发布时间:2019-3-2 分类: 行业资讯
同一天,2018.6.19收到一位新客户,反映他的代购源码网站被黑了。该代购源码网站的主页也被黑客篡改。该代购源码网站的内容添加了一些与代购源码网站不匹配的内容和加密代码,导致百度URL安全中心提醒您。 :此页面可能有木马病毒!该代购源码网站在百度的收录和快照也被劫持到世界杯投注,以及赌博,赌博等内容。根据上述客户反映的代购源码网站黑客攻击,我们的正弦安全公司立即安排安全技术人员到在客户的代购源码网站上。在黑色的情况下,进行了详细的代购源码网站安全测试和代码的手动安全审核。结果发现,客户代购源码网站的首页经常被篡改。客户只能删除主页文件,然后重新生成主页。真的不可能篡改它。只有找到我们的SINE安全公司才能处理代购源码网站的安全问题。
一.代购源码网站被黑的状况分析
1.客户的代购源码网站基于DEDECMS系统(PHP + MYSQL数据库架构)。 dedecms漏洞在过去几年中一直在爆炸,但现在有许多代购源码网站和平台使用dedecms。或者做代购源码网站排名优化就是用这个梦想编织程序来做,优化速度快,访问速度也快,全站可以生成静态文件,便于管理和更新文章,方便快捷代购源码网站开放,优化关键字和升级。通过与客户的沟通,发现客户的代购源码网站,只要发布新文章,在后台生成新的html页面,或生成主页index.html,攻击者将直接添加一些加密代码和赌博。内容,图片如下:
该代购源码网站的内容已被篡改添加,速度赛车,赌博,赌博,赌博,世界杯投注和与代购源码网站无关的内容,并且代购源码网站代码也使得JS判断跳跃,对于百度搜索客户,将直接跳到这个速度赛车,赌博,赌博页面,导致360投注代购源码网站截取提示,百度提示风险拦截图片如下:
该代购源码网站将直接显示百度搜索中的风险:百度URL安全中心提醒您此页面上可能存在特洛伊木马病毒。
通过对客户代购源码网站所有代码的安全检测和代码的手动安全审计,发现主页index.html的内容被篡改,dedecms模板目录文件下的index.htm文件被删除了。也被篡改了。
让我们打开index.htm模板文件并查看代码:
速度赛车计划软件应用程序下载_速度赛车& 24320;奖励直播_速度赛车& 27880;本书登录 - 速度赛车官方代购源码网站平台。
下面的代码是一个加密的JS跳转代码,它根据百度搜索的相应条件判断,然后跳转,直接进入代购源码网站域名就不会跳转。
我找到了一些加密代码,这是通过解密代码找到的。这是与赌博和赌博有关的一些内容。我们删除了生成主页后被篡改的内容,然后在其代购源码网站上保存了木马病毒和特洛伊木马。后门被清除,代购源码网站测试漏洞和漏洞,代购源码网站是防篡改的。
二.代购源码网站被黑的清理过程记录
1.在对SINE安全技术进行安全审计后,代购源码网站发现代购源码网站根目录下的datas.php文件内容属于木马的断言类型。
所以既然我发现了一句木马,那一定是一个PHP脚本木马,然后在css目录下找到一个文件是base64加密代码,我们访问木马地址,进行了访问,发现它是木马病毒,其中图片如下:
PHP脚本木马的操作权限太大,文件的编辑和重命名,以及恶意sql语句的执行,服务器的系统信息都可以看得很清楚。对于代购源码网站的所有程序代码,特洛伊木马功能扫描并发现N个代购源码网站的木马文件,难怪客户自己说无处不在的黑客,代购源码网站被伪造和吐血。扫描的特洛伊木马病毒如下所示:
由于脚本木马后门如此之多,我们的安全技术会直接删除所有清理工作,因为客户端站点使用单独的服务器。那么服务器的安全性也应该是详细的安全加固和代购源码网站安全保护。检查代购源码网站的mysql数据库,并使用root权限将其分配给代购源码网站。 (使用root管理员权限,整个服务器将被黑客攻击并且攻击将增加。风险)我们向客户端服务器添加了一个通用特权数据库帐户到代购源码网站。数据库的端口3306和135端口445端口139端口部署了端口安全策略,以防止外部网络上的所有连接,并且仅允许Intranet连接。服务器执行详细的服务器安全设置和部署。之后,我们对代购源码网站的所有文件,代码,图片和内容进行了详细的安全检测和比较,包括SQL注入测试,XSS跨站点安全测试和表单包装。结束,文件上传漏洞测试,文件包含漏洞检测,网页挂马,网页后门木马检测,包括句子小马,aspx马来西亚,脚本木马后门,敏感信息泄漏测试,任意文件读取,目录遍历,弱密码综合安全测试在安全检查等方面通过错误修复,可以完美解决被黑客户代购源码网站的问题。由于以前的客户平均每天被攻击两到三次,从安全部署到今天的20号,客户代购源码网站访问是正常的并且没有被篡改。
三.针对于代购源码网站被黑的防护建议
1.定期更新服务器系统漏洞(windows 2008 2012,linux centos系统),代购源码网站系统升级,尽量不要应用第三方API插件代码。
2.如果您对程序代码了解不多,建议找一家代购源码网站安全公司来修复代购源码网站的漏洞,以及代码的安全检测和后门的删除。木马。国内推荐的代购源码网站安全公司,如SINE Security Company,NSF Security Company,Venus Star等。做深入的代购源码网站安全服务,以确保代购源码网站的安全性和稳定性,防止代购源码网站链接到马等安全问题。
3.尽量不要将代购源码网站的后台用户的密码设置得过于简单,并匹配10到18位数字的大小写字母+数字+符号组合。
4.不得使用默认的admin或guanli或manage或名为admin.asp的路径访问代购源码网站后台管理的路径。
5.必须详细完成服务器的基本安全设置,端口的安全策略,注册表的安全性,底层系统的安全性或服务器是不安全的,并且代购源码网站的安全性是无用的。
本文来源:http://www.sinesafe.com/article/20180620
