开发者社区> 网站安全者> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

如何处理 网站被网安大队下发的信息系统安全等级保护限期整改通知书

简介:   2018年6月,我们接到一位来自北京的新客户反映,说是他们单位收到一封来自北京市公安局海淀分局网安大队的通知书,通知称:贵单位网站存在网络安全漏洞,网站被植入后门程序,要求你单位要在XX日之前,对网站进行安全整改,并要求提供完整的整改方案。
+关注继续查看
  2018年6月,我们接到一位来自北京的新客户反映,说是他们单位收到一封来自北京市公

安局海淀分局网安大队的通知书,通知称:贵单位网站存在网络安全漏洞,网站被植入后门程序,

要求你单位要在XX日之前,对网站进行安全整改,并要求提供完整的整改方案。

对于未按期整改的,将被予以进行行政处罚,如下图所示:

 
网安大队的限期整改通知书,内容如下:
 
北京市公安局海淀分局
信息系统安全等级保护限期整改通知书
京等保限字[2018]第06xxxx号
北京xxxxxxxxxxx
 
近日,我网监大队接通报,贵单位网站(域名:www.xxx.com)存在网络安全漏洞。(详见附件)根据《

中华人民共和国计算机信息系统安全保护条例》和《信息安全等级保护管理办法》的有关规定,

请你单位立即对上述问题进行核实、处置,对本单位负责的所有网站和信息系统进行全面排查和

持续整改,避免发生网络安全事件,并在2个工作日内将整改情况函告我单位在期限届满之前,你单

位应当采取必要的应急安全保护管理和技术措施,确保安全风险及隐患消除前信息系统安全运行

,防止被黑客攻击利用.(注:对短期内无法完成整改的,你单位应制定整改截止时间明确的建设整改

方案,并将该方案同整改情况一并报公安机关).
 
 
对于未按期限完成整改的,我单位将依据《中华人民共和国计算机信息系统安全保护条例》、

《信息安全等级保护管理办法》的规定,对你单位进行行政处罚.
 
联系单位:海淀分局网安大队
 
联系人:xx
 
联系电话:xxxxxxxx
 
根据上述网警提供的网络安全技术保护措施限期整改通知书,我们发现客户网站的问题,简单

明了的指明了该新客户的网站存在安全漏洞,被植入了木马后门程序,黑链,跳转到恶意网站。


 
 
针对客户的网站安全问题,我们SINE安全公司立即组织网络安全部门,成立信息系统安全等级

保护小组,对该客户的网站进行全面的网站安全检测,网站漏洞检测,网络安全漏洞测试,首

先我们来介绍下客户网站的信息系统事发情况:
 
 
该网站采用的asp .net语言开发,数据库类型是SQL Server 2008,SiteFactory动易CMS系统,

使用阿里云的虚拟主机 G享主机-G1型号,来运行网站,网站的所有数据大小,包括程序代码,

图片,数据库总共占用2.3G。我们首先对网站进行安全备份,以防数据丢失,避免造成更大的

经济损失。
 
 
客户提供了网监大队的漏洞详情附件,我们对其查看发现,附件里指出网站的IAA目录存在木马

后门文件,随即我们立即登录FTP,进行查看,确实发现有这么一个文件,对其人工安全审计

发现该代码是aspx一句话木马后门。


 
 
这个代码是一个隐蔽性极强的一句话后门,而且是过了所有杀毒软件的查杀,一句话aspx后门的强

大功能,可以对其网站进行全面的控制,上传,下载,修改,都可以。



事发前网站系统,一切正常运行并没有发现任何篡改的痕迹,网站首页没有被恶意跳转以及百度

快照劫持篡改等相关的问题。后续我们对网站的所有文件,代码,图片,数据库里的内容,进行

了详细的安全检测与对比,从SQL注入测试、XSS跨站安全测试、表单绕过、文件上传漏洞测试、

文件包含漏洞检测、网页挂马、网页后门木马检测、包括一句话小马、aspx大马、脚本木马后门、

敏感信息泄露测试、任意文件读取、目录遍历、弱口令安全检测等方面进行了全面的安全检测。
 
 
那么看到这个文件就要分析网站到底是因为那些漏洞而被上传了木马文件的呢?

 
我们把检测出来的信息系统安全漏洞进行了总结:
 
 
1.检测发现网站根目录下的Global.asax文件被篡改,通过代码发现该代码被植入了恶意代码,

该恶意代码是用来劫持各大搜索引擎的蜘蛛,用来收录恶意内容,做搜索词的排名。溯源追

踪到调用的网址,发现该网址已停止解析。也就说内容无法调用,也就不会造成搜索引擎蜘

蛛的抓取。


 
 
2.检测发现网站后台文件上传漏洞,可以上传任意文件,包括aspx木马文件的上传,登录后台

管理,打开系统设置—打开模板标签管理—添加内嵌代码—生成代码即可生成aspx木马文件。




 
 
3.后台管理员账号密码安全隐患,很多账号采用的密码都是比较简单的数字+字母符合,比如

LEO 密码LEO2011,很容易遭受攻击者的暴力猜解。
 
 
4.后台管理登录地址路径默认安全隐患漏洞,
 
http://www.******.com/adm/login.aspx
 
很容易遭受攻击者的暴力路径猜解。


信息系统安全漏洞修复加固:
 
 
我们对其以上的网站漏洞,进行了全面的安全修复与加固,删除IAA目录下的9di5s.ashx木马后

门文件,以及根目录下的Global.asax文件,并对相应的网站目录设置了无脚本执行权限,Ima

ges js PlugIns sjwskin temp UploadFiles wk wl wwwlogs 这些目录不允许执行脚本文件,包括

aspx,ashx,asp,asa,等脚本文件。 针对于上传漏洞,我们限制了上传目录的脚本执行权限,即

使上传木马文件,也无法执行。对网站的管理员密码进行了更改,数字+大小写字母+特殊符号,

满足13位密码,加强了密码的猜解程度,对网站的默认后台地址进行更改(只有内部人员知道

),以防止被攻击者猜解到。
 
 
 
至此我们整理了详细的信息系统安全等级保护整改报告,以及网站安全案事件调查处置情况

记录单,一并交给客户,客户再转交给北京市公安局海淀分局网监大队。问题得以圆满的解决

,也由衷的希望大家重视起网络安全,不容忽视。





 
 
 
如何写信息系统安全等级保护限期整改通知书以及网站安全的防护措施
 
 
1、选择安全、稳定的主机服务器商,选择好主机服务器商之后,我们也要时刻查看主机服务器

上的其他网站,看一下他们网站的安全情况,如果他们网站也被入侵了,我们也会受到牵连,

可能会造成自己网站被攻击。
 
 
2、如果自己对程序代码编程不太了解的话,建议找网络安全公司去修复网站的漏洞,以及写信

息系统安全等级保护限期整改通知书,国内推荐,SINE安全公司、绿盟安全公司、启明星辰等

等的网站安全公司,做深入的网站安全服务,来保障网站的安全稳定运行,防止网站被挂马之类

的安全问题。
 
 
3、网站的密码使用MD5增强加密,以及设置密码的时候尽可能的设置12位以上的密码,数字+

大小写字符+特殊符号组合。
 
 
4、定期的更新服务器系统漏统(windows 2008 2012、linux centos系统),网站模版漏洞,网

站程序漏洞,尽量不适用第三方的API插件代码,除此之外,服务器上的杀毒软件存在的必要性

相信我不必再叙述了。
 
 
5、选择代码安全的网站系统,目前CMS系统是移动互联网的主流趋势(PHP+Mysql数据库开

发),选择CMS系统,一定要选择比较主流的系统,开发商的修复漏洞以及更新补丁速度会很

高效,售后也跟的上。
专注于安全领域 解决网站安全 解决网站被黑 网站被挂马 网站被篡改 网站安全、服务器安全提供商-www.sinesafe.com --专门解决其他人解决不了的网站安全问题.

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
处理 Exception 的几种实践,很优雅,被很多团队采纳!
在Java中处理异常并不是一个简单的事情。不仅仅初学者很难理解,即使一些有经验的开发者也需要花费很多时间来思考如何处理异常,包括需要处理哪些异常,怎样处理等等。
46 0
如何处理在webIDE里使用git push推送修改到github网站的错误消息
如何处理在webIDE里使用git push推送修改到github网站的错误消息
39 0
网站被劫持反复被上传了indax.html以及indax.php如何修复
近期发现公司网站首页文件经常被篡改为indax.php或indax.html,导致网站的功能无法正常使用,百度搜索关键词,在显示结果中点击公司网站,打开后跳转到别的网站上去了,尤其我们在百度做的推广,导致客户无法访问到我们公司网站上,给公司带来很大的影响,领导让尽快解决这个问题。
2502 0
如何修复网站漏洞Discuz被挂马 快照被劫持跳转该如何处理
Discuz 3.4是目前discuz论坛的最新版本,也是继X3.2、X3.3来,最稳定的社区论坛系统。目前官方已经停止对老版本的补丁更新与升级,直接在X3.4上更新了,最近我们SINE安全在对其安全检测的时候,发现网站漏洞,该漏洞是由于用户登录论坛的时候调用的微信接口,导致可以进行任意登录,甚至可以登录到管理员的账号里去。
2129 0
如何处理网站品牌词,被其他站点优先排名?
在日常工作中,我们经常会发现自身新上线的网站品牌名称,被其他的网站收录,这在搜索引擎的世界里,是一个经常发生的现象,主要的原因包括: ① 网址导航、网站目录收录,以及新闻源站点的新闻报道。 ② 第三方的B2B站点黄页的页面展现。
1099 0
政府安全 资讯精选 2018年第三期 工信部发布《关于督促互联网网络接入服务企业依法持证经营的通知》; 万豪等企业因内容安全问题被要求关闭整改
工信部发布《关于督促互联网网络接入服务企业依法持证经营的通知》; 全国信息安全标准化技术委员会发布《网络安全实践指南—CPU熔断和幽灵漏洞防范指引》;万豪等企业因内容安全问题被要求关闭整改
1574 0
oss php sdk+laravel搭建图片处理静态网站
结合oss的图片处理功能介绍如何利用oss搭建一个低成本高性能的静态服务器
8836 0
同时运行多个scrapy爬虫的几种方法(自定义scrapy项目命令)
  试想一下,前面做的实验和例子都只有一个spider。然而,现实的开发的爬虫肯定不止一个。既然这样,那么就会有如下几个问题:1、在同一个项目中怎么创建多个爬虫的呢?2、多个爬虫的时候是怎么将他们运行起来呢?   说明:本文章是基于前面几篇文章和实验的基础上完成的。
1629 0
+关注
网站安全者
Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题防入侵防篡改,对代码审计以及漏洞修补安全加固有专业的十年实战经验.
文章
问答
文章排行榜
最热
最新
相关电子书
更多
电子数据取证在保障金融安全中的应用
立即下载
服务器的第一道防线-美联集团堡垒的前世今生
立即下载
如何完成一份像样的互联网金融APP安全检测报告
立即下载