網站被黑如何恢復 如何查詢網站木馬程式碼 防止被黑

網站安全發表於2019-07-01

近日,某一客戶網站伺服器被入侵,導致伺服器被植入木馬病毒,重做系統也於事無補,目前客戶網站處於癱瘓狀態,損失較大,透過朋友介紹找到我們SINE安全公司,我們立即成立安全應急處理小組,針對客戶伺服器被攻擊,被黑的情況進行全面的安全檢測與防護部署。記錄一下我們整個的安全處理過程,教大家該如何防止伺服器被攻擊,如何解決伺服器被入侵的問題。

網站被黑如何恢復 如何查詢網站木馬程式碼 防止被黑

首先我們來確認下客戶的伺服器,使用的是linux centos系統,網站採用的PHP語言開發,資料庫型別是mysql,使用開源的thinkphp架構二次開發而成,伺服器配置是16核,32G記憶體,頻寬100M獨享,使用的是阿里雲ECS伺服器,在被駭客攻擊之前,收到過阿里雲的簡訊,提示伺服器在異地登入,我們SINE安全技術跟客戶對接了阿里雲的賬號密碼以及伺服器的IP,SSH埠,root賬號密碼。立即展開對伺服器的安全應急處理。

登入伺服器後我們發現CPU佔用百分之90多,16核的處理都在使用當中,立即對佔用CPU的程式進行追查發現是watchdogs程式佔用著,導致伺服器卡頓,客戶的網站無法開啟狀態,檢視伺服器的頻寬使用佔用到了100M,頻寬全部被佔滿,一開始以為網站遭受到了DDOS流量攻擊,透過我們的詳細安全分析與檢測,可以排除流量攻擊的可能,再對watchdogs相關聯的程式檢視的時候發現了問題。伺服器被入侵植入了挖礦木馬病毒,植入木馬的手法很高明,徹底的隱藏起來,肉眼根本無法察覺出來,採用的是rootkit的技術不斷的隱藏與生成木馬。

網站被黑如何恢復 如何查詢網站木馬程式碼 防止被黑

找到了攻擊特徵,我們緊接著在伺服器的計劃任務裡發現被增加了任務,crontab每小時自動下載SO檔案到系統目錄當中去,該SO檔案下載下來經過我們的SINE安全部門檢測發現是木馬後門,而且還是免殺的,植入到系統程式進行偽裝挖礦。

網站被黑如何恢復 如何查詢網站木馬程式碼 防止被黑

知道木馬的位置以及來源,我們對其進行了強制刪除,對程式進行了修復,防止木馬自動執行,對系統檔案裡的SO檔案進行刪除,與目錄做防篡改部署,殺掉KILL惡意的挖礦程式,對linux伺服器進行了安全加固。那麼伺服器到底是如何被植入木馬,被攻擊的呢?經過我們SINE安全2天2夜的不間斷安全檢測與分析,終於找到伺服器被攻擊的原因了,是網站存在漏洞,導致上傳了webshell網站木馬,還留了一句話木馬,攻擊者直接透過網站漏洞進行篡改上傳木馬檔案到網站根目錄下,並提權拿到伺服器的root許可權,再植入的挖礦木馬。

如何防止伺服器被攻擊,被入侵

首先我們要對網站漏洞進行修復,對客戶網站程式碼進行全面的安全檢測與分析,對上傳功能,以及sql注入,XSS跨站,遠端程式碼執行漏洞進行安全測試,發現客戶網站程式碼存在上傳漏洞,立即對其進行修復,限制上傳的檔案型別,對上傳的目錄進行無指令碼執行許可權的安全部署,對客戶的伺服器登入做了安全限制,不僅僅使用的是root賬號密碼,而且還需要證照才能登入伺服器。如果伺服器反覆被駭客攻擊,建議找專業的網路安全公司來解決問題,國內也就Sinesafe和綠盟、啟明星辰等安全公司比較專業.專業的事,就得需要專業的人幹,至此伺服器被攻擊的問題得以解決,客戶網站恢復正常,也希望更多遇到同樣問題的伺服器,都能透過上面的辦法解決。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2649162/,如需轉載,請註明出處,否則將追究法律責任。

相關文章