2024-01-02 分類: 網(wǎng)站建設(shè)
昨晚凌晨收到新客戶的安全求助,說(shuō)是阿里云短信提示,網(wǎng)站有webshell木馬文件被植入,我們SINE安全公司立即成立,安全應(yīng)急響應(yīng)小組,客戶提供了阿里云的賬號(hào)密碼,隨即登陸阿里云進(jìn)去查看到詳情,登陸云盾看到有這樣的一個(gè)安全提示網(wǎng)站后門-發(fā)現(xiàn)后門(Webshell)文件事件等級(jí):緊急,影響資產(chǎn):阿里云ECS:ID,然后貼出了網(wǎng)站木馬文件的路徑地址:/www/wangzhan/safe/indnx.php。
網(wǎng)站安全事件說(shuō)明:云盾檢測(cè)到當(dāng)成有異常進(jìn)程在嘗試向磁盤上寫入WEBSHELL后門文件,導(dǎo)致1次入侵,如果該行為不是您主動(dòng)執(zhí)行,請(qǐng)及時(shí)刪除對(duì)應(yīng)文件。 阿里云解決方案:請(qǐng)及時(shí)排查WWW目錄下是否存在WEBSHELL,并及時(shí)清除。看到阿里云給的木馬路徑以及解決方案,隨即登陸客戶的linux服務(wù)器,查看到www目錄下確實(shí)多出一個(gè)indnx.php的文件,用SFTP下載下來(lái)這個(gè)文件并打開(kāi),看到是一些加密的代碼,一看就是木馬代碼,
這些加密的字符,也就是webshell,那到底什么是webshell?我們SINE安全來(lái)給大家普及一下,就是網(wǎng)站木馬文件,相當(dāng)于咱電腦里的木馬病毒,可以對(duì)網(wǎng)站代碼進(jìn)行修改,上傳,下載等木馬功能。Webshell一般是asa,cer,asp,aspx,php,jsp,war等語(yǔ)言的腳本執(zhí)行文件命名的,也可以叫做是網(wǎng)站后門,攻擊者入侵網(wǎng)站后都會(huì)將webshell木馬后門文件上傳到服務(wù)器,以及網(wǎng)站的根目錄下,通過(guò)訪問(wèn)特定的網(wǎng)址進(jìn)行訪問(wèn)網(wǎng)站木馬,對(duì)網(wǎng)站進(jìn)行控制,任意篡改,說(shuō)白了,就是你的網(wǎng)站被黑了。
網(wǎng)站木馬
可以看到網(wǎng)站根目錄,以及上傳文件,查看系統(tǒng)基本信息,執(zhí)行mysql命令,反彈提權(quán),文件下載,服務(wù)器端口掃描,批量掛馬,改名,刪除文件,打包文件等管理員的操作。功能太強(qiáng)大了,那么客戶的網(wǎng)站為何會(huì)被上傳了webshell呢?
一般都是網(wǎng)站存在漏洞,被攻擊者利用上傳了webshell的,像網(wǎng)站的上傳漏洞,SQL注入漏洞,XSS跨站漏洞,CSRF欺騙漏洞,遠(yuǎn)程代碼執(zhí)行漏洞,遠(yuǎn)程包含漏洞,PHP解析漏洞,都會(huì)被上傳網(wǎng)站木馬,我們SINE安全對(duì)客戶的網(wǎng)站代碼進(jìn)行人工安全檢測(cè),以及網(wǎng)站漏洞檢測(cè),全面的檢測(cè)下來(lái),發(fā)現(xiàn)客戶網(wǎng)站存在遠(yuǎn)程代碼執(zhí)行漏洞,網(wǎng)站代碼里并沒(méi)有對(duì)SQL非法注入?yún)?shù)進(jìn)行全面的過(guò)濾,以及前端用戶提交留言欄目里的liuyan&這個(gè)值,在轉(zhuǎn)換賦值的過(guò)程中導(dǎo)致了遠(yuǎn)程代碼的執(zhí)行,可以偽造攻擊的語(yǔ)句進(jìn)行插入,導(dǎo)致服務(wù)器執(zhí)行了代碼,并上傳了一句話木馬后門。
對(duì)客戶的網(wǎng)站漏洞進(jìn)行修復(fù),清除掉網(wǎng)站的木馬后門,前端用戶的輸入進(jìn)行安全過(guò)濾,對(duì)變量賦值加強(qiáng)數(shù)字型強(qiáng)制轉(zhuǎn)換,網(wǎng)站安全部署,文件夾權(quán)限安全部署,圖片目錄,緩存文件目錄去掉腳本執(zhí)行權(quán)限。
如何解決阿里云提示發(fā)現(xiàn)后門(webshell)文件
1.針對(duì)阿里云云盾給出的后門文件路徑進(jìn)行強(qiáng)制刪除。
2.使用開(kāi)源程序的CMS系統(tǒng),進(jìn)行升級(jí),漏洞補(bǔ)丁修復(fù)。
3.對(duì)網(wǎng)站的漏洞進(jìn)行修復(fù),檢查網(wǎng)站是否存在漏洞,尤其上傳漏洞,以及SQL注入漏洞,嚴(yán)格過(guò)濾非法參數(shù)的輸入。
4.對(duì)網(wǎng)站的所有代碼進(jìn)行檢測(cè),是否存在一句話木馬后門文件,可以對(duì)比之前備份的文件,一一對(duì)比,再一個(gè)查看文件的修改時(shí)間,進(jìn)行刪除。
5.對(duì)網(wǎng)站的后臺(tái)地址進(jìn)行更改,默認(rèn)都是admin,houtai,manage等的目錄,建議改成比較復(fù)雜的名字,即使利用sql注入漏洞獲取到的賬號(hào)密碼,不知道后臺(tái)在哪里也是沒(méi)用的。
6.網(wǎng)站的目錄權(quán)限的讀、寫、執(zhí)行進(jìn)行合理安全部署。如果您的網(wǎng)站一直被阿里云提示webshell,反復(fù)多次的那說(shuō)明您的網(wǎng)站還是存在漏洞,如果對(duì)網(wǎng)站漏洞修復(fù)不是太懂的話,可以找專業(yè)的網(wǎng)站安全公司來(lái)解決阿里云webshell的問(wèn)題。
文章題目:阿里云短信提示網(wǎng)站發(fā)現(xiàn)后門(webshell)文件的解決過(guò)程分享
文章源于:http://www.rwnh.cn/news15/311615.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供用戶體驗(yàn)、App開(kāi)發(fā)、網(wǎng)頁(yè)設(shè)計(jì)公司、微信公眾號(hào)、靜態(tài)網(wǎng)站、品牌網(wǎng)站制作
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容