node的web应用被黑,求指导该如何处理
发布于 4 年前 作者 thomas0836 4250 次浏览 来自 问答

情况是这样的,根据nodeclub的源码做基础做了一个web应用。最近被人黑了…… 他把服务器的home 文件夹全部删除了……

请问,关于node的web应用网络安全上应该怎么处理~ 小白

24 回复

你是什么服务器啊? 这么不安全?

过滤关键词,防sql注入,防刷,防灌水,防爬,这些基础组件应该放在路由之前还是路由之后?

被删除 可能是服务器被入侵 linux 更改 ssh 端口

@chenxiaohu 放在路由前会有很多无谓的操作,比如一般的关键字都是在大段文章post的请求才需要处理,如果放在路由前面,很多get请求也要处理找一遍关键字 空过滤一遍 , 还有很多爬页面一般只是爬列表和详情页,然后在路由前做的,很多后台增删查改的action都过处理一遍ua和ip 虽然这些操作不是很复杂,但是如果请求多了积累起来也是很浪费资源的

如果 home 被删除的话,那么说明应该是你密码设置的太松散了。

云服务器 ssh 密钥登录 网站用docker隔离。

@XGHeaven 但是看日志 没有其他用户登陆样子

会不会自己不小心删的 自豪地采用 CNodeJS ionic

你这样, 感觉是被入侵服务器了

查看下历史命令,看是否进行误操作或者其他管理人员误操作.

怎么可能,入侵阿里云服务器那么容易吗。

不要用 root 权限运行 web 服务. 不知道是不是这个原因.

开启防火墙, 只用ssh登录非root账户, 取消密码登录, 非root账户用于web应用

@zkaip 整台机删了…全部做过了,已确认被黑,黑客还留下一个read me 文件,登陆后自动将内容显示在控制台…要求比三个比特币他,才归还内容。现在新服务器,开了一个新用户,所有文件的创建都是用root,项目启动用一个新用户,只给那个用户读的权限

@zkaip 我让我们的运维看过服务器,不该开的端口也没有开,防火墙也是开了的,查到一个奇怪的密钥,怀疑是已经上传了他自己的密钥不用密码来登陆了…登陆信息只有自己的,没有看到其他异常的,历史操作命令也是!这些都有办法删除的吧?

@zkaip 用什么途径入侵的还没有查到…初步结论是node的web应用可能有些漏洞,用一些网上的方式是可以直接查到项目存放路径的。至于怎样利用这些做下一步就不了解了…望大神们指教,或者推荐相关的资料学习了解

关注中

来自酷炫的 CNodeMD

开发过程有些npm包要检查好,不要随便用来历不明的包

刚好遇到同一个问题,服务器上也是搭建了 nodeclub 应用。同样被删除了 /home 目录。也查不到用户登录的记录,也是被勒索 3 个比特币。这事情太巧了吧。

我之前遇到过redis开公网被入侵的情况,对方直接把ssh key写了过来,可以查看一下ssh的登录日志

来自酷炫的 CNodeMD

回到顶部