阿里云 网站木马文件提醒该如何解决?

简介: 早上刚上班就有新客户咨询我们Sinesafe安全公司反映说收到一条阿里云的短信过来,内容为:网站木马文件提醒

早上刚上班就有新客户咨询我们Sinesafe安全公司反映说收到一条阿里云的短信过来,内容为:网站木马文件提醒


2018-06-20 09:20:49


尊敬的***网:


您的虚拟主机中有文件触发了安全防护报警规则,可能存在webshell网页木马,您可以登录虚拟主机控制台-对应主机的"管理"文件管理-网站木马查杀功能确认是否为恶意文件,相关帮助文档请参考网站木马查杀帮助。


具体存在挂马的主机列表如下:IP地址域名


u=754280894,1943037495&fm=173&app=25&f=JPEG.jpg


webshell网页木马


一、什么是网站后门文件webshell网页木马呢


其实网站webshel网页木马l就是一个asp脚本或php脚本木马后门,黑客在入侵了一个网站后,常常会在将这些 asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载编辑以及篡改网站文件代码、查看数据库、执行任意程序命令拿到服务器权限等。阿里云的主机管理控制台中的提示图:


u=719546701,4059729617&fm=173&app=25&f=JPEG.jpg


阿里云控制台提示存在网站后门文件


二、网站后门文件webshell网页木马是如何出现


1)通过网站自身的程序漏洞如上传图片功能或留言功能,本身网站的程序用的就是开源的,而且还是经过网站开发公司在这个开源程序基础进行的二次开发,而且网站本身就留了后门,因为开源的程序作者不是傻瓜,肯定有利益可突的。


2)黑客通过sql注入获取管理员的后台密码,登陆到后台系统,利用后台的管理工具向配置文件写入WebShell木马,或者黑客私自添加上传类型,允许脚本程序类似asp、php的格式的文件上传。


3)利用后台功能的数据库备份与恢复功能获取webshell。如备份时候把备份文件的后缀改成asp。或者后台有mysql数据查询功能,黑客可以通过执行select..in To outfile 查询输出php文件,然后通过把代码插入到mysql,从而导致生成了webshell的木马。


4)服务器里其他站点被攻击牵扯到自己的站点被跨目录上传了网站木马,或者服务器上还搭载了ftp服务器,ftp服务器被攻击了,然后被注入了webshell的木马,然后网站系统也被感染了。


5)黑客直接攻击拿到了服务器权限,如果黑客利用溢出漏洞或其他的系统漏洞攻击了服务器,那么黑客获取了其服务器的管理员权限,就可以在任意网站站点目录里上传webshell木马文件。


u=294065320,1332075549&fm=173&app=25&f=JPEG.jpg


网站后门文件


三、如何防止系统被上传WebShell网页木马?

1 )网站服务器方面,开启系统自带的防火墙,增强管理员账户密码强度等,更改远程桌面端口,定期更新服务器补丁和杀毒软件。


2)定期的更新服务器系统漏洞(windows 2008 2012、linux centos系统),网站系统升级,尽量不适用第三方的API插件代码。


3)如果自己对程序代码不是太了解的话,建议找网站安全公司去修复网站的漏洞,以及代码的安全检测与木马后门清除,国内推荐SINE安全公司、绿盟安全公司、启明星辰等的网站安全公司,做深入的网站安全服务,来保障网站的安全稳定运行,防止网站被挂马之类的安全问题。


4)尽量不要把网站的后台用户的密码设置的太简单化,要符合10到18位的大小写字母+数字+符号组合。


5)网站后台管理的路径一定不能用默认的admin或guanli或manage 或文件名为admin.asp的路径去访问。


6)服务器的基础安全设置必须要详细的做好,端口的安全策略,注册表安全,底层系统的安全加固,否则服务器不安全,网站再安全也没用。

相关文章
|
云安全 SQL 弹性计算
阿里云提示网站后门发现后门(Webshell)文件的解决办法
2018年10月27日接到新客户网站服务器被上传了webshell脚本木马后门问题的求助,对此我们sine安全公司针对此阿里云提示的安全问题进行了详细分析,ECS服务器被阿里云提示异常网络连接-可疑WebShell通信行为,还会伴有,网站后门-发现后门(Webshell)文件,以及提示网站后门-一句话webshell的安全提示,但是大部分都是单独服务器ECS的用户,具体被阿里云提示的截图如下:
3049 1
阿里云提示网站后门发现后门(Webshell)文件的解决办法
|
SQL 缓存 弹性计算
阿里云提示网站后门发现后门(Webshell)文件该怎么解决
阿里云提示网站后门发现后门(Webshell)文件该怎么解决
2676 0
阿里云提示网站后门发现后门(Webshell)文件该怎么解决
|
安全 网络协议 5G
网站被攻击打不开页面如何解决
我的网站流量呈上升的趋势,经常被同行恶意攻击,但是我的网站还是没有垮,我就详细给遇到和我同样问题的朋友们分享我的网站到底是如何防御住黑客攻击的,因为正常的情况下,我们的客户端发送请求到达服务器端,如果你服务器没有处理好高频并发访问的话,很有可能被别人攻击,一旦被攻击之后,有可能你的服务器会瞬间CPU标高,标高之后,整个服务器直接瘫了垮了,那我们到底应该怎么去防御这种情况。
304 0
网站被攻击打不开页面如何解决
|
缓存 前端开发 JavaScript
网站被劫持跳转的症状与木马清理
先来看一下这个症状是什么样的,这里我找到了一个客户网站的案例,那么当我在通过百度搜索某些关键词的时候,当我点击这个链接的时候,它会给你跳到这种菠菜的页面,那么怎么样判断它是前端还是后端PHP进行了一个劫持,那么我们就把这个链接复制过来,复制好了后,我打开这个调试面板,然后在这里有一个 settings的这个一个设置按钮,把这个disable javascript这个脚本把它禁用,那么禁用之后把刚才这复制过来的这个快照链接把它复制过来,然后敲一下回车,就会发现发现它是不会跳转的,所以对于这一种请求跳转,我们把它称之为叫做前端拦截。要知道前一两年这种形式还是比较少的,但是今年发现的就越来越多,原
790 0
网站被劫持跳转的症状与木马清理
|
SQL 安全 前端开发
网站会员信息被黑客入侵攻击修改了数据怎么解决
2020春节即将来临,收到新聚合支付平台网站客户的求助电话给我们Sinesafe,反映支付订单状态被修改由原先未支付修改为已支付,导致商户那边直接发货给此订单会员了,商户和平台的损失较大,很多码商都不敢用此支付平台了,为了防止聚合支付系统继续被攻击,我们SINE安全大体情况了解后,立即安排从业十年的安全工程师,成立聚合、通道支付平台安全应急响应小组。
292 0
网站会员信息被黑客入侵攻击修改了数据怎么解决
|
运维 监控 安全
网站漏洞修复答疑相关解决办法
网站漏洞修复答疑相关解决办法
832 0
网站漏洞修复答疑相关解决办法
|
SQL 安全 数据安全/隐私保护
阿里云发现后门webshell文件 该如何解决处理
昨晚凌晨收到新客户的安全求助,说是阿里云短信提示,网站有webshell木马文件被植入,我们SINE安全公司立即成立,安全应急响应小组,客户提供了阿里云的账号密码,随即登陆阿里云进去查看到详情,登陆云盾看到有这样的一个安全提示“网站后门-发现后门(Webshell)文件”事件等级:紧急,影响资产:阿里云ECS:ID,然后贴出了网站木马文件的路径地址:/www/wangzhan/safe/indnx.php。
21230 0
|
Web App开发 监控 安全
阿里云盾提醒网站被WebShell木马后门分析与对策
收到阿里云用户朋友的反馈,说运行了一年的网站突然遭到黑客的攻击,系统cpu一直保持在100%,有进程也干不掉,然后客户就进行杀毒了,然后就把所有的exe文件都杀了,然后系统也就很多功能不正常了
9626 0
|
安全 数据安全/隐私保护
Gmail新功能:提醒用户可疑的黑客活动
3月25日消息,据国外媒体报道,谷歌近日推出了Gmail的一种新功能。当系统侦测到可疑的黑客活动时,Gmail可以提醒用户注意该帐户是否已经被黑客入侵。 据报道,Gmail将在收件箱底部显示一个信息栏,显示该账户用户最后一次打开收件箱的时间,以及提示用户收件箱是否在另一个位置被打开。
1009 0
|
安全 程序员 PHP
如何修复网站漏洞Discuz被挂马 快照被劫持跳转该如何处理
Discuz 3.4是目前discuz论坛的最新版本,也是继X3.2、X3.3来,最稳定的社区论坛系统。目前官方已经停止对老版本的补丁更新与升级,直接在X3.4上更新了,最近我们SINE安全在对其安全检测的时候,发现网站漏洞,该漏洞是由于用户登录论坛的时候调用的微信接口,导致可以进行任意登录,甚至可以登录到管理员的账号里去。
2269 0