我有个好兄弟也是做程序代码的,他前天突然跟我说他之前接的一个私活网站,突然被黑客入侵了,拿着数据库管企业老板要挟要钱,不给钱的话说要把数据全删了,因为我本身就是做网站漏洞修复的服务商,有安全漏洞的问题,好兄弟都会想到我,他很奇怪,因为用的mysql数据库,数据库3306那个端口没对外开放,怎么会被人把这个数据库入侵了,我一猜我就说那肯定是这个数据库被别人Sql注入漏洞攻击了。通过了解知道网站用的是PHP脚本开发的,因为目前PHP很多源码都是存在一些漏洞的。
因为它是Java程序员,我很不理解为什么要用php去做,他说项目本来是公司找外包团队开发的,是用PHP开发的,但后来做到一半,那个外包团队甩手不干了,所以才找的我的好兄弟,然后让他接的手,所以说这是一个烂尾工程,所以说不得已继续用这个PHP。我看了下网站代码发现很多函数变量语句都是拼接起来的,而且对提交的数据都没有进行过滤就直接带入数据库去执行了。
幸亏我的好兄弟有数据库备份,就不用跟这个坏人妥协了,接下来的操作就是对网站进行安全加固,对代码漏洞进行修复,查看网站文件里有无被上传木马后门,由于用的是单独服务器,建议先把网站单独搬出来,防止服务器里的其他网站遭受攻击。
包括那台服务器上的代码都不要去用了,用本地备份那个代码,因为代码上有可能已经被别人上传了一个webshell木马后门了,先把之前的备份直接放到新服务器里搭建起来,然后对代码进行过滤,对所有变量加上数据过滤,只要提交了特殊符号,或sql语句的特征直接给拦截掉,然后对网站后台目录名进行更改,以及管理员账户和密码都要更改,防止黑客利用数据库里的信息进行登录,或者对网站后台目录进行IP限制,只有允许的指定IP才能登录后台,数据库启用实时备份,分配好权限,让黑客无法利用mysql的账户进行提权,经过这么一通弄之后比较有信心了,他老板跟那个坏人在微信上一通臭骂,然后那个人就把他拉黑了,然后就不了了之了。
