2019年临近,网站安全事件频发,攻击者对网站的攻击力度加大。 他们肯定正在准备压岁钱,赚很多钱来度过美好的一年。 就在最近,一位客户的网站被入侵,首页代码被篡改。 网站从搜索引擎直接跳转到Cai//piao网站。 通过朋友的介绍,找到我们提供网站安全服务,防止网站被攻击,恢复网站。 为了正常访问,我们将以文章的形式记录本次安全事件的应急处理以及如何加强网站的安全。
2019年12月18日晚上10点,我正准备收拾行李下班,突然接到客户电话,说公司网站被黑了。 网站首页代码的标题、描述、关键词均被篡改为加密字符。 来自百度点击直接跳转到菜//piao,一个菠菜网站。 听到客户对这些网站被攻击的描述后,可以确定该网站已被攻击并劫持为Cai//piao网站。 针对这一情况,我们立即启动安全应急小组,对客户网站进行安全处理,防止攻击扩大。
客户的网站使用的系统,采用php+mysql架构开发的网站,使用IIS作为网站的运行环境。 我们应对网站入侵、服务器攻击、代码篡改、网站劫持和重定向等攻击已有十多年的历史。 第一反应是客户的服务器也被黑客入侵,管理员账户可能被提升,或者被植入后门,导致网站不断受到攻击。 我们了解了大概的问题,接下来就需要登录服务器进行详细的安全检查,包括网站代码安全检查和网站漏洞检测、网站木马后门清除等一系列相关的安全服务。
登录服务器后,我们的技术发现该服务器被植入了木马后门,该后门被写入系统文件中并挂接到启动服务中。 无论服务器如何重启,攻击者植入的木马后门文件仍然会被执行。 我们立即进行了后门检查。 清理后,对服务器端口实施安全策略,限制站点内外的端口访问。 只开放了80个,并对远程端口实施了IP白名单安全限制。接下来最重要的安全问题是客户的网站仍然不断跳动。 从百度上点击就会一直跳转。 同样的攻击症状也出现在APP上。 我们检查了首页代码,发现代码已被篡改。 截图如下
在百度中搜索该网站,您会得到该网站的快照,并且百度网址安全中心会提醒您:该网站可能遭到黑客攻击,部分页面已被非法篡改! 客户的网站也被百度推广,导致流量持续下降,损失巨大。 我们删除了首页代码被篡改的内容,恢复了网站的正常访问。 然而问题并没有想象的那么简单。 删除代码后,问题依旧,没有解决。 根据我们多年的安全经验,IIS肯定是被劫持了,也就是说IIS的配置文件可能已经被攻击者篡改了。 检查服务器的IIS配置文件,检查映射函数是否被植入恶意DLL文件。 经过仔细检查,没有发现问题。 我继续跟踪安全分析,也检查了网络。 没有发现虚假网址。 静态规则,看来攻击者还是有一定技术功底的,无所谓。 由于确定问题出在IIS中,因此必须将其写入该配置文件中。 然后我们检查了模块功能,发现了问题,是被恶意植入的。 DLL文件,导致该模块适用于IIS8.0。 更容易找到问题的根本原因。 然后清除该模块并重新启动IIS环境。 网站被入侵和重定向的问题消失了。 。
接下来,我们开始加强客户网站的安全性。 我们仔细检查了网站的漏洞和木马后门。 我们对每个文件代码进行了详细的人工安全审核,发现存在远程代码执行漏洞,导致攻击者在没有任何权限的情况下,直接执行该漏洞生成网站木马后门文件,也称为. 在该目录中发现了一个单句木马后门,也称为PHP pony。 我们将其删除并修复了客户网站漏洞,使客户网站安全。 。
有客户认为删除主页跳转代码就能解决问题,但没过几天网站又再次遭到攻击。 根本问题是网站漏洞没有修复,网站存在木马后门文件。 只有真正从根源入手,才能杜绝网站的发生。 被攻击。 如果您对代码不太了解,建议找专业的网站安全公司来处理。 一个安全的网站将为客户带来双赢的利益。 你能帮助客户走得越远,你就能走得越远。