網站被攻擊總是被百度收錄灰色行業內容

距離2022年元旦約越來越近，我們發現很多網站用IIS環境尤其是aspx+sqlserver架構的網站總是被攻擊，具體症狀首先是接到阿里雲的通知說是有違規URL通知，然後過了幾天發現百度site網站域名，多了很多與網站本身內容不相關的垃圾快照內容，從百度點選這個快照地址進去後顯示404找不到頁面，但從百度站長工具裡抓取頁面就能看到內容，說明攻擊者對搜尋引擎的UA標識做了判斷進行混淆，導致從肉眼看不出任何問題，但快照依然在繼續增加新收錄。

瞭解完上述過程，完全是近期多個客戶遇到此網站被劫持攻擊的症狀找到我們SINESAFE網站安全公司來尋求幫助，解決這個反覆被攻擊以及摸不到頭緒的安全問題，那麼首先我們們來分析下為何網站會被攻擊，因為網站本身的程式程式碼存在漏洞，比如上傳漏洞，跨站漏洞，SQL隱碼攻擊漏洞等，以及客戶用的是單獨伺服器像WIN2008系統或Windows2012,2016,2019,環境基本都是IIS7,8,10，SQLSERVER用的是sql2008 sql2012等，基本很大的因素是伺服器記憶體在多個網站，都是些asp+aspx+sqlserver的混合架構，由於網站目錄許可權沒有劃分好，導致其中一個網站被入侵，直接牽連伺服器內的其他網站，本身ASPX的訪問許可權就比較大，加上很多人願意用SQLSERVER的SA使用者去呼叫資料庫的連線，直接給駭客提供了提權的機會，提權就是駭客透過許可權大的使用者進行提升許可權從而拿到伺服器許可權，很多程式設計師也束手無策，畢竟專業的事情專業幹，還得需要我們專業的網站安全公司來處理解決，接下來我會把整個處理過程簡單描述下，從而讓更多的網站負責人瞭解到網站為何會被攻擊。

前幾天的一位客戶由於之前就聯絡我們諮詢過網站被攻擊劫持的問題，而客戶覺得自己的技術能解決掉，就沒把這個安全問題當回事，以為重做系統就沒事了，穩定了1個多月後又被攻擊，沒辦法才讓我們對網站安全進行處理，我們接到客戶的伺服器資訊後，登入伺服器進行了檢查，發現系統使用者被增加了多個隱藏賬戶，而且網站目錄下有很多隱藏檔案，肉眼是看不到的，必須在CMD下顯示所有檔案才能看到，透過我們技術的查詢對多個後門進行了處理，發現Dooad.ashx Dowmload.ashx Down.ashx servicer.aspx檔案內容中被增加了一些上傳功能的程式碼：

直接訪問是會顯示404提示，如果是對檔案引數加上?dir=Dick 就會出現上傳頁面，這聰明的手法是真的很溜。那麼瞭解到這些後門木馬後，就要想想駭客是從哪裡上傳進來的，透過我們的人工程式碼安全審計，發現後臺目錄manage是預設的管理後臺的目錄，存在越權登入，新增附件這裡存在字尾變數覆蓋，導致直接可以上傳ASPX格式或ashx格式的木馬檔案，從而上傳後對伺服器進行了提權，對網站目錄下增加了global.asa等隱藏檔案而且還是刪除不掉的檔案。我們立即對網站目錄進行了切換，從而擺脫了刪除不掉的檔案，此global.asa就是用來劫持百度收錄的後門檔案。這樣下來後網站恢復了正常訪問，模擬抓取也顯示正常了

然後阿里雲違規url通知那裡還得需要去申請解除遮蔽，要不然不申請的話達到多少條後會被遮蔽域名，導致網站無法訪問，百度站長工具提交死鏈也得需要網站必須是404狀態的頁面才能清除掉這些收錄的惡意快照內容。一定要多個方面去分析問題，切不可盲目處理，否則越拖越嚴重。