當(dāng)前位置:首頁 >  IDC >  安全 >  正文

如何防止網(wǎng)站被劫持 反復(fù)跳轉(zhuǎn)到其他網(wǎng)站

 2019-12-19 15:09  來源: A5用戶投稿   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

臨近2019年底,網(wǎng)站安全事件頻發(fā),攻擊者加大了對網(wǎng)站的攻擊力度,一定是在為過年錢做準(zhǔn)備,大撈一把過個(gè)好年。就在最近,某客戶網(wǎng)站被入侵并被篡改了首頁代碼,網(wǎng)站從搜索引擎打開直接跳轉(zhuǎn)到了彩//piao網(wǎng)站上去了,通過朋友介紹找到我們SINESAFE做網(wǎng)站安全服務(wù),防止網(wǎng)站被攻擊,恢復(fù)網(wǎng)站的正常訪問,關(guān)于此次安全事件的應(yīng)急處理,以及如何做網(wǎng)站的安全加固,我們通過文章的形式記錄一下。

2019年12月18日晚10.00,剛準(zhǔn)備收拾收拾下班,接到客戶的電話,說是公司網(wǎng)站被入侵了,網(wǎng)站首頁代碼的標(biāo)題,描述,關(guān)鍵詞,都被篡改成加密的字符,從百度點(diǎn)擊進(jìn)去直接跳轉(zhuǎn)到什么彩//piao,菠菜網(wǎng)站上去了,聽到客戶的這些網(wǎng)站被攻擊描述,可以確定網(wǎng)站被攻擊了,并被劫持到彩//piao網(wǎng)站上了,針對這一情況我們SINE安全立即啟動安全應(yīng)急響應(yīng)小組,對客戶的網(wǎng)站進(jìn)行安全處理,防止攻擊擴(kuò)大化。

客戶網(wǎng)站采用的是windows2012系統(tǒng),php+mysql架構(gòu)的thinkphp開發(fā)的網(wǎng)站,使用IIS作為網(wǎng)站的運(yùn)行環(huán)境,像網(wǎng)站被入侵,服務(wù)器被攻擊,代碼篡改,網(wǎng)站被劫持跳轉(zhuǎn)等攻擊,我們SINE安全處理了十多年了,第一反應(yīng)是客戶的服務(wù)器也被黑了,可能被提權(quán)加了管理員賬戶,又或者被植入了后門,導(dǎo)致網(wǎng)站一直處于被攻擊狀態(tài)。大體問題我們了解了,接下來就需要登錄服務(wù)器進(jìn)行詳細(xì)的安全檢測,包括網(wǎng)站代碼的安全檢測與網(wǎng)站漏洞檢測,網(wǎng)站木馬后門清除等一系列的相關(guān)安全服務(wù)。

登錄服務(wù)器我們SINE安全技術(shù)發(fā)現(xiàn)服務(wù)器被植入了木馬后門,寫在了系統(tǒng)文件里,并鉤子關(guān)聯(lián)到啟動服務(wù)中,不管服務(wù)器如何重啟,還是會執(zhí)行攻擊者植入的木馬后門文件,我們隨即對后門進(jìn)行了清除,對服務(wù)器的端口進(jìn)行了安全策略,限制了站內(nèi),站外的端口訪問,只開放了80,針對遠(yuǎn)程端口做了IP白名單安全限制。緊接著最重要的安全問題就是客戶的網(wǎng)站還是一直跳轉(zhuǎn),從百度點(diǎn)擊進(jìn)去就會不停的跳轉(zhuǎn),包括APP端也都一樣的攻擊癥狀,我們檢查了首頁代碼發(fā)現(xiàn)代碼被篡改了,截圖如下

在百度里搜索網(wǎng)站,網(wǎng)站的快照并被百度網(wǎng)址安全中心提醒您:該站點(diǎn)可能受到黑客攻擊,部分頁面已被非法篡改!客戶的網(wǎng)站還做的百度推廣,導(dǎo)致流量一直下滑,損失較大,我們對首頁代碼的篡改內(nèi)容進(jìn)行了刪除,恢復(fù)正常的網(wǎng)站訪問,但問題并不是想象的那么簡單,刪除代碼后,跳轉(zhuǎn)的問題還是依舊,并沒有解決,根據(jù)我們SINE安全多年的安全經(jīng)驗(yàn)來看,肯定是IIS被劫持了,也就是說IIS的配置文件可能被攻擊者篡改了。對服務(wù)器的IIS配置文件進(jìn)行查看,檢查處理程序映射功能是否被植入惡意的DLL文件,仔細(xì)看了下,也沒發(fā)現(xiàn)問題,繼續(xù)追蹤安全分析,也對web.config檢查了,也沒發(fā)現(xiàn)URL偽靜態(tài)規(guī)則,看來攻擊者還是有點(diǎn)技術(shù)手段,那也沒有關(guān)系,既然問題確定在IIS里,肯定是寫在那個(gè)配置文件中,隨即我們對模塊功能進(jìn)行檢查,發(fā)現(xiàn)了問題,被植入了惡意的DLL文件,導(dǎo)致該模塊被應(yīng)用到了IIS8.0當(dāng)中,找到問題根源,處理起來就比較容易了,隨即對該模塊進(jìn)行了清除,并iisreset命令重啟了IIS環(huán)境,網(wǎng)站被入侵跳轉(zhuǎn)的問題沒有了。

接下來我們SINE安全開始對客戶網(wǎng)站的安全進(jìn)行加固服務(wù),仔細(xì)檢查了網(wǎng)站存在的漏洞,以及木馬后門,對thinkphp的每個(gè)文件代碼都進(jìn)行了詳細(xì)的人工安全審計(jì),發(fā)現(xiàn)thinkphp存在遠(yuǎn)程代碼執(zhí)行漏洞,導(dǎo)致攻擊者無需任何權(quán)限,直接執(zhí)行漏洞生成網(wǎng)站木馬后門文件也叫webshell.在public目錄下發(fā)現(xiàn)一句話木馬后門,也叫PHP小馬,我們對其進(jìn)行刪除,也對客戶網(wǎng)站漏洞進(jìn)行了修復(fù),客戶網(wǎng)站才得以安全。

有些客戶覺得刪除首頁跳轉(zhuǎn)代碼就能解決問題,可是過不了幾天網(wǎng)站又被攻擊,根源問題在于網(wǎng)站漏洞沒有修復(fù),以及網(wǎng)站存在著webshell木馬后門文件,只有真正的從根源上去入手,才能防止網(wǎng)站被攻擊。如果自己對代碼不是太懂的話,建議找專業(yè)的網(wǎng)站安全公司來處理,國內(nèi)SINE安全,鷹盾安全,啟明星辰,綠盟,深信服,都是比較不錯(cuò)的,網(wǎng)站安全了帶給客戶的也是利益上的共贏,能幫助客戶走多遠(yuǎn),自己才能走的更遠(yuǎn)。

申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

熱門排行

信息推薦