********@qq.com:您網站www.*******.com涉及違法不良資訊,請儘快核查清理,詳見站內信及郵件。客戶有點懵,不知道為何會收到這樣的一條短信,但阿裡雲也不會平白無故的給客戶發這種的短信,隨即我們SINE安全立即對該問題進行安全應急回應處置,安排高級安全工程師對客戶的網站進行了安全檢測,首先登錄客戶的阿裡雲帳號查看具體的通知詳情,登錄阿裡雲帳號後,映入眼簾的是一條安全提醒,違規功能變數名稱整改通知。
通過阿裡雲站內消息通知,點擊進去查看到了詳情,如下圖所示:
尊敬的 *********@qq.com:
經用戶舉報,您的功能變數名稱存在違法違規內容,請您儘快清理並對您的網站內容進行排查。如逾期未處理或再次違規,根據服務協定,阿裡雲將對您的功能變數名稱進行暫停解析並禁止轉移處理,且不再進行二次通知。
違規示例:www.********.com
常見問題:
Q:如何解除封禁?
A:請您首先徹底清理違法資訊,然後通過 阿裡雲安全管控申訴入口 提交業務說明與對應申訴材料,工作人員將在1-3個工作日內進行回饋。
Q:如何查詢封禁原因?
A:通常是由於您的功能變數名稱發佈傳播了色情、賭博、虛假或危害國家/社會穩定的違法違規資訊,您可前往互聯網有害資訊控制台查詢對應的處罰原因。
阿裡雲不會向您直接透露違規細節/快照,您可參考《安全違規資訊類型說明》進行排查。
Q:可以將功能變數名稱轉移走嗎?
A:若您功能變數名稱因嚴重違規問題被阿裡雲禁止轉移,則您無法轉移功能變數名稱。
Q:為什麼功能變數名稱資訊範本關聯的全部功能變數名稱都被封禁了?
A:由於該資訊範本關聯的大量功能變數名稱被發現存在違規資訊,根據相關協定阿裡雲對該功能變數名稱範本進行了封禁,若您無法說明資訊範本的真實性、以及所關聯功能變數名稱業務場景的合規性,阿裡雲無法為您解封。
相關參考:《安全違規處理幫助與常見問題》、《安全違規資訊類型說明》、《雲平臺安全處罰規則》
查看了整個阿裡雲告警提示,說是網站被用戶舉報導致被阿裡雲提示涉及違法不良資訊導致的違規功能變數名稱整改通知!我們SINE安全高級工程師立即對該網站的原始程式碼進行了詳細的安全審計,以及網站訪問日誌安全審計,排查到網站在6.02號被駭客上傳了webshell木馬檔,該駭客通過網站後門檔對伺服器中搭建的Nginx中介軟體的設定檔進行了篡改。篡改特徵如下:
ProxyPassMatch ^/zzw(.*)$ http://x.xxseoapi.com/zzw$1
ProxyPassReverse /zzw http://x.xxseoapi.com/zzw
ProxyPassMatch ^/zyw(.*)$ http://xx.xxseoapi.com/zyw$1
ProxyPassReverse /zyw http://xx.xxseoapi.com/zyw
上面的規則很明顯是用來劫持百度蜘蛛抓取收錄該網站的內容,我們SINE安全技術對該網站進行了溯源跟蹤,發現該網站是一些違法不良成人色情等內容,也就是相當於讓百度蜘蛛爬取該網站裡的內容,用來收錄,查看了客戶網站被百度的收錄情況,跟我們之前判斷的一樣,確實是收錄了大量違法不良內容快照。
該駭客的篡改手法還有一個特徵,正常用電腦從百度點擊進去是不會跳轉的,也就是相當於讓網站的管理員無法發現問題,通過用手機百度搜索site:*****.com網站的收錄,點擊任意一個連結就會跳轉到駭客指定的URL位址,一般都是一些違規直播APP的下載頁面如下圖所示:
通過我們sine安全技術一路下來的安全檢測於審計,也跟客戶詳細的解釋了發生該問題的原因,客戶也終於明白了為何阿裡雲會發短信給他提示網站涉及違法不良資訊的緣由。
如何解決阿裡雲的安全提醒?包括違規功能變數名稱整改通知,涉及違法不良資訊的處理呢?首先我們可以肯定的是網站被駭客入侵和篡改了,然後我們再來看下我們的網站在百度是否收錄大量的違法不良內容,像色情、賭博等等的快照,如何查看網站的收錄情況,可以在百度搜索框裡輸入 site:你的網址,就會搜索出來,可以根據最近一周或者最近一個月的時間來查看,這樣比較容易看出問題。
再一個我們要知道網站是從那個地方被駭客入侵進來的,一個是伺服器層面,伺服器漏洞,第二個是網站層面,原始程式碼漏洞,具體要對代碼進行詳細的安全審計,配合網站訪問日誌,溯源駭客入侵的痕跡,來查出到底是通過哪裡入侵的,對症進行處理,如果發現是網站代碼漏洞,那修復掉這個代碼漏洞,防止駭客再次的攻擊,對網站進行安全加固和防護,提高網站的防禦能力,徹底的防止駭客攻擊,避免再被阿裡雲二次提示,如果反復被駭客攻擊和篡改,多次被阿裡雲提示的話,阿裡雲會封掉功能變數名稱的解析,網站會無法訪問,這種情況就得找專業的網站安全公司來處理了
