臨近春節(jié)，某聚合支付平臺(tái)被攻擊篡改，導(dǎo)致客戶(hù)提現(xiàn)銀行卡信息被修改，支付訂單被惡意回調(diào)，回調(diào)API接口的數(shù)據(jù)也被篡改，用戶(hù)管理后臺(tái)被任意登入，商戶(hù)以及碼商的訂單被自動(dòng)確認(rèn)導(dǎo)致金額損失超過(guò)幾十萬(wàn)，平臺(tái)被攻擊的徹底沒(méi)辦法了，通過(guò)朋友介紹，找到我們尋求網(wǎng)站安全防護(hù)支持，針對(duì)客戶(hù)支付通道并聚合支付網(wǎng)站目前發(fā)生被網(wǎng)站攻擊，被篡改的問(wèn)題，我們立即成立了網(wǎng)站安全應(yīng)急響應(yīng)小組，分析問(wèn)題，找到漏洞根源，防止攻擊篡改，將客戶(hù)的損失降到最低。

我們將這次安全處理的解決過(guò)程分享出來(lái)，也是希望整個(gè)支付平臺(tái)更加的安全。首先對(duì)接到客戶(hù)這面，我們安排了幾位從業(yè)十年的安全工程師來(lái)負(fù)責(zé)解決此次聚合支付平臺(tái)被攻擊，篡改的安全問(wèn)題，了解客戶(hù)支付網(wǎng)站目前發(fā)生的癥狀以及支付存在哪些漏洞，客戶(hù)說(shuō)支付平臺(tái)運(yùn)營(yíng)一個(gè)月時(shí)出現(xiàn)過(guò)這些問(wèn)題，然后在運(yùn)營(yíng)的第二個(gè)月陸續(xù)出現(xiàn)幾次被攻擊篡改的情況，客戶(hù)自己的技術(shù)根據(jù)網(wǎng)站日志分析進(jìn)攻路線(xiàn)排查加以封堵后，后續(xù)兩個(gè)月支付均未被攻擊,就在最近快過(guò)年的這幾天，支付訂單被篡改，很多未支付的訂單竟然被篡改為成功支付，并從通道返回成功數(shù)據(jù)，導(dǎo)致平臺(tái)損失較大，隨即對(duì)支付通道進(jìn)行了暫停，并聯(lián)系碼商停止支付接口?？蛻?hù)還反映支付鏈接被劫持，跳轉(zhuǎn)到別人那去了，導(dǎo)致很多支付的訂單都被支付到攻擊者的賬戶(hù)中去了，損失簡(jiǎn)直不可言語(yǔ)。

很多商戶(hù)以及集團(tuán)使用聚合支付平臺(tái)，那么損失的就是商戶(hù)與支付平臺(tái)這兩家，商戶(hù)有些時(shí)候?qū)π〗痤~的訂單并沒(méi)有詳細(xì)的檢查，包括支付平臺(tái)也未對(duì)一些小金額的訂單仔細(xì)的審計(jì)，導(dǎo)致攻擊者混淆視線(xiàn)模擬正常的支付過(guò)程來(lái)篡改訂單狀態(tài)達(dá)到獲取自己利益的目的。支付通道對(duì)接，回調(diào)下發(fā)都是秒級(jí)的，支付訂單并發(fā)太大，幾乎人工根本察覺(jué)不到資金被盜走，客戶(hù)從通道對(duì)比聚合支付的總賬，發(fā)現(xiàn)金額不對(duì)等，這才意識(shí)到網(wǎng)站被黑，被入侵了。

接下來(lái)我們開(kāi)始對(duì)客戶(hù)的網(wǎng)站代碼，以及服務(wù)器進(jìn)行全面的人工安全審計(jì)，檢測(cè)網(wǎng)站目前存在的漏洞以及代碼后門(mén)，客戶(hù)網(wǎng)站使用的是thinkphp+mysql數(shù)據(jù)庫(kù)架構(gòu)，服務(wù)器系統(tǒng)是linux centos使用寶塔面板作為服務(wù)器的管理，我們打包壓縮了一份完整的聚合支付源代碼，包括網(wǎng)站進(jìn)1個(gè)月的訪問(wèn)日志也進(jìn)行了壓縮，下載到我們工程師的本地電腦，通過(guò)我們工程師的一系列安全檢測(cè)與日志的溯源追蹤，發(fā)現(xiàn)了問(wèn)題。網(wǎng)站存在木馬后門(mén)也叫webshell，在文件上傳目錄里發(fā)現(xiàn)的，redmin.php的PHP腳本木馬，還有coninc.php數(shù)據(jù)庫(kù)管理的木馬后門(mén)。

這個(gè)數(shù)據(jù)庫(kù)木馬后門(mén)的作用是可以對(duì)數(shù)據(jù)庫(kù)的表段進(jìn)行修改，通過(guò)檢查日志發(fā)現(xiàn)訂單支付狀態(tài)被修改的原因就是通過(guò)這個(gè)數(shù)據(jù)庫(kù)木馬后門(mén)進(jìn)行的，對(duì)未支付的訂單狀態(tài)進(jìn)行了數(shù)據(jù)庫(kù)的修改，繞過(guò)上游通道的回調(diào)接口數(shù)據(jù)返回，直接將狀態(tài)改為支付成功，并返回到商戶(hù)那面將充值金額加到了客戶(hù)網(wǎng)站上，攻擊者直接在客戶(hù)網(wǎng)站上消費(fèi)并提現(xiàn)，所有的損失都由支付平臺(tái)承擔(dān)了。我們技術(shù)緊接著對(duì)支付提交功能代碼進(jìn)行安全審計(jì)的時(shí)候發(fā)現(xiàn)存在SQL注入漏洞，可以UPDATE 惡意代碼到數(shù)據(jù)庫(kù)中執(zhí)行，導(dǎo)致可以修改數(shù)據(jù)庫(kù)的內(nèi)容，并生成遠(yuǎn)程代碼下載到網(wǎng)站根目錄下，生成webshell文件，TP架構(gòu)本身也存在著遠(yuǎn)程代碼執(zhí)行漏洞，導(dǎo)致此次網(wǎng)站被攻擊被篡改的根源就在于此，我們立即對(duì)該網(wǎng)站漏洞，也算是TP框架漏洞進(jìn)行了修復(fù)，對(duì)網(wǎng)站文件目錄做了防篡改安全部署，禁止任何PHP文件的生成。

繼續(xù)安全檢測(cè)我們發(fā)現(xiàn)客戶(hù)網(wǎng)站的商戶(hù)以及碼商用到的用戶(hù)登陸功能存在任意登入漏洞，程序員在寫(xiě)代碼的過(guò)程中未對(duì)用戶(hù)的狀態(tài)進(jìn)行判斷，導(dǎo)致用戶(hù)后臺(tái)被隨意登入，攻擊者可以登陸后臺(tái)去確認(rèn)未支付的訂單，直接將訂單設(shè)為支付成功并返回到商戶(hù)網(wǎng)站中去，來(lái)實(shí)現(xiàn)資金的盜取。我們對(duì)客戶(hù)的后臺(tái)登陸功能進(jìn)行了修復(fù)，對(duì)用戶(hù)的所屬權(quán)限進(jìn)行判斷，以及數(shù)據(jù)庫(kù)密碼的效驗(yàn)。至此我們技術(shù)清除了所有支付平臺(tái)里存在的木馬后門(mén)文件，包括網(wǎng)站漏洞都進(jìn)行了全面的修復(fù)，對(duì)網(wǎng)站進(jìn)行全面的加固與防御，如果您的聚合支付，或者是支付通道系統(tǒng)出現(xiàn)被篡改，被攻擊的問(wèn)題，建議找專(zhuān)業(yè)的網(wǎng)站安全公司來(lái)解決處理，平臺(tái)越安全，我們的支付越安全，資金也就越安全。

當(dāng)前文章：聚合支付被攻擊 訂單劫持 數(shù)據(jù)庫(kù)被篡改的網(wǎng)站安全防護(hù)方案
網(wǎng)站地址：http://www.rwnh.cn/news/36344.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站制作、網(wǎng)站收錄、云服務(wù)器、網(wǎng)站內(nèi)鏈、品牌網(wǎng)站設(shè)計(jì)、網(wǎng)站導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)