2019年12月18日晚10.00,刚准备整顿整顿放工,接到客户的电话,说是公司网站被入侵了,网站首页代码的标题,描述,关键词,都被修改成加密的字符,从百度点击进去直接跳转到什么彩//piao,菠菜网站上去了,听到客户的这些网站被攻击描述,可以确定网站被攻击了,并被挟制到彩//piao网站上了,针对这一情形我们立即启动安全应急相应小组,对客户的网站进行安全处理,防止攻击扩大化。
客户网站采取的是windows2012系统,php+mysql架构的thinkphp开拓的网站,利用IIS作为网站的运行环境,像网站被入侵,做事器被攻击,代码修改,网站被挟制跳转等攻击,我们处理了十多年了,第一反应是客户的做事器也被黑了,可能被提权加了管理员账户,又或者被植入了后门,导致网站一贯处于被攻击状态。大体问题我们理解了,接下来就须要登录做事器进行详细的安全检测,包括网站代码的安全检测与网站漏洞检测,网站木马后门打消等一系列的干系安全做事。
登录做事器我们技能创造做事器被植入了木马后门,写在了系统文件里,并钩子关联到启动做事中,不管做事器如何重启,还是会实行攻击者植入的木马后门文件,我们随即对后门进行了打消,对做事器的端口进行了安全策略,限定了站内,站外的端口访问,只开放了80,针对远程端口做了IP白名单安全限定。紧接着最主要的安全问题便是客户的网站还是一贯跳转,从百度点击进去就会一直的跳转,包括APP端也都一样的攻击症状,我们检讨了首页代码创造代码被修改了,截图如下
在百度里搜索网站,网站的快照并被百度网址安全中央提醒您:该站点可能受到黑客攻击,部分页面已被造孽修改!
客户的网站还做的百度推广,导致流量一贯下滑,丢失较大,我们对首页代码的修改内容进行了删除,规复正常的网站访问,但问题并不是想象的那么大略,删除代码后,跳转的问题还是依旧,并没有办理,根据我们多年的安全履历来看,肯定是IIS被挟制了,也便是说IIS的配置文件可能被攻击者修改了。对做事器的IIS配置文件进行查看,检讨处理程序映射功能是否被植入恶意的DLL文件,仔细看了下,也没创造问题,连续追踪安全剖析,也对web.config检讨了,也没创造URL伪静态规则,看来攻击者还是有点技能手段,那也没有关系,既然问题确定在IIS里,肯定是写在那个配置文件中,随即我们对模块功能进行检讨,创造了问题,被植入了恶意的DLL文件,导致该模块被运用到了IIS8.0当中,找到问题根源,处理起来就比较随意马虎了,随即对该模块进行了打消,并iisreset命令重启了IIS环境,网站被入侵跳转的问题没有了。
接下来我们开始对客户网站的安全进行加固做事,仔细检讨了网站存在的漏洞,以及木马后门,对thinkphp的每个文件代码都进行了详细的人工安全审计,创造thinkphp存在远程代码实行漏洞,导致攻击者无需任何权限,直接实行漏洞天生网站木马后门文件也叫webshell.在public目录下创造一句话木马后门,也叫PHP小马,我们对其进行删除,也对客户网站漏洞进行了修复,客户网站才得以安全。
有些客户以为删除首页跳转代码就能办理问题,可是过不了几天网站又被攻击,根源问题在于网站漏洞没有修复,以及网站存在着webshell木马后门文件,只有真正的从根源上去入手,才能防止网站被攻击。如果自己对代码不是太懂的话,建议找专业的网站安全公司来处理,网站安全了带给客户的也是利益上的共赢,能帮助客户走多远,自己才能走的更远。
