当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-043909

漏洞标题:3A网络所有VPS通杀漏洞

相关厂商:www.cnaaa.com

漏洞作者: HaoYu

提交时间:2013-11-24 15:17

修复时间:2014-01-08 15:18

公开时间:2014-01-08 15:18

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-11-24: 细节已通知厂商并且等待厂商处理中
2013-11-27: 厂商已经确认,细节仅向厂商公开
2013-12-07: 细节向核心白帽子及相关领域专家公开
2013-12-17: 细节向普通白帽子公开
2013-12-27: 细节向实习白帽子公开
2014-01-08: 细节向公众公开

简要描述:

3A网络所有VPS通杀漏洞,导致无数网站被入侵,信息泄露等

详细说明:

本人小菜。。提交了一个提权教程。管理说那教程太小白了。。给自己的小经验风险给大家电。我也不知道这样分析对不对。反正就是给大家分享下。 今天的主角是3A网络,官方网站:www.cnaaa.com 我也是入侵了,其中一个小VPS发现的问题。发现了,3A网络给每台VPS都有有个3A网络建议书。我就下载下来。我的妈呀。吓死我了。。下面就给大家发出来吧。
感谢您选购3A网络的VPS,请认真阅读以下说明!!!!!!!!
---------------------------------------------------------
会员中心您可以自行远程桌面连接管理!
安全须知:
服务器登陆后请立即将密码修改掉,或者更换默认的3389远程端口为8888。(修改为其他端口会连不上服务器,除非您自己会设置windows防火墙)
服务器已开启windows防火墙并安装了防黑客软件。基本可以抵御90%黑客攻击。
桌面的“常用工具”文件夹内有维护服务器的很多小软件。希望对您有所帮助!
---------------------------------------------------------
对于目前较为头痛的php程序(主要是dedecms)被入侵后作为肉鸡攻击问题,
我们采用了修改php.INI配置文件的办法解决(c:\windows\php.ini)。主要操作为:
ignore_user_abort = On
关闭了两个函数: fsockopen 和 set_time_limit
fsockopen函数关闭会导致php程序无法采集,如果出现这种情况,
您可以在桌面的常用工具文件夹里找到 php默认的配置文件php.ini
替换 c:\windows\php.ini 后重启IIS。
服务器使用说明:
一:已安装环境:
IIS6.0 + PHP5.2.9 + Zend 3.3 + MYSQL 5.0 + .NET 3.5 + MSFTP + PHPmyadmin
MYSQL root密码为 idc668org admin789可使用phpmyadmin管理 这里可是亮点啊。我的娘哇。
管理地址:http://您服务器的IP/由于客户数量庞大,技术部较忙,VPS产品原则不提供技术支持。
而且绝大部分问题这个文档都有说明。请一定认真阅读,建议大家遇到问题多用百度。
二.如何登陆VPS?
1、操作系统上,点开始-程序-附件-通讯-远程桌面连接.
  
2、在远程桌面连接的界面里,输入您所分配的IP,
  
  如果您想从本地电脑将文件上传到服务器的话,请您点选项.选择本地资源.在本地磁盘上打上勾(有些“远程桌面连接”可能不支持该
  
  功能)。
三、磁盘加载:新开的VPS服务器默认只有一个C盘,其它的硬盘空间需要您自己手动加载,详细步骤以下:
  
  1、点“我的电脑”右健-管理;
  
  2、选择磁盘管理,,点下一步;
  
  3、一直执行“下一步”,,选择“未指派磁盘”点右键,新建卷;
  
  4、执行下一步,空间容量自己划定分区的大小,如果不改,默认只分一个区;
  
  5、执行下一步,指派驱动器号;
  
  6、卷区格式化,选择执行快速格式化;
四、首次登陆请及时修改服务器密码
  
  右击“我的电脑”-> 选择 “管理”-> 选择“本地用户和组”-> 单击“用户”,右侧可以看到默认的系统帐号“Administrator
  
  ”-> 右健点击“设置密码” 来设置您自己的密码。
  
  请注意:
  密码修改后请不要急于退出远程桌面. 请另开一个远程桌面程序,并使用新密码登录.当确认新密码无误后,即可放心的退出. 这样
  
  可以防止密码未修改成功或者是遗忘新的密码而造成远程桌面无法连接。
五、Internet 协议 (TCP/IP)
  
  该网络协议是已经分配好的,包括VPS服务器的MAC地址,请勿私自修改,否则有可能造成您的VPS无法正常使用;如果做了修改无法正常连
  
  接服务器请及时提交服务工单与我公司技术人员联系。
六、IIS站点基本设置
  
  1、首先建立一个目录作为网站目录,用于存放网站程序,
  
  2、打开IIS,右击网站选项,新建一个网站
  -> 点击“下一步”,
  -> 输入站点描述,可以用域名作为描述内容,方便以后对多个站点的清晰化管理。
  -> 继续下一步,在网站IP地址里输入您的VPS的IP地址,网站的主机头建议不要留空,以防止他人的恶意解析,建议您的网站最好不要设置成IP访问,做好设置域名访问;域名请具有备案号,提交服务工单申请将该域名添加到白名单。
  -> 继续下一步,输入网站程序存放的路径,也就是最初的时候所建立的文件目录。
  -> 继续下一步,设置网站访问权限,可以用系统默认的。
  -> 点击下一步,网站创建完成,
  请注意:域名访问需要登录我公司网站www.cnaaa.com 后台提交服务工单申请域名加入白名单才可使用。域名要有备案号。
  
  
  3、网站属性设置
  
  -> 右击新建的网站,选择属性选项
  -> 设置网站标示,可以为您的网站增加多个域名绑定,选择“高级”选项
  -> 点击添加
  -> 输入IP,输入要绑定的域名,点击确定
  -> 设置网站主目录选项,执行权限选择“纯脚本”
  -> 应用程序配置点击“配置”选项,进入应用程序配置
  -> 选择“选项”菜单,选择“启用父路径”,点击确定,完成
  -> 网站文档设置把网站默认首页文档添加上,并上移至最顶端,点击确定,完成。
  至此,IIS设置全部完成,可以在浏览器上进行测试。
七、不用安装第三方防火墙或杀毒软件(360),因为宿主机上有安装了杀毒软件Mcafee。
如果您需要防火墙,请使用windows自带的防火墙功能,在VPS里安装第三方防火墙会 造成VPS系统崩溃和数据丢失系统会自动获取最新windows补丁并自动进行安装,无需人工干预,在VPS里安装系统补丁,严重时会导致VPS系统崩溃和数据丢失。
八、不要在vps里面访问未知网站及随意安装下载的未知软件。
因为有些网站被挂了木马,当访问的时候看,木马就已经不知不觉的下载到您的vps,从而造成您的vps被人控制以及盗取vps里的信息、严重的将会损坏系统导致无法启动。网上随意下载的一些软件一般都嵌入了木马,当您安装的时候也会不知不觉的安装到您的系统。
九、建议不要在vps里面下载超大的软件或数据(例如几百M甚至几G的数据包)。
因为当您在下载这些超大文件的时候会占用很大的带宽从而影响到其他vps的正常使用、而且也会影响到自己vps的正常使用。当持续的时间比较长时会被idc防火墙误判为异常流量而屏蔽掉ip,如果有需要的软件例如mssql数据库这类的,可以联系客服 帮您拷贝到vps里面。如实在是没有这类软件的,可以选择凌晨的时候做一个任务计划进行下载。
十、不用启用自动更新、及通过360漏洞补丁或其他第三方软件更新系统。
避免通过第三方或未经测试的系统补丁造成软件上的冲突而导致系统崩溃无法正常运行。
十一、建议不要设置端口及ip策略、tcp/ip筛选。对于操作不是很熟练的客户,建议不要这样操作,当由于误操作导致无法远程或访问时,是无法取消或恢复的,所以建议普通客户不要进行此操作。
十二、本服务器的mysql数据库和mssql的数据库都是设置的手动启动,需要的话可以自行调制自己想要的模式.
Vps常见问题处理:
1、为什么我的vps能够ping通却无法远程桌面?
答:出现这种情况通常是由于资源消耗过大造成、例如:内存、cpu、以及带宽资源。通常vps里有安装了mssql和mysql数据库的出现这种问题比较频繁、这是由于数据库本身安装就需要消耗了几百M的内存、而当运行起来会消耗更多的内存,而当运行的时间越长、内存会慢慢增加而得不到释放就会造成内存不足而导致网站无法访问、无法远程,所以建议需要安装数据库都选择相应高一点内存的型号会比较好。
2、远程桌面提示超出了最大连接数怎么办?
答:开始-运行-cmd 然后在命令提示符里输入:mstsc /console /v:ip:端口 如果有端口是例如:mstsc /console /v:212.182.215.22:54292 如果是默认端口就输入:mstsc /console /v:212.182.215.22
(注意:请在登录vps之后、退出是注销就不会出现这种情况)
3、为什么vps会被封ip或被关闭?
答:这通常是由于vps被攻击而被idc的防攻击系统自动给禁止。或者是客户在vps里进行了大量数据的流入或流出操作而占用较大带宽影响了其他vps的正常使用而被管理员关闭,这种情况可以联系客服获取一个远程登录地址登录检查。如果是因为网站访问量确实比较大,建议租用服务器并购买独享带宽。
4、vps怎么更改远程桌面端口?
答:开始-运行-regedit
1.在注册表中找到hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwdsrepwdtdstcp,将其下的portnumber值从3389修改为8888即可,注意选择10进制。
2.在注册表中找到hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverWINSTATIONSRDP-TCP,将其下的portnumber值从3389修改为8888,同样选择10进制,全部修改后重新启动服务器就完成了服务器上的全部设置。
(注意:记得在修改之后将端口号添加到Windows防火墙的例外)
5、为什么vps的iis上不显示asp.net的版本且不能手动更改版本?
答:因为系统是64位环境的,而安装的asp.net是32位。iis是转32位运行的。如果安装64位的.net会导致很多的asp.net网站需要进行程序修改或无法正常运行。所以转32位运行之后iis是不显示asp版本。默认情况下asp.net都已经是支持到asp.net3.5的,所以无需手动调整asp.net版本。
==============================================================================================
我靠。。大牛,你是真不懂啊。是假不懂啊。 SA密码 和 ROOT密码都出来了,你要是不知道IP。。就不会去官方看看啊。我无语到家了。
就算你知道IP了。 我想说。你不会去下载个工具啊。比如:1433扫描空口令的 或者3306扫鸡的。这些大黑一看就懂。

漏洞证明:

.jpg

所有的VPS均可植入木马等等.

修复方案:

root mysql 密码修复,说明书上修改

版权声明:转载请注明来源 HaoYu@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2013-11-27 15:26

厂商回复:

CNVD确认所述情况,已经转由CNVD通过公开联系渠道向江苏三艾网络科技有限公司通报,建议其加强运行维护机制管理,增强信息安全风险意识。

最新状态:

暂无