网站被黑检测支持
网站被黑恢复支持
服务方式人工安全部署
**签订合同
服务范围网站和APP
2022年百度自然排名受到很大的影响,但作为站长每天忙碌的就是发文章做优化,让网站有更好的排名从而带来许多客户,但近网站总是中毒信息被篡改,导致快照内容被篡改,网站目录下的页文件总是被反复篡改,说到这里,很多做站长的特别能理解网站中毒后带来的损失,轻则排名下降,重则降权,那么由网站漏洞修复的SINE安全技术为大家详细介绍。
一.被黑的状况分析
1.客户的采用的是,织梦DEDECMS系统(PHP+MYSQL数据库架构),dedecms漏洞在近几年实在是爆出了太多,但是现在用dedecms做以及平台的也很多,一般企业站或做优化排名的都是用这个织梦的程序来做,优化快,访问速度也快,全站可以静态文件生成,方便管理更新文章,
也方便打开的速度,以及关键词方面的优化与提升。通过与客户的沟通了解,发现客户的,只要是发布新的文章,并在后台生成新的html页面,或者生成首页index.html,就会被攻击者直接增加了一些加密的代码与dubo的内容,图片如下:
被篡改的内容都是加了一些与不相关的内容,而且这个代码还做了JS判断跳转,针对于Baidu搜索来的客户,会直接跳转到这个垃圾页面,导致360提示,百度提示风险的图片如下:
在百度的搜索中会直接风险提示:百度网址安全中心提醒你:该页面可能存在木马病毒。通过对客户的所有代码的安全检测与代码的人工安全审计,发现首页index.html中的内容被篡改,并发现在dedecms模板目录文件下的index.htm文件也被篡改了。
我们来打开index.htm模板文件,看下代码:
下面的这一段代码是加密的JS跳转代码,是根据百度搜索等相应的条件,进行判断,然后跳转,直接输入域名不会跳转。
上面查到一些加密的代码,用编码的解密查到,是一些bocai相关的内容,我们把生成首页后被篡改的内容直接掉,然后对其里留存下来的木马病毒,以及木马后门进行清除,并做好的漏洞检测与漏洞修复,部署防篡改方案。
二.被黑的清理过程记录
1.经过SINE安全技术的安全审计后,在安全的处理过程中发现根目录下的datas.php文件内容属于assert类型的一句话木马。那么既然发现有一句话木马,那肯定是存在PHP脚本木马的,随即发现在css目录下有个文件是base64加密的代码,我们访问该木马地址,进行了访问发现的确是木马病毒的,所在图片如下:
该PHP脚本木马的操作权限实在是太大了,对文件的编辑以及改名,以及执行恶意的sql语句,查看服务器的系统信息都可以看的很清楚.对的所有程序代码,进行了木马特征扫描,发现了N个木马文件,怪不得客户自己说反反复复的出现被黑,被篡改的都快要了。扫描到的木马病毒如下图所示:
这么多个脚本木马后门,我们安全技术直接进行了全部清理,由于客户用的是单的服务器。那么对服务器的安全也要进行详细的安全加固和安全防护,查看到的mysql数据库,分配给使用的是root权限,(用root管理员权限会导致整个服务器都会被黑,增加了攻击风险)我们给客户服务器增加了一个普通权限的数据库账户分配给,数据库的端口3306以及135端口445端口139端口都进行了端口安全策略部署,杜绝外网一切连接,只允许内网连接,对服务器进行了详细的服务器安全设置和部署,后续我们对的所有文件,代码,图片,数据库里的内容,进行了详细的安全检测与对比,从SQL注入测试、XSS跨站安全测试、表单绕过、文件上传漏洞测试、文件包含漏洞检测、网页挂马、网页后门木马检测、包括一句话小马、aspx大马、脚本木马后门、敏感信息泄露测试、任意文件读取、目录遍历、弱口令安全检测等方面进行了全面的安全检测,与漏洞修复,至此客户被黑的问题才得以的解决。因为之前客户都是平均被篡改两三次,从做署到今天20号,客户访问一切正常,没有被篡改。
三.针对于被黑的防护建议
1.定期的更新服务器系统漏洞(windows 2008 2012、linux centos系统),系统升级,尽量不适用第三方的API插件代码。
2.如果自己对程序代码不是太了解的话,建议找安全公司去修复的漏洞,以及代码的安全检测与木马后门清除,国内推荐SINE安全公司、绿盟安全公司、启明星辰等的安全公司,做深入的安全服务,来**的安全稳定运行,防止被挂马之类的安全问题。
3.尽量不要把的后台用户的密码设置的太简单化,要符合10到18位的大小写字母+数字+符号组合。
4.后台管理的路径一定不能用默认的admin或guanli或manage 或文件名为admin.asp的路径去访问。
5.服务器的基础安全设置必须要详细的做好,端口的安全策略,注册表安全,底层系统的安全加固,否则服务器不安全,再安全也没用。
近日,某一客户服务器被入侵,导致服务器被植入木马病毒,重做系统也于事无补,目前客户处于瘫痪状态,损失较大,通过朋友介绍找到我们SINE安全公司,我们立即成立安全应急处理小组,针对客户服务器被攻击,被黑的情况进行全面的安全检测与防护部署。记录一下我们整个的安全处理过程,教大家该如何防止服务器被攻击,如何解决服务器被入侵的问题。
首先我们来确认下客户的服务器,使用的是linux centos系统,采用的PHP语言开发,数据库类型是mysql,使用开源的thinkphp架构二次开发而成,服务器配置是16核,32G内存,带宽100M享,使用的是阿里云ECS服务器,在被攻击之前,收到过阿里云的短信,提示服务器在异地登录,我们SINE安全技术跟客户对接了阿里云的账号密码以及服务器的IP,SSH端口,root账号密码。立即展开对服务器的安全应急处理。
登录服务器后我们发现CPU占用百分之90多,16核的处理使用当中,立即对占用CPU的进程进行追查发现是watchdogs进程占用着,导致服务器卡顿,客户的无法打开状态,查看服务器的带宽使用占用到了100M,带宽全部被占满,一开始以为遭受到了DDOS流量攻击,通过我们的详细安全分析与检测,可以排除流量攻击的可能,再对watchdogs相关联的进程查看的时候发现了问题。服务器被入侵植入了木马病毒,植入木马的手法很高明,彻底的隐藏起来,肉眼根本无法察觉出来,采用的是rootkit的技术不断的隐藏与生成木马。
找到了攻击特征,我们紧接着在服务器的计划任务里发现被增加了任务,crontab每小时自动下载SO文件到系统目录当中去,该SO文件下载下来经过我们的SINE门检测发现是木马后门,而且还是免杀的,植入到系统进程进行伪装。
知道木马的位置以及来源,我们对其进行了强制,对进程进行了修复,防止木马自动运行,对系统文件里的SO文件进行,与目录做防篡改部署,杀掉KILL恶意的进程,对linux服务器进行了安全加固。那么服务器到底是如何被植入木马,被攻击的呢?经过我们SINE安全2天2夜的不间断安全检测与分析,终于找到服务器被攻击的原因了,是存在漏洞,导致上传了webshell木马,还留了一句话木马,攻击者直接通过漏洞进行篡改上传木马文件到根目录下,并提权拿到服务器的root权限,再植入的木马。
如何防止服务器被攻击,被入侵
首先我们要对漏洞进行修复,对客户代码进行全面的安全检测与分析,对上传功能,以及sql注入,XSS跨站,远程代码执行漏洞进行安全测试,发现客户代码存在上传漏洞,立即对其进行修复,限制上传的文件类型,对上传的目录进行无脚本执行权限的署,对客户的服务器登录做了安全限制,不仅仅使用的是root账号密码,而且还需要证书才能登录服务器。如果服务器反复被攻击,建议找的网络安全公司来解决问题,国内也就Sinesafe和绿盟、启明星辰等安全公司比较.的事,就得需要的人干,至此服务器被攻击的问题得以解决,客户恢复正常,也希望更多遇到同样问题的服务器,都能通过上面的办法解决。
被黑,打开竟然跳转到博cai上去了,一开始以为自己看错了,多次从百度点击自己进去,还是会跳转到彩piao上,反应是自己的被黑了,经营很多年了,从来未遇到过这种情况。
先来看下被黑的情况,从百度里输入自己的域名,发现自己的快照被改成什么北京sai车,北京等等内容,还被百度提示,说什么百度网址安全中心提醒您:该页面可能已被非法篡改!搞的我头都大了,我说呢近的排名下降的厉害,原来是被黑,导致被降权,客户都搜索不到我们公司了。
那么该如何解决被黑? 防止被黑呢?
我从百度里查询了好多关于为什么被黑的原因,总结了一下,首先被黑的根本原因是存在着漏洞,攻击者利用的漏洞,进入了的后台。再一个原因是的后台管理员账号密码比较容易猜测到,FTP的账号密码也被容易猜测到,还有就是存在上传的漏洞,导致可以上传木马后门进来。
大体上我了解清楚了,被黑的主要原因是:我的有漏洞,这个一开始的建设,设计都是我在负责,采用的是ecshop商城系统,php+Mysql数据库架构开发的,存在漏洞,那就要检查的漏洞到底是在哪里,包括存在哪些后门,病毒什么的。连接我们的FTP,下载了所有代码,图片,数据库文件到自己的电脑里,百度搜索ecshop漏洞,查看近出现的ecshop漏洞详情以及如何利用,查看了自己的代码,再来对比漏洞产生的代码,发现了问题,确实存在漏洞,存在sql注入漏洞,这个漏洞可以查询的管理员账号密码,攻击者知道的后台账号密码,那么就可以进入到我们的后台,我查看了ecshop后台登陆记录,发现有一个来自中国香港IP的登陆,然后看了他的操作记录,是上传了一个PHP脚本文件到我的里,追寻着他的操作记录,我打开了这个PHP脚本文件,打开后,我发现这个PHP文件功能很强大,可以修改我的任何文件,以及上传,下载,修改文件的权限,都是可以的。通过百度搜索,这个PHP脚本文件竟然是webshell,简单来讲是的木马后门,可以对进行控制。
掉这个后门,再根据这个后门代码的特征进行搜索,看看还没有其他的后门了,搜索了一下没有再发现,接下来就是要对的漏洞进行修复,查看了ecshop漏洞的修复方案,对产生漏洞代码进行了更改,数组与转换模式的代码更新即可。辛亏我对代码这块懂一些,如果对代码不是太懂的话,建议找安全公司帮你修复漏洞,清理掉的木马后门,防止再被黑。
打开还是会跳转到博cai,看了下首页代码竟然被添加了一些加密的内容,如下:
标题以及描述,都被改成这样了,清理掉这些代码后,没有再被跳转了,以上就是我解决被黑问题的整个过程,如果您的也被黑,也可以按照我的这个方法去解决试试。
被黑的总结和解决办法
被黑,导致排名掉的,要尽快恢复到安全状态,的漏洞要尽快的修复,经常查看下的后台有没有提示要升级到新版本,再一个重要的是管理员的密码一定要复杂,越复杂越好。也可以找安全公司去处理,国内SINE安全公司,绿盟安全,启明星辰安全都是比较的。在一个就是要多备份下自己的,多备份,多更新补丁,一定没错的。
实际上,大部分的网站被攻击都是利用数据库来攻击的,因此,将数据库中没有用的的数据表掉,这是防护网站被攻击的重要方法。我们必须要要求网站系统功能简单,没必需做一些有难度的功能要求,有难度的功能不会给你带来任何益处。事实上你就会发现,当你的网站只是一些简单的html内容,搜索引擎收录这些页面会很快,而同样的页面,你把它放在有难度的程序系统中,收录速度却很慢。
如何处理被黑内容
1、通过网站日志找到网站后门,及时修补网站漏洞,避免第二次被黑
2、网站木马检测,通过第三方软件寻找到网站潜在的一些后门程序及时,一般辛辛苦苦入侵一个站点多半会在该站点中留下多个后门。
3、通过关闭网站的方式来避免网站信誉降低问题,建议开启网站闭站保护来处理死链接一类的问题,对于大型站点做好工作。
4、网站定期进行数据备份,这里相信各位站点都很了解我就不多去介绍了
5、关闭一些不常用的端口,比如网站禁止外网访问数据库,禁止内网登录服务器,设置好相关的一些安全策略。
6、向网站安全公司求助。
http://www.qdshtddzkj.com
