AI 助理
备案控制台
开发者社区 安全 文章 正文

阿里云提示网站后门发现后门(Webshell)文件的解决办法

2021-12-21 3116
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 2018年10月27日接到新客户网站服务器被上传了webshell脚本木马后门问题的求助,对此我们sine安全公司针对此阿里云提示的安全问题进行了详细分析,ECS服务器被阿里云提示异常网络连接-可疑WebShell通信行为,还会伴有,网站后门-发现后门(Webshell)文件,以及提示网站后门-一句话webshell的安全提示,但是大部分都是单独服务器ECS的用户,具体被阿里云提示的截图如下:

2018年10月27日接到新客户网站服务器被上传了webshell脚本木马后门问题的求助,对此我们sine安全公司针对此阿里云提示的安全问题进行了详细分析,ECS服务器被阿里云提示异常网络连接-可疑WebShell通信行为,还会伴有,网站后门-发现后门(Webshell)文件,以及提示网站后门-一句话webshell的安全提示,但是大部分都是单独服务器ECS的用户,具体被阿里云提示的截图如下:

u=700339474,130250012&fm=173&app=25&f=JPEG.jpg

点开消息后的内容为:受影响资产 iZ2393mzrytZ 访问者IP


Webshell URL


u=32230725,2174050931&fm=173&app=25&f=JPEG.jpg


事件说明:云盾检测到有疑似黑客正在通过Webshell访问该服务器,可能是因为服务器上网站存在漏洞被植Webshell或者因为已发现的Webshell未及时删除导致黑客入侵。黑客可通过该Webshell窃取网站核心资料,篡改数据库等危险操作。


解决方案:建议按照告警中提示URL查找网站对应磁盘文件进行删除,并及时登录安骑士"网站后门"控制台,对未隔离的后门文件进行及时隔离,避免更一步损失。


看到这些阿里云提示内容后,我们对客户网站出现的问题进行分析,阿里云的提示是反复性的提醒客户,比如9.26日被提示锅2次,过了网站被上传webshell文件后,又被阿里云安全提示,首先我们要清楚为何会被提示可疑webshell通信行为以及网站后门-一句话webshell和发现后门webshell文件,服务器里的网站程序存在漏洞导致被黑客入侵上传了webshell脚本后门文件。


那么什么是阿里云提示的网站后门webshell文件呢?


webshell文件就是黑客通过网站的漏洞入侵并上传了一个脚本文件,而这个脚本文件语言有很多种比如php文件,asp文件,aspx文件,jsp文件,具体什么是webshell?通俗容易理解的意思就是这个脚本文件是木马后门,有强大的管理功能可以修改网站目录下的所有文件,如果服务器中网站目录安全权限设置的不当,可以浏览整个服务器里的盘符,以及网站文件任意修改,具体这个webshell文件到底有多强大看下截图就知道了,如图:


u=4271700236,222390105&fm=173&app=25&f=JPEG.jpg


一般这个后门脚本文件的大小在50KB到150KB之间,具体这个后门webshell文件的代码内容是什么呢那么我来截图给大家看下:


u=423388455,3026761350&fm=173&app=25&f=JPEG.jpg


看到上述图片中的功能了吗,这就是网站后门webshell文件,这个木马代码可以对网站进行篡改,网站经常被篡改跳转到博彩网站上去,以及数据被篡改,都是因为网站有漏洞才导致被上传了这些脚本后门webshell文件。


那么什么是网站后门一句话webshell的呢?


上面第一个介绍了什么是webshell文件,大家了解后会对这个一句话webshell不太理解,那么由我们sine安全通俗给大家来讲就是用简短的程序后门代码构造成的脚本文件就是一句话webshell文件,具体事例如图:


u=4105560071,4033301030&fm=173&app=25&f=JPEG.jpg


代码很小,只有一行的代码,所以会被称为一句话webshell,主要功能就是通过POST的方式去提交参数,并可以上传任意文件到网站的目录下,而且这个webshell木马,利于隐蔽或嵌入到任意程序文件中来混淆,而且特殊隐蔽性质的一句话webshell是无法通过阿里云安全所扫描到而提示的。


接下来我们来了解一下可疑WebShell通信行为是什么就会通过上述两个问题的分析就会大体知道具体意思了。


那么什么是异常网络连接-可疑WebShell通信行为呢?


就是通过网站漏洞上传了后门webshell文件后通过网址形式的访问并且操作了上传或修改文件的这个通信过程就会被提示为异常网络连接-可疑WebShell通信行为。


如何解决总被上传后门webshell文件?


1.对网站进行详细的网站安全检测,以及网站漏洞的检测对网站代码的安全审计,比如对图片上传进行扩展名的严格过滤以及对图片目录进行脚本权限限制,对生成静态文件权限进行控制只允许生成html和htm.


2.网站发布文件内容编辑器的使用一定要先验证管理员权限才能使用编辑器,对网站的后台管理目录千万别用默认的文件名为admin或guanli或manage等.


3.服务器安全方面要加强对磁盘目录的权限防止跨目录浏览和修改,以及网站iis进程或apache进程运行的账户进行单独账户设置出来分别授予权限.


4.网站中要对sql注入攻击进行防范,对提交中的内容进行过滤或转义,对网站管理员的密码进行加强设置为大小写字母和数字加符号的组合最低12位以上。


5.尽量不要用开源的程序如dedecms,metinfo,WordPress,ecshop,zencat,Discuz,phpcms,帝国cms等等如果对程序代码不熟悉的话建议找专业做网站安全公司来处理此问题,国内推荐Sine安全公司,绿盟,启明星辰等等安全公司.


6.单独服务器linux系统和win2008,win2012系统的服务器安全加固以及网站安全部署都要详细的进行防护,因为即使网站程序再安全,服务器不安全的话那么照样还是会被牵连,所以说知己知彼才能百战百胜,希望各位有此问题的朋友多多了解这个问题的严重性以及问题的解决方案.

文章标签:
Java
PHP
弹性计算
SQL
Linux
云安全
数据安全/隐私保护
Apache
安全
数据库
网站安全
目录
相关文章
sumith
|
9月前
|
安全 数据安全/隐私保护
webshell后门分析
webshell后门分析
sumith
122 3
sumith
|
9月前
|
安全 数据安全/隐私保护
webshell菜刀后门分析
webshell菜刀后门分析
sumith
53 1
网站安全
|
SQL 缓存 弹性计算
阿里云提示网站后门发现后门(Webshell)文件该怎么解决
阿里云提示网站后门发现后门(Webshell)文件该怎么解决
网站安全
2774 0
阿里云提示网站后门发现后门(Webshell)文件该怎么解决
Z2O安全攻防
|
安全 PHP 数据安全/隐私保护
记一次webshell文件及流量免杀
记一次webshell文件及流量免杀
Z2O安全攻防
355 0
网站安全
|
安全 JavaScript 前端开发
网站总是被上传漏洞上传了木马后门被入侵怎么办
SINE安全又带上业务逻辑漏洞来跟大家做分享了,这一次的主题内容是上传文件漏洞。许许多多企业网站都准许客户自己图片上传、电子版资料,假如上传功能并没有搞好安全防护对策,就存有极大的安全隐患。假如网站应用领域在上传文件流程中并没有对文档的安全性能采取合理的校检,攻击者能够根据上传webshell等恶意文档对php服务器攻击,这样的情况下指出操作系统存有上传文件漏洞。下列是我汇总的一小部分上传漏洞的情景,假如你拥有掌握其他上传避过姿势还可以和我们讨论讨论。
网站安全
254 0
网站总是被上传漏洞上传了木马后门被入侵怎么办
网站安全
|
安全 Ubuntu Linux
linux服务器木马后门rookit检测过程
在服务器木马后门检测中rookit也是根据特征的,他们检查的都是某一些rk的看这个root或者一些其他的通用型root的,但我现在所使用的项目,它这个UK的可能比较小众,所以没有被检测出来。那这个是 check rookit。我们来看一下第二个工具,叫rookit hunter,这也是一个系统可以直接安装的工具。那安装完毕之后,执行这条命令就可以了,执行的过程我就不给大家讲了,你只要一路回车就可以了。重点是什么?重点是要会看结果。也就是说我们查询出如kite之后,那我怎么知道它是一个rookit?看这里边爆出来了,lookit。也就是说他做了一些这个隐藏,加入到内核里之后,看这都是挖点,说明已
网站安全
275 0
linux服务器木马后门rookit检测过程
网站安全
|
存储 安全 关系型数据库
webshell网站木马文件后门如何根据特征删除
Webshell实际上是一个能够执行恶意功能的PHP代码文件。Webshell要执行恶意功能,其代码结构主要由两部分组成:数据传递部分和数据执行部分。在webshell中,数据传递部分是指webshell中用来接收外部输入数据的部分,webshell可以根据外部输入数据动态地交互执行恶意功能。在webshell中,数据执行部分指的是webshell中的system函数,用于执行代码执行和执行命令等命令。
网站安全
407 0
webshell网站木马文件后门如何根据特征删除
网站安全
|
开发框架 安全 Java
网站后门木马查杀该怎么删除
收到阿里云的短信提醒说是网站存在后门,webshell恶意通信行为,紧急的安全情况,我第一时间登录阿里云查看详情,点开云盾动态感知,查看了网站木马的详细路径以及webshell的特征,网站从来没有出现过这种情况,一脸懵逼,无奈询问度娘吧,百度搜索了什么是webshell,为了解决这个问题,我可是下了很大的功夫,终于了解清楚并解决了阿里云提示网站后门的这个问题,记录一下我解决问题的过程。
网站安全
388 0
网站后门木马查杀该怎么删除
网站安全
|
SQL 弹性计算 安全
修复网站漏洞对phpmyadmin防止被入侵提权的解决办法
phpmyadmin是很多网站用来管理数据库的一个系统,尤其是mysql数据库管理的较多一些,最近phpmysql爆出漏洞,尤其是弱口令,sql注入漏洞,都会导致mysql的数据账号密码被泄露,那么如何通过phpmyadmin来上传提权webshell呢
网站安全
274 0
修复网站漏洞对phpmyadmin防止被入侵提权的解决办法
网站安全
|
SQL 监控 安全
网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹
很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通过老客户的介绍很多客户在遇到网站被攻击后找到我们SINE安全做网站的安全服务,防止恶意攻击与篡改。对网站进行全面的防御与加固,我们在对客户网站进行安全部署的同时,客户经常会想要了解到底网站,以及服务器是如何被入侵,攻击者的IP是谁,那么我们SINESAFE技术针对这种情况,最好的办法就是通过日志进行分析,溯源追踪,帮助客户找到网站漏洞根源,到底是谁在攻击他们。下面我们来分享一下,我们是如何对日志进
网站安全
678 0
网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹

热门文章

最新文章

  • 1
    解决kafka集群由于默认的__consumer_offsets这个topic的默认的副本数为1而存在的单点故障问题
  • 2
    oracle 11g 11204补丁信息
  • 3
    Python 命令行之旅:初探 docopt
  • 4
    时间之箭源于量子纠缠?
  • 5
    输入输出流体系图
  • 6
    Windows Server 2008 R2下部署OCS 2007 R2 边缘服务器
  • 7
    从码农到设计者,从单例模式入手设计代码
  • 8
    瑞典力推储能助太阳能发电计划落实
  • 9
    十张图告诉你互联网发展的八大趋势
  • 10
    第7周-任务3-复数模板类
  • 1
    DeepSeek——DeepSeek模型部署实战
    126
  • 2
    基于FPGA的图像双线性插值算法verilog实现,包括tb测试文件和MATLAB辅助验证
    105
  • 3
    基于电导增量MPPT控制算法的光伏发电系统simulink建模与仿真
    29
  • 4
    基于排队理论的客户结账等待时间MATLAB模拟仿真
    44
  • 5
    3天功能开发→3小时:通义灵码2.0+DEEPSEEK实测报告,单元测试生成准确率92%的秘密
    61
  • 6
    Sentinel监测到了服务,但是实时监控不显示曲线图,应该怎么解决这个问题?
    47
  • 7
    通义灵码 2.0 体验报告:AI 赋能智能研发的新范式
    61
  • 8
    通义灵码 2.0 体验报告:AI 赋能智能研发的新范式
    80
  • 9
    类和对象的简述(c++篇)
    48
  • 10
    模拟实现c++中的vector模版
    38

    • 相关电子书

    更多
  • Linux系统通过fail2ban对暴力破解进行防护
  • 低代码开发师(初级)实战教程
  • 阿里巴巴DevOps 最佳实践手册

    • 相关实验场景

    更多
  • 1分钟代码漏洞自动检测
    • 下一篇
    PAI Model Gallery 支持云上一键部署 DeepSeek-V3、DeepSeek-R1 系列模型