临近2019年底,网站安全事件频发,攻击者加大了对网站的攻击力度。他们一定是在准备过年的压岁钱,发大财过个好年。就在最近,一个客户的网站被入侵,主页代码被篡改,网站直接从搜索引擎跳转到蔡//飘网站。通过朋友介绍,找到我们提供网站安全服务,防止网站被攻击,恢复网站正常访问。关于这次安全事件的应急处理,以及如何做好网站安全加固,我们以文章的形式记录下来。
2019年12月18日晚上10点,我刚准备收拾东西下班,就接到客户电话,说公司网站被入侵了。该网站主页代码的标题、描述和关键字被篡改成加密字符。我从百度点进去,直接到了菜菜//飘和菠菜的网站。在听到客户对这些网站被攻击的描述后,我可以肯定网站被攻击并劫持到了菜菜/。
网站采用windows2012系统,thinkphp开发,php+mysql架构,使用IIS作为网站运行环境,网站入侵、服务器攻击、代码篡改、网站劫持、跳转等。我们处理了十几年,第一反应就是客户的服务器被黑了,可能被赋予了添加管理员账号的权限,或者被植入了后门,导致网站一直被攻击。一般我们都知道问题。接下来需要登录服务器进行详细的安全检测,包括网站代码安全检测和网站漏洞检测、网站木马后门清除等一系列相关的安全服务。
登录到服务器。我们发现服务器被植入了木马后门,写在系统文件里,并钩入启动服务。无论服务器如何重启,攻击者植入的木马后门文件仍然会被执行。我们马上清除了后门,对服务器的端口做了安全策略,限制站内外端口的访问,只开放80,对远程端口做了IP白名单安全限制。接下来,最重要的安全问题是客户的网站不断跳转,从百度点击会不断跳转,包括APP端同样的攻击症状。我们检查了主页代码,发现代码被篡改了。截图如下
在百度里搜索网站,网站的快照并被百度网址安全中心提醒您:该站点可能受到黑客攻击,部分页面已被非法篡改!客户的网站还做的百度推广,导致流量一直下滑,损失较大,我们对首页代码的篡改内容进行了删除,恢复正常的网站访问,但问题并不是想象的那么简单,删除代码后,跳转的问题还是依旧,并没有解决,根据我们多年的安全经验来看,肯定是IIS被劫持了,也就是说IIS的配置文件可能被攻击者篡改了。对服务器的IIS配置文件进行查看,检查处理程序映射功能是否被植入恶意的DLL文件,仔细看了下,也没发现问题,继续定位安全分析,也对web.config检查了,也没发现URL伪静态规则,看来攻击者还是有点技术手段,那也没有关系,既然问题确定在IIS里,肯定是写在那个配置文件中,随即我们对模块功能进行检查,发现了问题,被植入了恶意的DLL文件,导致该模块被应用到了IIS8.0当中,找到问题根源,处理起来就比较容易了,随即对该模块进行了清除,并iisreset命令重启了IIS环境,网站被入侵跳转的问题没有了。在百度搜索网站,网站的快照会被百度网站安全中心提醒网站可能被黑客攻击,部分页面已经被非法篡改!我们客户的网站还是做百度推广,导致流量不断下降,亏损较大。我们删除了主页代码被篡改的内容,恢复了正常的网站访问,但是问题并没有我们想象的那么简单。删了代码之后,跳转的问题依旧,依然没有解决。根据我们多年的安全经验,IIS肯定是被劫持了,也就是说IIS的配置文件可能被攻击者篡改了。检查服务器的IIS配置文件,检查处理程序映射函数是否被植入恶意DLL文件,仔细看,没有发现问题。继续跟踪安全分析,也查了web.config,没有发现URL伪静态规则。看来攻击者还是有些技术手段的,所以无所谓。由于问题是在IIS中确定的,因此必须将其写入该配置文件。我们马上检查了模块的功能,发现了问题,植入了恶意的DLL文件,导致模块被应用到IIS8.0,找到了问题的根源,处理起来就比较容易了。随即,该模块被清除,iisreset命令重启IIS环境,网站入侵和跳转的问题没有了。
接下来,我们开始对客户的网站进行安全加固,仔细检查网站的漏洞和木马后门,对thinkphp的每个文件代码进行详细的人工安全审计。发现thinkphp存在远程代码执行漏洞,导致攻击者直接执行该漏洞生成网站木马后门文件,又称webshell。在公共目录中发现了一个word木马后门,也叫PHP小马。我们删除了它并修复了客户网站的漏洞,这样客户的网站
有客户认为删除首页的跳转代码就可以解决问题,但是过几天网站又被攻击了。根本原因在于网站漏洞未被修复,网站存在webshell木马后门文件。只有真正从根源入手,才能防止网站被攻击。如果对代码不太了解,建议找专业的网站安全公司处理。网站安全也会给客户带来双赢。你能帮助客户走多远,你就能走得更远。
本文来自不茫然未来投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/640853.html
微信扫一扫 
