网站被黑检测支持
网站被黑恢复支持
服务方式人工安全部署
**签订合同
服务范围网站和APP
网站的管理员每天的工作就是检查网站发布的文章以及网站在百度的排名为位置,而网站被中毒后的个就是查看页源代码,发现标题描述以及关键词都被加密显示,而且从百度搜索关键词点击直接被跳转到其他网站,如果是直接输入域名从浏览器里打开是正常的,这是因为植入中毒的代码里包含了来路条件判断,如果是从搜索引擎来的直接跳转,如果是直接输入域名打开的就显示正常。
网站为什么会被挂黑链?
网站被挂黑链这种事情总是防不胜防,且不说网站本身的安全防护做的是否到位,但只要被盯上了就难逃厄运。即使是国家机构的网站也难逃被黑的经历,更何况站长们苦心经营混饭吃的小网站,因此首先需要正确看待挂黑链这个现象,那么网站为什么会被挂黑脸呢?主要原因有如下两点:①网站被非法入侵;②空间服务器被非法入侵。
网站被攻击百度快照遭到劫持怎么办?
上述特点有两个重要问题。
1.客户粗心。
俗话说得好:“事情出变不离其宗”,网站一开始出现内容被篡改的情况,没引起警觉,觉得换回就可以了,殊不知能被劫持一次,网站的安全保护意识很低。
2.网站或服务器有漏洞。
攻击的方式天天更新,世界上也不存在没有任何漏洞的软件,只是发现早或晚。还没找到我们之前,很多客户都认为在服务器上安装一个安全保护软件是安全的。熟人不知道真正的保护程度也许只有50%,也许大多数的原因是心理安慰。安全性本身是个不断讨论的话题,安全服务本身就是一项不可能一劳永逸的服务。
一.被黑的状况分析
1.客户的采用的是,织梦DEDECMS系统(PHP+MYSQL数据库架构),dedecms漏洞在近几年实在是爆出了太多,但是现在用dedecms做以及平台的也很多,一般企业站或做优化排名的都是用这个织梦的程序来做,优化快,访问速度也快,全站可以静态文件生成,方便管理更新文章,
也方便打开的速度,以及关键词方面的优化与提升。通过与客户的沟通了解,发现客户的,只要是发布新的文章,并在后台生成新的html页面,或者生成首页index.html,就会被攻击者直接增加了一些加密的代码与dubo的内容,图片如下:
被篡改的内容都是加了一些与不相关的内容,而且这个代码还做了JS判断跳转,针对于Baidu搜索来的客户,会直接跳转到这个垃圾页面,导致360提示,百度提示风险的图片如下:
在百度的搜索中会直接风险提示:百度网址安全中心提醒你:该页面可能存在木马病毒。通过对客户的所有代码的安全检测与代码的人工安全审计,发现首页index.html中的内容被篡改,并发现在dedecms模板目录文件下的index.htm文件也被篡改了。
我们来打开index.htm模板文件,看下代码:
下面的这一段代码是加密的JS跳转代码,是根据百度搜索等相应的条件,进行判断,然后跳转,直接输入域名不会跳转。
上面查到一些加密的代码,用编码的解密查到,是一些bocai相关的内容,我们把生成首页后被篡改的内容直接掉,然后对其里留存下来的木马病毒,以及木马后门进行清除,并做好的漏洞检测与漏洞修复,部署防篡改方案。
二.被黑的清理过程记录
1.经过SINE安全技术的安全审计后,在安全的处理过程中发现根目录下的datas.php文件内容属于assert类型的一句话木马。那么既然发现有一句话木马,那肯定是存在PHP脚本木马的,随即发现在css目录下有个文件是base64加密的代码,我们访问该木马地址,进行了访问发现的确是木马病毒的,所在图片如下:
该PHP脚本木马的操作权限实在是太大了,对文件的编辑以及改名,以及执行恶意的sql语句,查看服务器的系统信息都可以看的很清楚.对的所有程序代码,进行了木马特征扫描,发现了N个木马文件,怪不得客户自己说反反复复的出现被黑,被篡改的都快要了。扫描到的木马病毒如下图所示:
这么多个脚本木马后门,我们安全技术直接进行了全部清理,由于客户用的是单的服务器。那么对服务器的安全也要进行详细的安全加固和安全防护,查看到的mysql数据库,分配给使用的是root权限,(用root管理员权限会导致整个服务器都会被黑,增加了攻击风险)我们给客户服务器增加了一个普通权限的数据库账户分配给,数据库的端口3306以及135端口445端口139端口都进行了端口安全策略部署,杜绝外网一切连接,只允许内网连接,对服务器进行了详细的服务器安全设置和部署,后续我们对的所有文件,代码,图片,数据库里的内容,进行了详细的安全检测与对比,从SQL注入测试、XSS跨站安全测试、表单绕过、文件上传漏洞测试、文件包含漏洞检测、网页挂马、网页后门木马检测、包括一句话小马、aspx大马、脚本木马后门、敏感信息泄露测试、任意文件读取、目录遍历、弱口令安全检测等方面进行了全面的安全检测,与漏洞修复,至此客户被黑的问题才得以的解决。因为之前客户都是平均被篡改两三次,从做署到今天20号,客户访问一切正常,没有被篡改。
三.针对于被黑的防护建议
1.定期的更新服务器系统漏洞(windows 2008 2012、linux centos系统),系统升级,尽量不适用第三方的API插件代码。
2.如果自己对程序代码不是太了解的话,建议找安全公司去修复的漏洞,以及代码的安全检测与木马后门清除,国内推荐SINE安全公司、绿盟安全公司、启明星辰等的安全公司,做深入的安全服务,来**的安全稳定运行,防止被挂马之类的安全问题。
3.尽量不要把的后台用户的密码设置的太简单化,要符合10到18位的大小写字母+数字+符号组合。
4.后台管理的路径一定不能用默认的admin或guanli或manage 或文件名为admin.asp的路径去访问。
5.服务器的基础安全设置必须要详细的做好,端口的安全策略,注册表安全,底层系统的安全加固,否则服务器不安全,再安全也没用。
2019年很多公司遇到被黑的问题,因为大多数用的都是一些主流,开源的cms系统开发的程序,还有的公司找的当地建设公司去做的,而天天被黑的遭遇找到建设公司也只能解决一时,没过多久又被黑了,具体的情况特征以及如何解决被黑,下面由国内安全公司的Sine安全技术来为大家逐一解答.
什么是被黑?
被黑是因为的程序代码存在漏洞以及后门木马导致的被黑,都是通过的各个漏洞,比如跨站脚本攻击,getshell以及图片上传,和sql注入攻击,以及等等手法拿到了的高权限上传了脚本后门也俗称webshell木马,这也是为何清理了木马代码而又被反复篡改攻击的主要原因。
被黑具体表现
从百度搜索公司名称或域名显示的快照内容不符,一般都是显示一些du博内容,点击进入会跳转到其他,如果直接从浏览器里输入域名打开的话就显示正常,再一个检查下首页的程序文件里有无可疑加密的代码如下图:
而且有的可能会在百度搜索中看到提示网址安全中心风险的红色标识:
如果这几种状况有其一,出现了的话那么说明你的已经被黑了,一般这种被跳转的情况都是反复性质的被篡改,因为公司出现问题后首先想到的就是找当初的建设公司来处理,但是他们只能是把原先的备份文件给你替换上去,这只能是一时的,没过多久就又出现被黑的了,很多公司都是做的百度推广都是被停止了投放,必须要恢复正常访问才能投放广告,这一点是损失公司利益的,那么既然了解了这个的表现,那么接下来就是重要的解决办法了.
被黑怎么解决处理
首先你要知道所使用的空间是虚拟主机还是单服务器,大部分的公司都是虚拟主机,那么只要知道ftp信息即可操作,如果是单服务器的话必须要知道远程端口以及管理信息,首先登陆ftp后查看目录下的index.php或index.html文件看看被修改时间,然后再仔细寻找这个时间段文件然后对比下本地的备份看看是否是可疑或是新增加的,如果是的话直接一并,而首页文件被增加的加密代码只要去掉加密和跟随js代码就可以了,如果有备份的话直接替换即可.做好这些步骤后就可以恢复正常访问了,剩下的问题就是要对的漏洞进行修复了,对代码不是太懂的话,也可以找的安全公司来解决被黑的问题。
如何修复漏洞?
对程序代码进行安全检测,检查sql查询语句是否带有符号之类的操作,应过滤一些非法参数,对于图片的上传进行后缀严格控制,对图片上传的目录进行脚本权限设置,只允许静态文件访问不允许动态脚本访问,检查留言功能提交是否过滤一些符号,看下的后台目录是否使用一些默认的文件名如admin,manage,houtai等等的目录名,管理员的密码使用10到16位大小写字母加数字加符号的组合,如果自己懂程序,那就可以自己针对代码的漏洞进行漏洞修复,不懂的话,就请的安全公司来完善一下程序上的某些代码漏洞。
如何处理被黑内容
1、通过网站日志找到网站后门,及时修补网站漏洞,避免第二次被黑
2、网站木马检测,通过第三方软件寻找到网站潜在的一些后门程序及时,一般辛辛苦苦入侵一个站点多半会在该站点中留下多个后门。
3、通过关闭网站的方式来避免网站信誉降低问题,建议开启网站闭站保护来处理死链接一类的问题,对于大型站点做好工作。
4、网站定期进行数据备份,这里相信各位站点都很了解我就不多去介绍了
5、关闭一些不常用的端口,比如网站禁止外网访问数据库,禁止内网登录服务器,设置好相关的一些安全策略。
6、向网站安全公司求助。
http://www.qdshtddzkj.com
