2、2008和2003、XP必打，现在均有漏洞批量利用工具
2012和2016好一些没有大面积被黑，但是都建议打上对应补丁，因为没有批量利用工具做出来，不代表这个漏洞是无法利用的，有可能只是工具还没开发出来而已

20170513微软发布了Windows XP和Windows 2003的ms17-010特别补丁，详情请看以下链接

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

——————————-
winxp特别补丁 – KB4012598
——————————-
winxp3 32位 Security Update for Windows XP SP3 (KB4012598)

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

winxp2 64位 Security Update for Windows XP SP2 for x64-based Systems (KB4012598)

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

——————————-
win2003特别补丁 – KB4012598
——————————-
2003SP2 32位 Security Update for Windows Server 2003 (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe

2003SP2 64位 Security Update for Windows Server 2003 for x64-based Systems (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe

——————————-
2008R2补丁 KB4012212、KB4012215
——————————-
March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

March, 2017 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-based Systems (KB4012215)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecda(论坛关键词屏蔽，请去掉我)fa81aefbe7f9009c72b.msu

——————————-
win7补丁 KB4012212、KB4012215
——————————-
win7 32位
March, 2017 Security Only Quality Update for Windows 7 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

March, 2017 Security Monthly Quality Rollup for Windows 7 (KB4012215)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x86_e5918381cef63f171a74418f12143dabe5561a66.msu

win7 64位
March, 2017 Security Only Quality Update for Windows 7 for x64-based Systems (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

March, 2017 Security Monthly Quality Rollup for Windows 7 for x64-based Systems (KB4012215)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecda(论坛关键词屏蔽，请去掉我)fa81aefbe7f9009c72b.msu

——————————-
win10 1607补丁 KB4013429
——————————-
win10 1607 32位
Cumulative Update for Windows 10 Version 1607 (KB4013429)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu

win10 1607 64位
Cumulative Update for Windows 10 Version 1607 for x64-based Systems (KB4013429)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

——————————-
2012R2补丁 KB4012213、KB4012216
——————————-
March, 2017 Security Only Quality Update for Windows Server 2012 R2 (KB4012213)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

March, 2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu

——————————-
2016补丁 KB4013429
——————————-
Cumulative Update for Windows Server 2016 for x64-based Systems (KB4013429)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

首发Hostloc.com，转载请务必保留此行

http://www.hostloc.com/thread-365738-1-1.html

ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用，图片的旋转、组合，文本，直线，多边形，椭圆，曲线，附加到图片伸展旋转。在本周二，ImageMagick披露出了一个严重的0day漏洞，此漏洞允许攻击者通过上传恶意构造的图像文件，在目标服务器执行任意代码。低于7.0.1-1和6.9.3-10版本均可能会有安全风险。

LNMP上也附带此组件，但默认不安装，如果你安装了ImageMagick并使用了此组件，建议对其进行升级。目前不受影响版本为ImageMagick 7.0.1-1和6.9.3-10。

LNMP 1.3beta版中已经进行了更新，lnmp用户可以执行：wget http://soft.vpser.net/lnmp/lnmp1.3beta.tar.gz -O lnmp1.3beta.tar.gz &&  tar zxf lnmp1.3beta.tar.gz && cd lnmp1.3 && ./addons.sh install imagemagick 回车确认后将重新安装ImageMagick升级到不受影响的版本。

也可以手动如下安装：
wget http://soft.vpser.net/web/imagemagick/ImageMagick-7.0.1-1.tar.gz
tar zxf ImageMagick-7.0.1-1.tar.gz
cd ImageMagick-7.0.1-1
./configure –prefix=/usr/local/imagemagick
make && make install
cd ../

不报错的话就升级成功了。

受影响操作系统版本
CentOS 6 、7
Debian 7
Red Hat Enterprise Linux 6 、 7
Ubuntu 10.04 、12.04
等众多使用glibc库2.2-2.17版本的Linux发行版本

漏洞检测方法
漏洞检测方式由freebuf、360安全播报平台提供
编译以下测试代码

1.      #include

2.      #include

3.      #include

4.      #include

5.      #include

6.

7.      #define CANARY ”in_the_coal_mine”

8.

9.      struct {

10.    char buffer[1024];

11.    char canary[sizeof(CANARY)];

12.  } temp = { ”buffer”, CANARY };

13.

14.  int main(void) {

15.    struct hostent resbuf;

16.    struct hostent *result;

17.    int herrno;

18.    int retval;

19.

20.   /*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/

21.   size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;

22.    char name[sizeof(temp.buffer)];

23.    memset(name, ’0′, len);

24.    name[len] = ’';

25.

26.   retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);

27.

28.    if (strcmp(temp.canary, CANARY) != 0) {

29.      puts(“vulnerable”);

30.      exit(EXIT_SUCCESS);

31.    }

32.    if (retval == ERANGE) {

33.      puts(“not vulnerable”);

34.      exit(EXIT_SUCCESS);

35.    }

36.    puts(“should not happen”);

37.    exit(EXIT_FAILURE);

38.  }

然后在服务器上执行：

1.      gcc gistfile1.c -o CVE-2015-0235

2.      ./CVE-2015-0235

如果提示:vulnerable 就说明存在漏洞.

update之后，要重启依赖glibc的进程，目前部分linux发行商已经发布相关补丁，不过仍有相当数量的linux版本无补丁可打。

解决方案二：安装linux版安全软件
目前还没有补丁的linux版本建议尽快安装云锁（免费的linux安全软件很好用），打完补丁的用户也建议部署云锁，加固服务器安全。

该软件的防护机制：通过内核虚拟安全域技术，控制网站权限，将WEB及数据库进程放置在受控安全域内，限制其权限，有效降低漏洞风险，阻止攻击者通过幽灵漏洞提权。同时云锁采用内核级安全防护技术与web访问控制技术向结合，能有效防御病毒、木马、webshell、后门等恶意代码和CC攻击、Sql注入、XSS跨站攻击、网页篡改、挂黑链等黑客行为，有效保护服务器和网站安全。

云锁Linux版下载地址：
http://www.yunsuo.com.cn/ht/software/
或者直接按照官方提供的安装教程wget安装：
http://www.yunsuo.com.cn/help/center#/qs/qs-03

附9月25日给出的Linux官方解决方案

特别提醒：Linux 官方已经给出最新解决方案，已经解决被绕过的bug，建议您尽快重新完成漏洞修补。openSUSE 镜像已经给出修复方案了。

【已确认被成功利用的软件及系统】
所有安装GNU bash 版本小于或者等于4.3的Linux操作系统。

【漏洞描述】
该漏洞源于你调用的bash shell之前创建的特殊的环境变量，这些变量可以包含代码，同时会被bash执行。

【漏洞检测方法】
漏洞检测命令：env -i X=’() { (a)=>’ bash -c ‘echo date’; cat echo

修复前
输出:
当前系统时间

使用修补方案修复后
输出
date
（备注：输出结果中见到”date”字样就修复成功了。）

特别提示：该修复不会有任何影响，如果您的脚本使用以上方式定义环境变量，修复后您的脚本执行会报错。

【建议修补方案 】

请您根据Linux版本选择您需要修复的命令， 为了防止意外情况发生，建议您执行命令前先对Linux服务器系统盘打个快照，如果万一出现升级影响您服务器使用情况，可以通过回滚系统盘快照解决。

centos:(最终解决方案)
yum clean all
yum makecache
yum -y update bash

ubuntu:(最终解决方案)
apt-get update
apt-get -y install –only-upgrade bash

debian:(最终解决方案)
7.5 64bit && 32bit
apt-get update
apt-get -y install –only-upgrade bash

6.0.x 64bit
wget http://mirrors.aliyun.com/debian/pool/main/b/bash/bash_4.1-3+deb6u2_amd64.deb && dpkg -i bash_4.1-3+deb6u2_amd64.deb

6.0.x 32bit
wget http://mirrors.aliyun.com/debian/pool/main/b/bash/bash_4.1-3+deb6u2_i386.deb && dpkg -i bash_4.1-3+deb6u2_i386.deb

aliyun linux:(最终解决方案)
5.x 64bit
wget http://mirrors.aliyun.com/centos/5/updates/x86_64/RPMS/bash-3.2-33.el5_10.4.x86_64.rpm && rpm -Uvh bash-3.2-33.el5_10.4.x86_64.rpm

5.x 32bit
wget http://mirrors.aliyun.com/centos/5/updates/i386/RPMS/bash-3.2-33.el5_10.4.i386.rpm && rpm -Uvh bash-3.2-33.el5_10.4.i386.rpm

opensuse:(最终解决方案)

zypper clean
zypper refresh
zypper update -y bash

然后一些朋友就问我是怎么屏蔽这些垃圾评论的IP的，以及能否共享这些垃圾评论的IP，还有朋友问怎么提取自己博客的垃圾评论的IP，这个稍稍讲解下。

第一，nginx环境下

新建 denyip.conf 文件，在服务器/usr/local/nginx/conf目录下的nginx.conf里面，加上

include denyip.conf;

将屏蔽的IP放到 denyip.conf 里面

deny 110.83.0.0/16;

deny 110.84.111.0/24;

deny 110.85.124.56;

保存之后将 denyip.conf 上传到/usr/local/nginx/conf目录下，弄好之后记得重启nginx。

上面我列举了3中屏蔽类型，第一行的是屏蔽110.83.*.*的所有IP，第二行的是屏蔽110.84.111.*的所有IP，第三行是只屏蔽110.85.124.56这个IP。

第一行的屏蔽的范围较大，很容易误拦，第三行的疲敝最稳妥，但是IP越多导致文件会很大，也不算太可取，第二行的方式是我目前使用的，好处坏处介于2这之间，大家可以自由选择。

垃圾评论IP的收集
有人问我如何收集这些垃圾评论IP的，其实很简单，一个SQL就搞定，然后Excle处理下。

首先安装Akismet插件，这个插件会把垃圾评论标记为spam，只安装这一个就可以了，其他任何防评论插件请勿安装。

SELECT `comment_author_IP` FROM `wp_comments` WHERE `comment_approved`= ’spam’
执行好了之后，导出这些IP，保存csv格式，然后直接用Excle打开，排序，去重，就得到唯一的垃圾评论IP了。

得到垃圾评论了之后就可以按照上面的方式操作了。

第二，apache环境下

空间支持 .htaccess

<Limit GET HEAD POST>

order allow,deny

deny from 110.85.104.152

deny from 110.85.113

deny from 110.85.113.0/24

deny from 110.87

deny from 110.87.0.0/16

deny from 110.86.167.210 110.86.184.181

deny from 110.86.185.0/24 110.86.187.0/24

allow from all

</Limit>
apache下关于限制IP的写法比较多种，IP开始的第一行，是最普通的限制唯一IP，第二行跟第三行表达的内容是一样的，限制110.85.113.* 下所有的IP；第四五行也是一样的，限制110.87.*.* 下所有的IP；第六行是限制这2个IP，第7行就是显示这两个IP段；注意多个IP限制时用空格分开。

目前我收集的垃圾评论的IP
经过大约一周时间的统计，目前收集了一批垃圾评论的IP，用纯真IP批量跑了这些IP，其中以福建莆田市的居多，美国的也不少。如果你也饱受垃圾评论的攻击，可以用用这个方法和IP，我会定期更新IP数据的。
第三，iptables IP限制访问 指定IP访问

只允许指定的一个IP访问服务器

vi /etc/sysconfig/iptables

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A INPUT -s 165.232.121.17 -j ACCEPT
-A INPUT -j DROP
COMMIT

iptables 限制ip访问

通过iptables限制9889端口的访问（只允许192.168.1.201、192.168.1.202、192.168.1.203）,其他ip都禁止访问
iptables -I INPUT -p tcp –dport 9889 -j DROP
iptables -I INPUT -s 192.168.1.201 -p tcp –dport 9889 -j ACCEPT
iptables -I INPUT -s 192.168.1.202 -p tcp –dport 9889 -j ACCEPT
iptables -I INPUT -s 192.168.1.203 -p tcp –dport 9889 -j ACCEPT

如果你之前的防火墙设置了永久关闭，则需要解除

chkconfig –list 查看启动服务，找到要关闭服务名
chkconfig –level 235 服务名 off 【在等级3和5为开机运行服务】

系统运行级别有0—6，就在/etc/inittab中的0-6

等级0表示：表示关机

等级1表示：单用户模式

等级2表示：无网络连接的多用户命令行模式

等级3表示：有网络连接的多用户命令行模式

等级4表示：不可用

等级5表示：带图形界面的多用户模式

等级6表示：重新启动2011/10/26

博主去和军哥了解过，军哥表示只要没开ssl就不受漏洞影响。如果大家不放心的话，可以通过下面的网站在线监测。

https://filippo.io/Heartbleed/

如果有漏洞的话会显示：

www.你的域名.com IS VULNERABLE.

如果是安全的：

All good, www.你的域名.com seems not affected!

现在介绍一个简单修复漏洞的方法，直接升级OpenSSL即可。

yum upgrade

./lnmp restart

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。美国新闻网站Vox撰文，对当天公布的OpenSSL“心脏流血”漏洞进行了全面解读。以下为文章全文：

什么是SSL？

SSL是一种流行的加密技术，可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时，就会在URL地址旁看到一个“锁”，表明你在该网站上的通讯信息都被加密。

这个“锁”表明，第三方无法读取你与该网站之间的任何通讯信息。在后台，通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话，也只能看到一串随机字符串，而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。

SSL最早在1994年由网景推出，1990年代以来已经被所有主流浏览器采纳。最近几年，很多大型网络服务都已经默认利用这项技术加密数据。如今，谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。

什么是“心脏出血”漏洞？

多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一，研究人员宣布这款软件存在严重漏洞，可能导致用户的通讯信息暴露给监听者。OpenSSL大约两年前就已经存在这一缺陷。

工作原理：SSL标准包含一个心跳选项，允许SSL连接一端的电脑发出一条简短的信息，确认另一端的电脑仍然在线，并获取反馈。研究人员发现，可以通过巧妙的手段发出恶意心跳信息，欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗，并发送服务器内存中的信息。

该漏洞的影响大不大？

很大，因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德·菲尔腾(Ed Felten)表示，使用这项技术的攻击者可以通过模式匹配对信息进行分类整理，从而找出密钥、密码，以及信用卡号等个人信息。

丢失了信用卡号和密码的危害有多大，相信已经不言而喻。但密钥被盗的后果可能更加严重。这是是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥，便可读取其收到的任何信息，甚至能够利用密钥假冒服务器，欺骗用户泄露密码和其他敏感信息。

谁发现的这个问题？

该漏洞是由Codenomicon和谷歌安全部门的研究人员独立发现的。为了将影响降到最低，研究人员已经与OpenSSL团队和其他关键的内部人士展开了合作，在公布该问题前就已经准备好修复方案。

谁能利用“心脏流血”漏洞？

“对于了解这项漏洞的人，要对其加以利用并不困难。”菲尔腾说。利用这项漏洞的软件在网上有很多，虽然这些软件并不像iPad应用那么容易使用，但任何拥有基本编程技能的人都能学会它的使用方法。

当然，这项漏洞对情报机构的价值或许最大，他们拥有足够的基础设施来对用户流量展开大规模拦截。我们知道，美国国家安全局(以下简称“NSA”)已经与美国电信运营商签订了秘密协议，可以进入到互联网的骨干网中。用户或许认为，Gmail和Facebook等网站上的SSL加密技术可以保护他们不受监听，但NSA 却可以借助“心脏流血”漏洞获取解密通讯信息的私钥。

虽然现在还不能确定，但如果NSA在“心脏流血”漏洞公之于众前就已经发现这一漏洞，也并不出人意料。OpenSSL是当今应用最广泛的加密软件之一，所以可以肯定的是，NSA的安全专家已经非常细致地研究过它的源代码。

有多少网站受到影响？

目前还没有具体的统计数据，但发现该漏洞的研究人员指出，当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看，这两种服务器约占全球网站总数的三分之二。SSL还被用在其他互联网软件中，比如桌面电子邮件客户端和聊天软件。

发现该漏洞的研究人员几天前就已经通知OpenSSL团队和重要的利益相关者。这让OpenSSL得以在漏洞公布当天就发布了修复版本。为了解决该问题，各大网站需要尽快安装最新版OpenSSL。

雅虎发言人表示：“我们的团队已经在雅虎的主要资产中(包括雅虎主页、雅虎搜索、雅虎电邮、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr)成功部署了适当的修复措施，我们目前正在努力为旗下的其他网站部署修复措施。”

谷歌表示：“我们已经评估了SSL漏洞，并且给谷歌的关键服务打上了补丁。”Facebook称，在该漏洞公开时，该公司已经解决了这一问题。

微软发言人也表示：“我们正在关注OpenSSL问题的报道。如果确实对我们的设备和服务有影响，我们会采取必要措施保护用户。”

用户应当如何应对该问题？

不幸的是，如果访问了受影响的网站，用户无法采取任何自保措施。受影响的网站的管理员需要升级软件，才能为用户提供适当的保护。

不过，一旦受影响的网站修复了这一问题，用户便可以通过修改密码来保护自己。攻击者或许已经拦截了用户的密码，但用户无法知道自己的密码是否已被他人窃取。

黑客声称已经取得 Linode 所有信用卡信息。

Hacker News 已有多人声称信用卡出现被盗刷情况。

有卡号在上面的请关注信用卡使用情况，或者直接换卡。我已经 order 了 replacement card .

附骇客 irc 聊天记录 以及证据截图。

Linode 居然把加密信用卡使用的公钥和私钥放在了一起，简直是……. 傻X都不足以形容！

利用该漏洞，HTP入侵了Linode的Web服务器，获取了部分源代码，最终侵入数据库。Linode称，调查结果显示，HTP并未侵入Linode的其他基础设施，如托管主机、其他服务器或服务。

Linode称，数据库中的信用卡号码都是以加密形式存储的，使用了公钥和私钥加密。为了查询和显示等需求，信用卡的后四位号码以明码显示，但没有证据显示这些信用卡号码被获取。

Linode表示，以前数据库中的Lish密码曾以明码形式显示，但该问题早已修复，并且之前所有受影响的Lish密码已经被禁用。如果用户需要访问Lish控制台，需要重新设备Lish密码。

Linode还提醒用户，如果已经设置了API密钥，最好重新设置。对于这部分用户，Linode还将以电子邮件形式通知用户。

Linode在声明中称：“我们对因此次入侵事件给用户带来的诸多不便而真诚地道歉，这次不幸的意外事件只会进一步加强我们对用户的承诺。”

远程桌面连接默认端口配置保存于注册表，有两处值需要修改，

“开始”菜单 – 运行 – 输入regedit – 回车

1、在打开的“注册表编辑器”中定位到如下分支：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp

找到PortNumber项，修改其值为想要改的端口即可。特别留意十六进制与10进制的转换，避免改错了端口自己也无法登陆！

2、定位到如下分支：

HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDPTcp

同样修改PortNumber为上面相同的数值。

修改完毕，重启电脑即可生效。

特别提醒：

请格外留意新端口号，避免由于十六进制与十进制转换出现人为失误；

绝对不能与正在使用的端口号冲突，否则可能出现异常；

防火墙！防火墙！IP/TCP筛选！如果你修改端口却忘了在“防火墙”或“IP/TCP筛选”中将新端口添加进允许列表，那么重启后，你就无法连接这台服务器了！

LNMP一键安装包下存在跨站和跨目录的问题，跨站和跨目录影响同服务器/VPS上的其他网站，最近看PHP 5.3，在5.3.3以上已经增加了HOST配置，可以起到防跨站、跨目录的问题。

如果你是PHP 5.3.3以上的版本，可以修改/usr/local/php/etc/php.ini在末尾里加入：

[HOST=www.abc.com]
open_basedir=/home/wwwroot/www.abc.com/:/tmp/
[PATH=/home/wwwroot/www.abc.com]
open_basedir=/home/wwwroot/www.abc.com/:/tmp/

按上面的这个例子修改，换成你自己的域名和目录，多个网站就按上面的例子改成多个，最后重启php-fpm：/etc/init.d/php-fpm restart

如果让网站可以使用探针需要在/tmp/后加上:/proc/

PHP 5.3.3以上版本的用户，可以执行：cd /root;rm -f /root/vhost.sh;wget http://soft.vpser.net/lnmp/ext/vhost.sh;chmod +x /root/vhost.sh，这样替换原来的vhost.sh文件，以后添加网站就会自动添加HOST防跨站、跨目录的配置。

为解决升级PHP 5.3.*版本后部分需要PHP 5.2.*版本的程序无法运行的问题，我们会增加一个PHP 5.2的安装脚本，脚本将在未来几天发布。

这样你就不必担心你的VPS或者虚拟空间因为漏洞问题被植入php-ddos，对外发送大量的数据包而被主机商关闭。 

# iptables -I OUTPUT -p udp –dport 53 -d 8.8.8.8 -j ACCEPT
# iptables -I OUTPUT -p udp –dport 53 -d 8.8.4.4 -j ACCEPT

“53”，为DNS所需要的UDP端口，“8.8.8.8”部分为DNS IP，根据您服务器的设定来定，若您不知您当前服务器使用的DNS IP，可在SSH中执行以下命令获取：

# cat /etc/resolv.conf |grep nameserver |awk ‘NR==1{print $2 }’

禁止本机对外发送UDP包

# iptables -A OUTPUT -p udp -j DROP

先讲一下思路，如果服务器上被上传了webshell那么我们肯定能够查到蛛丝马迹，比如php文件的时间，如果我们可以查找最后一次网站代码更新以后的所有php文件，方法如下。

假设最后更新是10天前，我们可以查找10天内生成的可以php文件：

find /var/webroot -name “*.php” -mtime -10

命令说明：
/var/webroot为网站根目录
-name “*.php”为查找所有php文件
-time -10为截止到现在10天

如果文件更新时间不确定，我们可以通过查找关键字的方法来确定。要想查的准确需要熟悉webshell常用的关键字，我这里列出一些常用的，其他的大家可以从网收集一些webshell，总结自己的关键字，括号里面我总结的一些关键字（eval,shell_exec,passthru,popen,system）查找方法如下：

find /var/webroot -name “*.php” |xargs grep “eval” |more
find /var/webroot -name “*.php” |xargs grep “shell_exec” |more
find /var/webroot -name “*.php” |xargs grep “passthru” |more

当然你还可以导出到文件，下载下来慢慢分析：

find /home -name “*.php”|xargs grep “fsockopen”|more >test.log

这里我就不一一罗列了，如果有自己总结的关键字直接替换就可以。当然并不是所有的找出的文件都是webshell需要自己做一下判断，判断的方法也简单，直接从浏览器访问一下这个文件或者和自己找的一些webshell比较一下，看得多了，基本上一眼就可以判断是不是webshell文件。

近期已经有多名Linux服务器管理员爆出服务器被恶意攻击，导致系统root密码泄漏以及资料泄漏，经查可能是由于内置后门的PuTTY和WinSCP工具导致。

PuTTY是知名的Windows开源SSH管理工具，WinSCP是常用的开源SFTP工具。两者皆为免费、开源软件，其中PuTTY从没有官方中文版，而WinSCP已经拥有官方中文版。

但是在百度搜索这两款软件，均出现了竞价广告，并指向非官方授权的中文打包分发网站。不熟悉相关软件的朋友，可能下载到包含后门的SSH连接工具。

经查风险网站可能包含如下站点：

·Winscp中文站，http://www.winscp.cc/。

·Putty中文站，http://putty.org.cn/。

·Putty中文站，http://putty.ws/。

三风险网站界面相同，并且使用相同的流量统计代码。下载未经授权的中文打包软件，可能导致服务器管理员密码泄漏、资料泄漏以及服务器风险。

服务器中招的症状可能包括：

1、进程 .osyslog 或 .fsyslog 吃CPU超过100~1000%（O与F 可能为随机）

2、有网络连接往 98.126.55.226:82 大概为主控

3、机器疯狂外发数据

4、/var/log被删除

5、/etc/init.d/sshd被修改

如果你的服务器已经遭到风险威胁，可以尝试更改SSH连接端口，让攻击者找不到入口。

RTdot会将相关风险报告给相关安全厂商，希望网站技术人员从官方下载软件使用。

PuTTY，http://www.putty.org/。WinSCP，http://winscp.net。

引用来源：bugbeta、hostloc、zijidelu

检查是否中招的方法：

搜索 /etc/.fsyslog /lib/.fsyslog文件是否存在。

金山毒霸、360安全卫士均已通过官方微博证实消息

http://weibo.com/1642668915/y3isb2Smm

将通过措施封杀相关后门网址，并建议用户删除相关软件。百度内部人士透露，正在积极进行内部清查，将相关竞价排名服务下线。

本修复脚本主要针对PHP 5.2.* 版本，使用修复脚本，会将PHP升级到5.2.17，不需要放在PHP源码目录，任意目录即可。

执行如下命令：wget http://soft.vpser.net/lnmp/ext/fix_php5.2_hash.sh;sh fix_php5.2_hash.sh

按提示回车确认就会自动开始安装。