网站会员信息被黑客入侵攻击修改了数据怎么解决

简介: 2020春节即将来临,收到新聚合支付平台网站客户的求助电话给我们Sinesafe,反映支付订单状态被修改由原先未支付修改为已支付,导致商户那边直接发货给此订单会员了,商户和平台的损失较大,很多码商都不敢用此支付平台了,为了防止聚合支付系统继续被攻击,我们SINE安全大体情况了解后,立即安排从业十年的安全工程师,成立聚合、通道支付平台安全应急响应小组。

2020春节即将来临,收到新聚合支付平台网站客户的求助电话给我们Sinesafe,反映支付订单状态被修改由原先未支付修改为已支付,导致商户那边直接发货给此订单会员了,商户和平台的损失较大,很多码商都不敢用此支付平台了,为了防止聚合支付系统继续被攻击,我们SINE安全大体情况了解后,立即安排从业十年的安全工程师,成立聚合、通道支付平台安全应急响应小组。

0e2442a7d933c895c0838deb611b7af6830200aa.jpeg

分析并了解支付过程


我们Sinesafe对整个第三方支付平台网站的流程进行了分析如下,平台首先要对接到上游支付通道,然后由上游支付通道返回支付状态回调到平台,然后由平台的状态返回给商户(也就是码商),首先码商注册好平台的商家用户,然后从商家用户后台获取接口对接程序与码商自己的网站进行对接调试,如果商家会员对订单进行了支付,如果支付成功会回从平台获取支付状态,而平台去从上游通道获取状态来回调到自身平台,目前大部分的接口都是一些PDD通道以及个人二维码对接的企业通道,俗称为聚合支付。


ac4bd11373f08202569d3dbe7998e3ebaa641b88.jpeg


支付漏洞安全原因症状


1.发现在码商下的会员订单并未成功支付导致在平台这里的支付状态被黑客修改为已支付,从而回调数据给商户说明已经支付了,导致订单是成功的状态,商家不得不发货给会员(也就是上分给会员)从而恶意提现导致商家损失严重。


2.发现商户申请提现这里的收款人信息被篡改,导致商户的资金被冒领。很多码商对这一点是非常重视的,几乎都是日结算。而且平台每天放量都是有数量的,几乎都是集团下的在收量,对于资金这一块非常敏感而重视。


3.发现有些订单被删除,导致对账对不起来总是商户结算和上游通道结算的金额不对应,导致盈利少,其实这是因为黑客把订单删除了而商户的成功金额是增加的,但上游通道里的金额是不增加的。


网站漏洞安全日志检查分析


了解上述的问题后,知道了具体的问题发生症状以及支付的整个流程,安排Sine安全工程师团队小组快速响应处理找出漏洞问题关键,把客户的损失降到最低,随即登录了支付平台网站服务器对程序代码做了审计和分析,发现程序用的是TP架构(thinkphp)管理后台和前端都是在一起的,对程序代码功能函数做了对比看支付过程中的函数有无被夸权限调用,发现后台登录这里被做了手脚可以通过内置的函数去任意登录不需要任何密码,如图:


b7fd5266d0160924dd098b11e0642dfce6cd3470.jpeg


通过get此函数admin_login_test123可以直接任意登录后台。发现这只是其中一点,后台登录后可以设置订单的状态,但黑客的手法不是这样操作的,因为从后台手动改状态的话那么在支付成功的状态这里的数据库表会增加一个data时间戳,而黑客篡改支付的状态是没有这个时间戳的,说明不是通过后台去修改的,是通过直接执行sql语句或直接修改数据库才达到的,知道问题原因后分析了下程序其他文件看是否有脚本后门,果真发现了phpwebshell后门,其中有好几个后门都是可以直接操作mysql数据库如下:


aa18972bd40735fa27ccae98aa3217b50f2408b8.jpeg


发现程序里有不少的后门文件以及隐蔽一句话后门木马,通过我们SINE工程师的渗透测试服务发现商户功能图片上传存在漏洞可以任意上传php格式的后门文件,导致被入侵,发现在订单查询功能中存在SQL注入漏洞可以进行updata更新语句去执行数据库修改。随后我们立即对这3个网站漏洞进行了修复,清理了木马后门和隐蔽后门。让平台开始运营3天观察看看还有无被篡改,至此没再发生过订单状态被篡改攻击的安全问题。


第三方支付平台网站安全防护建议


对新平台的上线前必须要渗透测试漏洞,对sql注入进行语句严格定义和转换,对上传这里的格式进行白名单控制,对网站支付回调和通过获取状态严格做对比,如对sgin做来回匹配比对,签名校验看是否存在被篡改值如果被篡改直接返回数据报错。

相关文章
|
XML SQL 安全
【web渗透思路】敏感信息泄露(网站+用户+服务器)
【web渗透思路】敏感信息泄露(网站+用户+服务器)
629 0
【web渗透思路】敏感信息泄露(网站+用户+服务器)
|
监控 安全 搜索推荐
网站后台数据被入侵篡改了如何解决
网站后台被黑客攻击了怎么办,最近接到一个客户的诉求反映说网站被攻击了后台数据总是被篡改和泄露,而且维持这个状况已经很长时间了,了解完才发现原来早期用的是thinkphp系统源码来搭建的网站,代码版本可以来说是非常古董的,而且后台漏洞非常的多,后面找了一个技术来解决这个问题,但是这个过程他又花了不少时间和钱,漏洞修完过段时间又被反反复复的篡改会员数据,于是他们干脆就改成了完全静态的网站,这个方法只能是治标不治本。
487 0
网站后台数据被入侵篡改了如何解决
|
域名解析 编解码 网络协议
邮箱被盗频繁,个人如何做好防护?
邮箱被盗频繁,个人如何做好防护?
邮箱被盗频繁,个人如何做好防护?
|
SQL 安全 Linux
支付平台目前订单状态被篡改 刷钱 劫持漏洞的修复办法
临近春节,某聚合支付平台被攻击篡改,导致客户提现银行卡信息被修改,支付订单被恶意回调,回调API接口的数据也被篡改,用户管理后台被任意登入,商户以及码商的订单被自动确认导致金额损失超过几十万,平台被攻击的彻底没办法了,通过朋友介绍,找到我们SINE安全公司寻求网站安全防护支持,针对客户支付通道并聚合支付网站目前发生被网站攻击,被篡改的问题,我们立即成立了网站安全应急响应小组,分析问题,找到漏洞根源,防止攻击篡改,将客户的损失降到最低。
592 0
支付平台目前订单状态被篡改 刷钱 劫持漏洞的修复办法
|
安全 程序员 测试技术
网站安全检测之用户密码找回网站漏洞的安全分析与利用
我们SINE安全在对网站,以及APP端进行网站安全检测的时候发现很多公司网站以及业务平台,APP存在着一些逻辑上的网站漏洞,有些简简单单的短信验证码可能就会给整个网站带来很大的经济损失,很简单的网站功能,比如用户密码找回上,也会存在绕过安全问题回答,或者绕过手机号码,直接修改用户的账户密码。
173 0
网站安全检测之用户密码找回网站漏洞的安全分析与利用
|
安全 PHP
威胁快报| ThinkPHP v5 新漏洞攻击案例首曝光,阿里云已可告警并拦截
2018年12月10日,ThinkPHP v5系列发布安全更新,修复了一处可导致远程代码执行的严重漏洞。阿里云态势感知已捕获多起基于该漏洞的真实攻击,并对该漏洞原理以及漏洞利用方式进行分析。现在,对于云上未及时进行系统更新的用户,阿里云态势感知已提供攻击告警,WAF产品支持同步拦截,目前云上客户基本未受到影响。
67130 0
|
Web App开发 监控 安全
阿里云盾提醒网站被WebShell木马后门分析与对策
收到阿里云用户朋友的反馈,说运行了一年的网站突然遭到黑客的攻击,系统cpu一直保持在100%,有进程也干不掉,然后客户就进行杀毒了,然后就把所有的exe文件都杀了,然后系统也就很多功能不正常了
9578 0
|
安全
卡巴提醒用户谨防利用新PowerPoint漏洞的攻击
卡巴斯基实验室特别提醒用户近期须注意利用微软Office的PowerPoint组件漏洞的网络攻击。  微软于4月2号在其官网发布了一个安全公告,该公告中声称发现微软office产品中的PowerPoint组件存在一个严重漏洞,该漏洞允许远程执行代码。
717 0
|
SQL 安全 PHP
网站被黑提醒该站点可能受到黑客攻击,部分页面已被非法篡改
大清早的一上班收到3个网站客户的QQ联系,说是自己公司的网站被跳转到了北京sai车,cai票,du博网站上去了,我们SINE安全公司对3个网站进行了详细的安全检测,发现这3个客户的网站都是同样的症状,网站首页文件index.php,index.html都被篡改添加了恶意的代码。
3905 0
|
安全 数据库 数据安全/隐私保护
如何解决网站被篡改提示该站点可能受到黑客攻击,部分页面已被非法篡改!
最近一段时间,我们SINE安全公司一连接到数十个公司网站被跳转到彩票,博彩网站上去,客户反映从百度搜索网站进去,直接跳转到彩票网站上,直接输入网址没有跳转,导致客户网站的流量急剧下滑,做的百度推广跟搜狗推广,都给彩票网站做广告了,公司领导高度重视网站安全的问题,因为给公司的形象以及名誉带来的损失太大了,我们安排安全技术人员对其网站进行全面的网站安全检测,对网站存在的漏洞,以及木马后门进行全面的清除与漏洞修复,安全加固。
6690 0