设为首页收藏本站

ZMX - IT技术交流论坛 - 无限Perfect,追求梦想 - itzmx.com

 找回密码
 注册论坛

QQ登录

只需一步,快速开始

新浪微博账号登陆

只需一步,快速开始

用百度帐号登录

只需两步,快速登录

搜索
查看: 2313|回复: 1

cdnbest本地主控系统如何查看区域列表同步日志来检查被黑问题,所有站点403拒绝访问,配置文件为ipfrequency

[复制链接]
 成长值: 339

签到天数: 4738 天

[LV.Master]伴坛终老

发表于 2021/3/30 19:30 | 显示全部楼层 |阅读模式 |Google Chrome 89.0.4389.90|Windows 10
天涯海角搜一下: 百度 谷歌 360 搜狗 有道 雅虎 必应 即刻
cdnbest本地主控系统如何查看区域列表同步日志来检查被黑问题,所有站点403拒绝访问,配置文件为ipfrequency

通过检查节点日志,未发现节点被暴力破解插入请求控制规则引起被黑,然后从主控下手,发现是主控被黑了
节点日志获取方法
https://bbs.itzmx.com/thread-97663-1-1.html

登录后台,移动上去操作类型会弹出具体的信息,不带域名的那种就行了,例子如下

1.png

4.png

2.png

3.png

例如这样,就是主控被黑了,和节点无关系,看上面的信息,视乎连接到了http://18.163.117.251:8099/12.sh 下载一个木马文件在/tmp文件夹中,然后执行给节点插入一段规则

恢复方法就是,在同步日志处,删除所有日志,然后进入节点列表全选,点击重置节点即可恢复

重置节点后看看恢复了没,没恢复要登录节点看是哪个站出问题,例如重置后网站还是响应403状态,登录节点可以看到站点里面的请求控制单独被插入了一个表名配置文件为ipfrequency
1.png

在主控中搜索配置文件,全部删除即可恢复访问
2.png

然后观察服务器登录日志,发现是ssh被黑引起,还被中了xmra64挖矿木马
root     pts/0        103.145.73.118   Thu Mar 11 00:55 - 03:50  (02:55)

查了下tmp文件夹,发现12月15号就中毒了,被植入了挖矿程序,钱包已经挖了给对方几千块收入了
1.png

2.png

cdnbest主控访问日志获取,来找是怎么被黑的原因,是服务器被黑,还是程序漏洞,等未来官方上线后提交日志给官方进行检查。
  1. yum -y install tar gzip lrzsz
  2. tar -zcvf access.tar.gz /vhs2/kangle/var
  3. tar -zcvf access2.tar.gz /vhs2/cbmaster/var
  4. sz access.tar.gz access2.tar.gz
复制代码


被黑关联贴:https://bbs.itzmx.com/thread-97687-1-1.html
https://bbs.itzmx.com/thread-97798-1-1.html

欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复

使用道具 举报

签到天数: 1167 天

[LV.10]以坛为家III

发表于 2021/4/3 02:58 | 显示全部楼层 |Google Chrome 89.0.4389.114|Windows 10
欢迎光临IT技术交流论坛:http://bbs.itzmx.com/
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册论坛 新浪微博账号登陆用百度帐号登录

本版积分规则

手机版|Archiver|Mail me|网站地图|IT技术交流论坛 ( 闽ICP备13013206号-7 )

GMT+8, 2024/12/24 21:41 , Processed in 0.237743 second(s), 23 queries , MemCache On.

Powered by itzmx! X3.4

© 2011- sakura

快速回复 返回顶部 返回列表