網站被入侵 篡改程式碼劫持快照的解決辦法
臨近2019年底,網站安全事件頻發,攻擊者加大了對網站的攻擊力度,一定是在為過年錢做準備,大撈一把過個好年。就在最近,某客戶網站被入侵併被篡改了首頁程式碼,網站從搜尋引擎開啟直接跳轉到了彩//piao網站上去了,通過朋友介紹找到我們SINESAFE做網站安全服務,防止網站被攻擊,恢復網站的正常訪問,關於此次安全事件的應急處理,以及如何做網站的安全加固,我們通過文章的形式記錄一下。
2019年12月18日晚10.00,剛準備收拾收拾下班,接到客戶的電話,說是公司網站被入侵了,網站首頁程式碼的標題,描述,關鍵詞,都被篡改成加密的字元,從百度點選進去直接跳轉到什麼彩//piao,菠菜網站上去了,聽到客戶的這些網站被攻擊描述,可以確定網站被攻擊了,並被劫持到彩//piao網站上了,針對這一情況我們SINE安全立即啟動安全應急響應小組,對客戶的網站進行安全處理,防止攻擊擴大化。
客戶網站採用的是windows2012系統,php+mysql架構的thinkphp開發的網站,使用IIS作為網站的執行環境,像網站被入侵,伺服器被攻擊,程式碼篡改,網站被劫持跳轉等攻擊,我們SINE安全處理了十多年了,第一反應是客戶的伺服器也被黑了,可能被提權加了管理員賬戶,又或者被植入了後門,導致網站一直處於被攻擊狀態。大體問題我們瞭解了,接下來就需要登入伺服器進行詳細的安全檢測,包括網站程式碼的安全檢測與網站漏洞檢測,網站木馬後門清除等一系列的相關安全服務。
登入伺服器我們SINE安全技術發現伺服器被植入了木馬後門,寫在了系統檔案裡,並鉤子關聯到啟動服務中,不管伺服器如何重啟,還是會執行攻擊者植入的木馬後門檔案,我們隨即對後門進行了清除,對伺服器的埠進行了安全策略,限制了站內,站外的埠訪問,只開放了80,針對遠端埠做了IP白名單安全限制。緊接著最重要的安全問題就是客戶的網站還是一直跳轉,從百度點選進去就會不停的跳轉,包括APP端也都一樣的攻擊症狀,我們檢查了首頁程式碼發現程式碼被篡改了,截圖如下
在百度裡搜尋網站,網站的快照並被百度網址安全中心提醒您:該站點可能受到黑客攻擊,部分頁面已被非法篡改!客戶的網站還做的百度推廣,導致流量一直下滑,損失較大,我們對首頁程式碼的篡改內容進行了刪除,恢復正常的網站訪問,但問題並不是想象的那麼簡單,刪除程式碼後,跳轉的問題還是依舊,並沒有解決,根據我們SINE安全多年的安全經驗來看,肯定是IIS被劫持了,也就是說IIS的配置檔案可能被攻擊者篡改了。對伺服器的IIS配置檔案進行檢視,檢查處理程式對映功能是否被植入惡意的DLL檔案,仔細看了下,也沒發現問題,繼續追蹤安全分析,也對web.config檢查了,也沒發現URL偽靜態規則,看來攻擊者還是有點技術手段,那也沒有關係,既然問題確定在IIS裡,肯定是寫在那個配置檔案中,隨即我們對模組功能進行檢查,發現了問題,被植入了惡意的DLL檔案,導致該模組被應用到了IIS8.0當中,找到問題根源,處理起來就比較容易了,隨即對該模組進行了清除,並iisreset命令重啟了IIS環境,網站被入侵跳轉的問題沒有了。
接下來我們SINE安全開始對客戶網站的安全進行加固服務,仔細檢查了網站存在的漏洞,以及木馬後門,對thinkphp的每個檔案程式碼都進行了詳細的人工安全審計,發現thinkphp存在遠端程式碼執行漏洞,導致攻擊者無需任何許可權,直接執行漏洞生成網站木馬後門檔案也叫webshell.在public目錄下發現一句話木馬後門,也叫PHP小馬,我們對其進行刪除,也對客戶網站漏洞進行了修復,客戶網站才得以安全。
有些客戶覺得刪除首頁跳轉程式碼就能解決問題,可是過不了幾天網站又被攻擊,根源問題在於網站漏洞沒有修復,以及網站存在著webshell木馬後門檔案,只有真正的從根源上去入手,才能防止網站被攻擊。如果自己對程式碼不是太懂的話,建議找專業的網站安全公司來處理,國內SINE安全,鷹盾安全,啟明星辰,綠盟,深信服,都是比較不錯的,網站安全了帶給客戶的也是利益上的共贏,能幫助客戶走多遠,自己才能走的更遠。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2669444/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網站快照被劫持,網站被劫持跳轉另一個網站解決辦法網站
- 網站被篡改入侵收錄一些非本網站的快照內容網站
- 怎麼解決網站快照被反覆劫持收錄的問題網站
- 網站被篡改了_網站被篡改了怎麼辦_防網站篡改了網站
- 網站漏洞修復公司處理網站被篡改跳轉到其他網站的解決辦法網站
- 網站劫持跳轉,分享網站被劫持跳轉的解決辦法網站
- 給別人做的網站遭遇黑客入侵被篡改怎麼辦網站黑客
- 網站漏洞修復對phpmyadmin防止被入侵提權的解決辦法網站PHP
- 修復網站漏洞對phpmyadmin防止被入侵提權的解決辦法網站PHP
- 網站被篡改了怎麼辦_網站被篡改了_把網站域名改了怎麼辦網站
- 防止網站被入侵攻擊的五個辦法網站
- 網站被劫持 網站被劫持跳轉到非法頁面的解決辦法網站
- 百度快照劫持原因與解決思路、網站百度快照劫持怎麼解決有那些技巧網站
- 放假期間網站被掛馬的解決辦法網站
- PbootCMS網站安全設定解決網站被黑被篡改問題boot網站
- 網站百度快照被劫持如何快速恢復、百度快照劫持怎麼解決了網站
- chrome瀏覽器被360導航劫持解決辦法Chrome瀏覽器
- pbootcms安全設定解決網站被黑被篡改問題boot網站
- 網站總是反覆中毒被篡改怎麼辦網站
- 百度快照被劫持的原因及解決方法、百度快照劫持的解決方法全
- 網站存在漏洞被駭客入侵了怎麼解決網站
- 如何尋找網站安全公司來解決網站安全被入侵問題網站
- 怎麼查競價劫持、來源網站跳轉 快照霸屏 競價劫持 霸屏程式碼網站
- Kindeditor 漏洞導致網站被植入木馬檔案的解決辦法網站
- 網站title標題被改並被百度網址安全中心提醒的解決辦法網站
- 公司官網百度快照劫持、那麼如何處理解決網站被劫持的問題呢?網站
- 如何解決網站快照被劫持收錄灰色內容的問題網站
- 運營商DNS劫持,臨時解決辦法、uc瀏覽器被運營商dns劫持怎麼辦DNS瀏覽器
- 網站被植入惡意程式碼 該怎麼解決網站
- 公司網站被攻擊怎麼辦? 五種解決辦法幫您網站恢復正常訪問網站
- apache網站漏洞修復解決辦法Apache網站
- 開啟網站被掛馬跳轉到博彩頁面解決辦法網站
- 分享如何避免您的網站被入侵?網站
- 網站被惡意篡改什麼原因?防止網頁惡意篡改的方法網站網頁
- 如何防止網站被侵入,如何防止網站被掛馬,如何防止網站被入侵?網站
- 如何防止網站資料庫被攻擊 被篡改網站資料庫
- 你的網路被DNS劫持了嗎?dns 被劫持怎麼解決DNS
- 網站被黑客入侵了怎麼解決網站黑客