发布时间:2020-3-27 分类: 行业资讯
2018年6月,我们收到了北京的一位新客户,称他们的单位收到了北京市公安局海淀分局网络安全大队的通知,该通知表明您的代购源码网站存在网络安全漏洞。该代购源码网站植入后门程序,要求您的组织在XX之前在代购源码网站上进行安全纠正,并要求完整的整改计划。对于那些未能及时纠正的人,他们将受到行政处罚,如下图所示:
整顿Netan旅的最后期限如下:
北京市公安局海淀分局
信息系统安全级别保护期限整改通知
北京等安全词[2018]第06xxxx号
北京xxxxxxxxxxx
最近,我的网络监督团队报告说您的代购源码网站存在网络安全漏洞(域名为: www.xxx.com)。 (详见附件。)根据《中华人民共和国计算机信息系统安全保护条例》和《信息安全等级保护管理办法》的相关规定,请及时核实并处理上述问题,并对所有负责该代购源码网站和信息系统的信息系统进行全面调查和持续整改。单位以避免网络安全事件。在2个工作日内,整改将在期限届满前送到单位。在消除隐患前,您的单位应采取必要的应急安全保护管理和技术措施,确保隐患信息系统的安全运行和安全运行,防止黑客攻击。 (注:如果整改不能在短时间内完成,您的单位应制定整改整改计划,并有明确的整改期限,并将计划连同整改情况一并报告公安机关)。
对于未按期限完成整改的,我单位将按照《中华人民共和国计算机信息系统安全保护条例》和《信息安全等级保护管理办法》的规定对您的单位进行行政处罚。
联系单位:海淀分行网络安全小组
联系: xx
联系电话: xxxxxxxx
根据网络警察提供的上述网络安全技术保护措施,整改通知的截止日期,我们发现客户代购源码网站的问题,新客户代购源码网站的简单明了的指示有安全漏洞,被植入木马后门程序,黑链,跳转到恶意代购源码网站。
为了应对客户的代购源码网站安全问题,我们的SINE安全公司立即组建了网络安全部门,建立了信息系统安全级别保护团队,在客户的代购源码网站上进行了全面的代购源码网站安全测试,代购源码网站漏洞检测和网络安全漏洞测试。客户代购源码网站的信息系统是:
代购源码网站使用asp.net语言开发,数据库类型为SQL Server 2008,SiteFactory易于使用CMS系统,使用阿里云的虚拟主机G享受主机-G1模型运行代购源码网站,代购源码网站的所有数据大小,包括程序代码,图片数据库共占用2.3G。我们首先对代购源码网站进行安全备份,以防止数据丢失并避免进一步的经济损失。
客户提供了网络监控团队漏洞的详细信息。我们发现该附件表明该代购源码网站的IAA目录中有一个特洛伊木马后门文件。然后我们立即登录FTP进行检查。我们发现手动安全审计有这样一个文件。发现代码是aspx一句话木马后门。
这段代码是一个非常隐蔽的句子后门,它已经通过所有杀毒软件查杀,一个字aspx后门功能强大,可以全面控制其代购源码网站,上传,下载,修改,即可。
事发前,代购源码网站系统全部正常运行未发现任何篡改痕迹,代购源码网站主页未受恶意跳转和百度快照劫持等相关问题的影响。随后详细分析和比较代购源码网站的所有文件,代码,图片和内容,从SQL注入测试,XSS跨站点安全测试,表格旁路,文件上传漏洞测试,包含漏洞检测的文件,网页挂马,网页后门木马检测,包括小马,aspx马来西亚,脚本木马后门,敏感信息泄漏测试,任意文件读取,目录遍历,弱密码安全检测等方面的全面安全测试。
那么看到这个文件就要分析代购源码网站到底是因为那些漏洞而被上传了木马文件的呢?
我们把检测出来的信息系统安全漏洞进行了总结:
1.检测发现代购源码网站根目录中的Global.asax文件已被篡改。代码发现代码嵌入了恶意代码。恶意代码用于劫持主要搜索引擎的蜘蛛以收集恶意内容并进行搜索。这个词的排名。可跟踪性跟踪到被调用的URL并发现URL已停止解析。也就是说,内容无法调用,也不会导致搜索引擎蜘蛛爬行。
2.检测代购源码网站文件上传漏洞,可以上传任何文件,包括aspx木马文件上传,登录管理,开放系统设置—打开模板标签管理—添加内联代码—生成代码以生成aspx木马文件。
3.后台管理员帐号密码安全隐患,很多帐号使用密码都是比较简单的数字+字母,比如LEO密码LEO2011,很容易被攻击者的暴力猜测攻击。
4.后台管理登录地址路径默认安全漏洞,http://www。******。com/adm/login.aspx容易受到攻击者的暴力路径猜测。
信息系统安全漏洞修复加固:
我们对上述代购源码网站漏洞进行了全面的安全修复和强化,删除了IAA目录下的9di5s.ashx木马后门文件,以及根目录下的Global.asax文件,并设置了相应代购源码网站目录的无脚本执行。权限,图像js PlugIns sjwskin temp UploadFiles wk wl wwwlogs这些目录不允许执行脚本文件,包括aspx,ashx,asp,asa等脚本文件。对于上传漏洞,即使上传了特洛伊木马文件,我们也限制了上传目录的脚本执行权限。更改了代购源码网站的管理员密码,数字+大写和小写字母+特殊符号,满足13位密码,加强了密码的猜测,并更改了代购源码网站的默认背景地址(只有内部人员知道)才能防止被攻击者猜到了。
到目前为止,我们编制了详细的信息系统安全等级保护整改报告,以及代购源码网站安全事件的调查和处理记录,并将其交给客户,然后客户将其交给北京市公安局海淀分公司。网络监督大队。问题得到了圆满解决,我衷心希望大家都关注网络安全,不容忽视。
如何写信息系统安全等级保护限期整改通知书以及代购源码网站安全的防护措施
1.选择安全稳定的主机服务器供应商。选择主机服务器供应商后,我们还应检查主机服务器上的其他代购源码网站,以查看其代购源码网站的安全性。如果他们的代购源码网站也被入侵,我们也将受到牵连,可能会导致您的代购源码网站遭到攻击。
2.如果您对程序代码了解不多,建议找一家网络安全公司来修复代购源码网站漏洞,并编写信息系统安全级别保护期限整改通知,国内推荐,SINE安全公司, NSFOCUS安全公司,Venus star等代购源码网站安全公司等,做深入的代购源码网站安全服务,确保代购源码网站的安全性和稳定性,防止代购源码网站链接等安全问题。
3.代购源码网站密码使用MD5增强加密,设置密码时,尽可能设置12位以上的密码,数字+大写和小写字符+特殊符号组合。
4,定期更新服务器系统泄密(windows 2008 2012,linux centos系统),代购源码网站模板漏洞,代购源码网站程序漏洞,尽量不要申请第三方API插件代码,另外,服务器上的杀毒软件是必要性认为我不必再描述它了。
5,选择代码安全代购源码网站系统,目前的CMS系统是移动互联网的主流趋势(PHP + Mysql数据库开发),选择CMS系统,必须选择更主流的系统,开发人员的修复漏洞和更新补丁的速度会非常高效,售后也跟着。
本文来自http://www.sinesafe.com/article/20180614