -y install tar gzip lrzsz
tar -zcvf access.tar.gz /vhs2/kangle/var
tar -zcvf access2.tar.gz /vhs2/cbmaster/var
sz access.tar.gz access2.tar.gz

被黑关联贴:https://bbs.itzmx.com/thread-97687-1-1.html
https://bbs.itzmx.com/thread-97798-1-1.html

不可名 发表于 2021/4/3 02:58

{:3032:}{:3032:}
页: [1]
查看完整版本: cdnbest本地主控系统如何查看区域列表同步日志来检查被黑问题,所有站点403拒绝访问,配置文件为ipfrequency