网站被攻击 怎么查从哪攻击的

简介: 临近2019年底,网站安全事件频发,攻击者加大了对网站的攻击力度,一定是在为过年钱做准备,大捞一把过个好年。就在最近,某客户网站被入侵并被篡改了首页代码,网站从搜索引擎打开直接跳转到了彩//piao网站上去了,那就需要做下网站安全服务,防止网站被攻击,恢复网站的正常访问,关于此次安全事件的应急处理,以及如何做网站的安全加固,我们通过文章的形式记录一下。

临近2019年底,网站安全事件频发,攻击者加大了对网站的攻击力度,一定是在为过年钱做准备,大捞一把过个好年。就在最近,某客户网站被入侵并被篡改了首页代码,网站从搜索引擎打开直接跳转到了彩//piao网站上去了,那就需要做下网站安全服务,防止网站被攻击,恢复网站的正常访问,关于此次安全事件的应急处理,以及如何做网站的安全加固,我们通过文章的形式记录一下。

79f0f736afc37931c0ee67d49cac534042a91133.jpeg

2019年12月18日晚10.00,刚准备收拾收拾下班,接到客户的电话,说是公司网站被入侵了,网站首页代码的标题,描述,关键词,都被篡改成加密的字符,从百度点击进去直接跳转到什么彩//piao,bo菜网站上去了,听到客户的这些网站被攻击描述,可以确定网站被攻击了,并被劫持到彩//piao网站上了,针对这一情况我们SINE安全立即启动安全应急响应小组,对客户的网站进行安全处理,防止攻击扩大化。


客户网站采用的是windows2012系统,php+mysql架构的thinkphp开发的网站,使用IIS作为网站的运行环境,像网站被入侵,服务器被攻击,代码篡改,网站被劫持跳转等攻击,我们SINE安全处理了十多年了,第一反应是客户的服务器也被黑了,可能被提权加了管理员账户,又或者被植入了后门,导致网站一直处于被攻击状态。大体问题我们了解了,接下来就需要登录服务器进行详细的安全检测,包括网站代码的安全检测与网站漏洞检测,网站木马后门清除等一系列的相关安全服务。


64380cd7912397ddc3fdda80fcb45fb2d1a2876e.jpeg


登录服务器我们SINE安全技术发现服务器被植入了木马后门,写在了系统文件里,并钩子关联到启动服务中,不管服务器如何重启,还是会执行攻击者植入的木马后门文件,我们随即对后门进行了清除,对服务器的端口进行了安全策略,限制了站内,站外的端口访问,只开放了80,针对远程端口做了IP白名单安全限制。紧接着最重要的安全问题就是客户的网站还是一直跳转,从百度点击进去就会不停的跳转,包括APP端也都一样的攻击症状,我们检查了首页代码发现代码被篡改了,截图如下


c8177f3e6709c93da3876ce7380b15d9d1005461.jpeg


78310a55b319ebc45463c437271022f91f1716c5.jpeg


在百度里搜索网站,网站的快照并被百度网址安全中心提醒您:该站点可能受到黑客攻击,部分页面已被非法篡改!客户的网站还做的百度推广,导致流量一直下滑,损失较大,我们对首页代码的篡改内容进行了删除,恢复正常的网站访问,但问题并不是想象的那么简单,删除代码后,跳转的问题还是依旧,并没有解决。


根据我们SINE安全多年的安全经验来看,肯定是IIS被劫持了,也就是说IIS的配置文件可能被攻击者篡改了。对服务器的IIS配置文件进行查看,检查处理程序映射功能是否被植入恶意的DLL文件,仔细看了下,也没发现问题,继续追踪安全分析,也对web.config检查了,也没发现URL伪静态规则,看来攻击者还是有点技术手段,那也没有关系,既然问题确定在IIS里,肯定是写在那个配置文件中,随即我们对模块功能进行检查,发现了问题,被植入了恶意的DLL文件,导致该模块被应用到了IIS8.0当中,找到问题根源,处理起来就比较容易了,随即对该模块进行了清除,并iisreset命令重启了IIS环境,网站被入侵跳转的问题没有了。


接下来我们SINE安全开始对客户网站的安全进行加固服务,仔细检查了网站存在的漏洞,以及木马后门,对thinkphp的每个文件代码都进行了详细的人工安全审计,发现thinkphp存在远程代码执行漏洞,导致攻击者无需任何权限,直接执行漏洞生成网站木马后门文件也叫webshell.在public目录下发现一句话木马后门,也叫PHP小马,我们对其进行删除,也对客户网站漏洞进行了修复,客户网站才得以安全。


838ba61ea8d3fd1fa235a9ff9578c81a94ca5ff7.jpeg


有些客户觉得删除首页跳转代码就能解决问题,可是过不了几天网站又被攻击,根源问题在于网站漏洞没有修复,以及网站存在着webshell木马后门文件,只有真正的从根源上去入手,才能防止网站被攻击。如果自己对代码不是太懂的话,建议找专业的网站安全公司来处理,国内SINE安全,鹰盾安全,启明星辰,绿盟,深信服,都是比较不错的,网站安全了带给客户的也是利益上的共赢,能帮助客户走多远,自己才能走得更远。

相关文章
|
24天前
|
域名解析 网络协议 安全
什么是DNS劫持攻击以及如何避免此类攻击
【10月更文挑战第28天】DNS劫持攻击是一种网络攻击方式,攻击者通过篡改用户的DNS设置,将合法网站的域名解析为恶意网站的IP地址,使用户在不知情的情况下访问钓鱼网站。攻击手段包括在用户系统植入恶意软件、利用路由器漏洞或破解DNS通信等。为防止此类攻击,应使用安全软件、定期检查DNS设置、重置路由器密码及避免访问不安全的网站。
96 1
|
7月前
|
云安全 域名解析 安全
网站被攻击有什么办法呢?
网站为什么会遭遇DDoS攻击?德迅云安全SCDN如何有效防御DDoS攻击?
|
安全 网络协议 网络安全
网站被攻击了该怎么办?如何恢复网站,如何避免网站被攻击?
网站被攻击了该怎么办?如何恢复网站,如何避免网站被攻击?
|
7月前
|
安全 网络安全 API
为什么黑客要攻击你的网站?如何保护网站再被攻击的情况下没有影响!!!!
2023年一季度报告显示,全球超1400万网站遭超10亿次攻击,网络安全风险上升。黑客攻击网站主要动机包括财务收益(如数据窃取、恶意软件传播)、服务中断、企业间谍、黑客行动主义、国家支持的攻击及私人原因。攻击手段涉及损坏的访问控制、开源组件的缺陷、服务器和客户端漏洞、API漏洞及共享主机风险。保护网站的措施包括持续扫描、渗透测试、同步测试与修补、集成WAAP到CI/CD、准备DDoS防御及使用垃圾邮件过滤。
|
SQL 监控 安全
网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹
很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通过老客户的介绍很多客户在遇到网站被攻击后找到我们SINE安全做网站的安全服务,防止恶意攻击与篡改。对网站进行全面的防御与加固,我们在对客户网站进行安全部署的同时,客户经常会想要了解到底网站,以及服务器是如何被入侵,攻击者的IP是谁,那么我们SINESAFE技术针对这种情况,最好的办法就是通过日志进行分析,溯源追踪,帮助客户找到网站漏洞根源,到底是谁在攻击他们。下面我们来分享一下,我们是如何对日志进
650 0
网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹
|
存储 安全 数据库
网站服务器被入侵该如何查询攻击日志
当windows服务器遭到入侵时,在运行过程中经常需要检索和深入分析相应的安全日志。除安全防护设备外,系统软件内置系统日志是调查取证的关键材料,但此类系统日志数量非常庞大,须要对windows安全日志开展合理深入分析,以获取我们需要的有用信息,这一点尤为重要。本文详细介绍了windows的系统日志种类,存储具体位置,检索方式,以及使用工具的方便检索。
653 0
网站服务器被入侵该如何查询攻击日志
|
安全 Linux PHP
网站被攻击怎么办 如何查找网站漏洞攻击源
很多企业网站被攻击,导致网站打开跳转到别的网站,尤其一些彩票等非法网站上去,甚至有些网站被攻击的打不开,客户无法访问首页,给客户造成了很大的经济损失,很多客户找到我们SINE安全公司寻求防止网站被攻击的解决方案,针对这一情况,我们安全部门的技术,给大家普及一下网站被攻击后该如何查找攻击源以及对检测网站存在的漏洞,防止网站再次被攻击。
255 0
网站被攻击怎么办 如何查找网站漏洞攻击源
|
SQL 安全 Java
服务器被黑该如何查找入侵、攻击痕迹
当公司的网站服务器被黑,被入侵导致整个网站,以及业务系统瘫痪,给企业带来的损失无法估量,但是当发生服务器被攻击的情况,作为服务器的维护人员应当在第一时间做好安全响应,对服务器以及网站应以最快的时间恢复正常运行,让损失减少到最低,针对于黑客攻击的痕迹应该如何去查找溯源,还原服务器被攻击的现场,SINE安全公司制定了详细的服务器被黑自查方案。
1058 0
服务器被黑该如何查找入侵、攻击痕迹
|
SQL 存储 安全
网站如何防止sql注入攻击的解决办法
首先我们来了解下什么是SQL注入,SQL注入简单来讲就是将一些非法参数插入到网站数据库中去,执行一些sql命令,比如查询数据库的账号密码,数据库的版本,数据库服务器的IP等等的一些操作,sql注入是目前网站漏洞中危害最大的一个漏洞,受攻击的网站占大多数都是sql注入攻击。
445 0
网站如何防止sql注入攻击的解决办法