2020年2月19日,一名新客户报告称,他的网站被黑客入侵,网站主页被黑客篡改。网站主页添加了一些与网站不符的内容和加密代码,导致百度网站安全中心提醒您,此页面上可能有木马病毒!百度网站的收藏和快照也被劫持成了什么样的世界杯bo才、du博等内容。根据上述客户向我们报告的网站被黑客攻击的问题,我们的Sinesafe网站安全公司立即安排安全技术人员对客户网站被黑客攻击的情况进行详细的网站安全检测和代码手动安全审计。发现客户网站的首页以前经常被篡改。客户只能删除首页文件,然后重新生成首页。实在是被反复攻击篡改不得已才找到我们的Sine安全公司来处理网站的安全问题。
一、网站被黑客攻击的分析
1.客户网站使用梦幻编织DEDECMS系统(PHP+MYSQL数据库架构)。近年来,发现了太多DEDECMS漏洞。然而,现在有许多网站和平台使用DEDEDECMS。进行优化排名的一般企业站或网站都使用这个梦想编织程序。优化速度快,访问速度快。全站可以生成静态文件,便于管理和更新文章,优化和提高网站打开速度和关键词。通过与客户的沟通和了解,发现如果客户网站发布新文章并在后台生成新的html页面,或者生成index.html主页,攻击者会直接添加一些加密代码和赌博内容,如下图所示:
网站被篡改的内容都添加了一些与网站无关的内容,如zu球bo彩以及世界杯的内容。此外,网站代码也让JS判断跳跃。对于百度搜索的客户,他们会直接跳转到竞速、du博,导致360个即时du薄网站被拦截。百度提示风险拦截的图片如下:
该网站将在百度搜索中给出直接的风险警告:百度网站安全中心提醒你,该页面上可能有木马病毒。
通过对客户网站上所有代码的安全检测和代码的手动安全审计,发现网站主页上index.html的内容已经被篡改,dedecms模板目录文件下的index.htm文件也已经被篡改。
让我们打开index.htm模板文件,看看代码:
下面的代码是一个加密的JS跳转代码,它是根据百度搜索等相应的条件来判断,然后跳转,直接进入网站域名不会跳转。
代码[" \ x64 \ x6f \ x63 \ x75 \ x65 \ x65 \ x6e \ x74 "][" \ x77 \ x72 \ x69 \ x74 \ x65 "](' \ x3c \ x73 \ x62 \ x69 \ X70 \ x74 \ x20 \ x74 \ x79 \ X70 \ x65 \ X3D \ x74 \ x65 \ x78 \ x74 \ x2f \ x6a \ x61 \ x76 \ x61 \ x73 \ x66
上面发现了一些加密的代码,并用这些代码解密,以发现它们与赌博和赌博有关。第一页生成后,我们直接删除了被篡改的内容,然后删除了网站中残留的木马病毒和木马后门。我们还做好了网站漏洞检测和修复工作,并部署了网站防篡改方案。
第二,网站被黑客侵入清理过程记录
1.经过Sine安全技术的安全审计后,网站发现网站根目录下的datas.php文件内容在安全处理过程中属于PHP类型的脚本一句话木马。
现在我们已经发现了一个一句话木马,一定有一个PHP脚本大马。然后我们发现css目录下的一个文件是加密代码。我们访问了脚本木马地址,发现它确实是一种php后门木马。
PHP脚本木马有太多的操作权限。通过编辑和重命名文件、执行恶意的sql语句以及检查服务器的系统信息,可以清楚地看到这一点。网站的所有程序代码都已被扫描木马特征,并已找到网站的N个木马文件。难怪客户说反复出现的文件被黑客攻击,网站被篡改得几乎吐血。下图显示了扫描的特洛伊病毒:
对于这么多脚本木马后门,我们的安全技术已经直接移除并清除了它们,因为客户端网站使用单独的服务器。那么服务器的安全性也应该得到详细的加强,网站的安全性也应该得到保护。检查完网站的mysql数据库后,将根权限分配给网站(使用根管理员权限会导致整个服务器被封锁,增加攻击风险)。我们已经向客户端服务器添加了一个具有正常权限的数据库帐户,并将其分配给网站。数据库的端口3306和端口135的端口445以及数据库的端口139部署有端口安全策略,以防止来自外部网络的所有连接。只允许内部网络连接。详细的服务器安全设置和部署在服务器上执行。随后,我们对网站数据库中的所有文件、代码、图片和内容进行了详细的安全检测和比较。从SQL注入测试、XSS跨站点安全测试、表单旁路、文件上传漏洞测试、包含漏洞检测的文件、网页挂马、网页后门木马检测,包括一句小马、aspx木马、脚本木马后门、敏感信息泄露测试、任意文件读取、目录遍历、弱密码安全检测等方面的全面安全检测,以及漏洞修复,到目前为止客户网站被黑客攻击到了一个完美的解决方案。因为以前,客户平均每天被篡改两到三次。从安全部署到今天的20号,客户网站上的一切都很正常,没有被篡改。
三.防范网站被攻击的建议
1.定期更新服务器系统漏洞(windows 2008 2012,linux centos系统),升级网站系统,并尝试不应用第三方的应用编程接口插件代码。
2.如果你对程序代码了解不多,建议找一家网站安全公司来修补网站的漏洞,以及代码安全检测和木马后门的清除。国内网站推荐sine安全公司、绿盟安全公司、鹰盾安全等网站安全公司提供深入的网站安全服务,确保网站安全稳定运行,防止网站被马挂住等安全问题。
3.尽量不要过于简化网站后台用户的密码设置,要符合大小写字母+数字+10-18位符号的组合。
4.网站的后台管理路径不得被默认管理员或关系管理员或管理员访问,也不得被文件名为admin.asp的路径访问。
5.必须详细完成服务器的基本安全设置,包括端口安全策略、注册表安全和底层系统的安全增强。否则,服务器是不安全的,网站是无用的。