一天,我收到了一位新客户,反映我的网站被黑了。该网站的主页也被黑客篡改。该网站的内容添加了一些与网站不匹配的内容和加密代码,导致百度URL安全中心提醒您:此页面可能存在木马病毒!该网站在百度的收录和快照也被劫持到世界杯投注,以及赌博,赌博等内容。根据上述客户反映的网站黑客攻击,我们的正弦安全公司立即安排安全技术人员在客户的网站上。在黑色的情况下,进行了详细的网站安全测试和代码的手动安全审核。结果发现,客户网站的首页经常被篡改。客户只能删除主页文件,然后重新生成主页。真的不可能篡改它。只有找到我们的SINE安全公司才能处理网站的安全问题。
第一:分析被黑网站的情况
1.客户的网站基于DEDECMS系统(PHP+MYSQL数据库架构)。dedecms漏洞在过去几年中一直在爆炸,但现在有许多网站和平台使用dedecms。或者做网站排名的优化就是用这个梦想编织程序来做,优化快,访问速度也快,全站可以生成静态文件,便于管理和更新文章,也方便了速度网站开放,优化关键词和提升。通过与客户的沟通,发现客户的网站,只要发布新文章,在后台生成新的html页面,或生成主页index.html,攻击者将直接添加一些加密代码和赌博内容。
该网站已被篡改添加,速度赛车,赌博,投注、赌博,世界杯投注和与网站无关的内容,以及网站代码也使JS判断跳转,对于百度搜索客户,将直接跳转到此速度赛车、赌博、游戏页面,导致360提示投注网站拦截,百度提示拦截风险该网站将直接显示百度搜索中的风险:百度URL安全中心提醒您此页面上可能存在特洛伊木马病毒。
通过对客户网站所有代码的安全检测和代码的手动安全审计,发现主页index.html的内容被篡改,dedecms模板目录文件下的index.htm文件被删除了。也被篡改了。我找到了一些加密代码,这是通过解密代码找到的。这是与赌博和赌博有关的一些内容。我们删除了生成主页后被篡改的内容,然后在其网站上保存了木马病毒和特洛伊木马。后门被清除,网站测试漏洞和漏洞,网站是防篡改的。
第二:记录网站的黑客攻击过程
1.在对SINE安全技术进行安全审计后,网站发现网站根目录下的datas.php文件内容属于木马的断言类型。
所以既然我发现了一句木马,那一定是一个PHP脚本木马,然后在css目录下发现一个文件是加密代码,我们访问了木马地址,进行了访问,发现它是一种木马病毒。
PHP脚本木马的操作权限太大,文件的编辑和重命名,以及恶意sql语句的执行,服务器的系统信息都可以看得很清楚。对于网站的所有程序代码,特洛伊木马功能扫描并发现N个网站的木马文件,难怪客户自己说无处不在的黑客,网站被伪造和吐血。由于脚本木马后门如此之多,我们的安全技术会直接删除所有清理工作,因为客户端站点使用单独的服务器。那么服务器的安全性也应该是详细的安全加固和网站安全保护。检查网站的mysql数据库,并使用root权限将其分配给网站。(使用root管理员权限,整个服务器将被黑客攻击并且攻击将增加。风险)我们向客户端服务器添加了一个通用特权数据库帐户到网站。数据库的端口3306和135端口445端口139端口部署了端口安全策略,以防止外部网络上的所有连接,并且仅允许Intranet连接。服务器具有详细的服务器安全设置和部署。
之后,我们对网站的所有文件,代码,图片和内容进行了详细的安全检测和比较。从SQL注入测试、XSS跨站点安全测试、形式绕组、文件上传漏洞测试、文件包含漏洞检测、网页挂马、网页后门木马检测、包含一句话小马、aspx马来西亚、脚本木马后门、敏感信息泄漏测试、任何文件读取、目录遍历0x1775弱密码安全检测和其他方面的全面安全测试,以及错误修复,客户的网站被黑客攻击到完美的解决方案。因为以前的客户平均每天被攻击两到三次,从安全部署到今天,客户网站访问是正常的并且没有被篡改。
第三:建议保护黑客入侵网站
1.定期更新服务器系统漏洞(windows20082012、linuxcentos系统),网站系统升级,尽量不要应用第三方API插件代码。
2.如果您对程序代码了解不多,建议找一家网站安全公司来修复网站的漏洞,以及代码的安全检测和后门的删除。木马。国内推荐SINE安全公司、绿联安全公司、维纳斯星等网站安全公司做深入的网站安全服务,确保网站的安全性和稳定性,防止网站链接等安全问题。
3.尽量不要将网站的后台用户的密码设置得过于简单,并将大写和小写字母+数字+符号组合设置为10到18位。
4.不得使用默认的admin或guanli或manage或名为admin.asp的路径访问网站后台管理的路径。
5.必须详细完成服务器的基本安全设置,端口的安全策略,注册表的安全性以及底层系统的安全性。否则,服务器不安全,网站的安全性是无用的。
2020-10-23
分享
在线咨询
:18912312413