當(dāng)前位置:首頁 >  站長 >  建站經(jīng)驗 >  正文

阿里云短信提示網(wǎng)站發(fā)現(xiàn)后門(webshell)文件的解決過程分享

 2019-01-10 11:48  來源: 用戶投稿   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

昨晚凌晨收到新客戶的安全求助,說是阿里云短信提示,網(wǎng)站有webshell木馬文件被植入,我們SINE安全公司立即成立,安全應(yīng)急響應(yīng)小組,客戶提供了阿里云的賬號密碼,隨即登陸阿里云進(jìn)去查看到詳情,登陸云盾看到有這樣的一個安全提示“網(wǎng)站后門-發(fā)現(xiàn)后門(Webshell)文件”事件等級:緊急,影響資產(chǎn):阿里云ECS:ID,然后貼出了網(wǎng)站木馬文件的路徑地址:/www/wangzhan/safe/indnx.php。

網(wǎng)站安全事件說明:云盾檢測到當(dāng)成有異常進(jìn)程在嘗試向磁盤上寫入WEBSHELL后門文件,導(dǎo)致1次入侵,如果該行為不是您主動執(zhí)行,請及時刪除對應(yīng)文件。 阿里云解決方案:請及時排查WWW目錄下是否存在WEBSHELL,并及時清除。看到阿里云給的木馬路徑以及解決方案,隨即登陸客戶的linux服務(wù)器,查看到www目錄下確實多出一個indnx.php的文件,用SFTP下載下來這個文件并打開,看到是一些加密的代碼,一看就是木馬代碼,如下圖:

這些加密的字符,也就是webshell,那到底什么是webshell?我們SINE安全來給大家普及一下,就是網(wǎng)站木馬文件,相當(dāng)于咱電腦里的木馬病毒,可以對網(wǎng)站代碼進(jìn)行修改,上傳,下載等木馬功能。Webshell一般是asa,cer,asp,aspx,php,jsp,war等語言的腳本執(zhí)行文件命名的,也可以叫做是網(wǎng)站后門,攻擊者入侵網(wǎng)站后都會將webshell木馬后門文件上傳到服務(wù)器,以及網(wǎng)站的根目錄下,通過訪問特定的網(wǎng)址進(jìn)行訪問網(wǎng)站木馬,對網(wǎng)站進(jìn)行控制,任意篡改,說白了,就是你的網(wǎng)站被黑了。

根據(jù)阿里云云盾給出的木馬文件路徑地址,我們從瀏覽器里打開看下:

如上圖所示該網(wǎng)站木馬

可以看到網(wǎng)站根目錄,以及上傳文件,查看系統(tǒng)基本信息,執(zhí)行mysql命令,反彈提權(quán),文件下載,服務(wù)器端口掃描,批量掛馬,改名,刪除文件,打包文件等管理員的操作。功能太強大了,那么客戶的網(wǎng)站為何會被上傳了webshell呢?

一般都是網(wǎng)站存在漏洞,被攻擊者利用上傳了webshell的,像網(wǎng)站的上傳漏洞,SQL注入漏洞,XSS跨站漏洞,CSRF欺騙漏洞,遠(yuǎn)程代碼執(zhí)行漏洞,遠(yuǎn)程包含漏洞,PHP解析漏洞,都會被上傳網(wǎng)站木馬,我們SINE安全對客戶的網(wǎng)站代碼進(jìn)行人工安全檢測,以及網(wǎng)站漏洞檢測,全面的檢測下來,發(fā)現(xiàn)客戶網(wǎng)站存在遠(yuǎn)程代碼執(zhí)行漏洞,網(wǎng)站代碼里并沒有對SQL非法注入?yún)?shù)進(jìn)行全面的過濾,以及前端用戶提交留言欄目里的liuyan&這個值,在轉(zhuǎn)換賦值的過程中導(dǎo)致了遠(yuǎn)程代碼的執(zhí)行,可以偽造攻擊的語句進(jìn)行插入,導(dǎo)致服務(wù)器執(zhí)行了代碼,并上傳了一句話木馬后門。

對客戶的網(wǎng)站漏洞進(jìn)行修復(fù),清除掉網(wǎng)站的木馬后門,前端用戶的輸入進(jìn)行安全過濾,對變量賦值加強數(shù)字型強制轉(zhuǎn)換,網(wǎng)站安全部署,文件夾權(quán)限安全部署,圖片目錄,緩存文件目錄去掉腳本執(zhí)行權(quán)限。

如何解決阿里云提示發(fā)現(xiàn)后門(webshell)文件

1.針對阿里云云盾給出的后門文件路徑進(jìn)行強制刪除。

2.使用開源程序的CMS系統(tǒng),進(jìn)行升級,漏洞補丁修復(fù)。

3.對網(wǎng)站的漏洞進(jìn)行修復(fù),檢查網(wǎng)站是否存在漏洞,尤其上傳漏洞,以及SQL注入漏洞,嚴(yán)格過濾非法參數(shù)的輸入。

4.對網(wǎng)站的所有代碼進(jìn)行檢測,是否存在一句話木馬后門文件,可以對比之前備份的文件,一一對比,再一個查看文件的修改時間,進(jìn)行刪除。

5.對網(wǎng)站的后臺地址進(jìn)行更改,默認(rèn)都是admin,houtai,manage等的目錄,建議改成比較復(fù)雜的名字,即使利用sql注入漏洞獲取到的賬號密碼,不知道后臺在哪里也是沒用的。

6.網(wǎng)站的目錄權(quán)限的“讀”、“寫”、“執(zhí)行”進(jìn)行合理安全部署。如果您的網(wǎng)站一直被阿里云提示webshell,反復(fù)多次的那說明您的網(wǎng)站還是存在漏洞,如果對網(wǎng)站漏洞修復(fù)不是太懂的話,可以找專業(yè)的網(wǎng)站安全公司來解決阿里云webshell的問題。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)文章

  • 阿里云峰會發(fā)布《Well-Architected云卓越架構(gòu)白皮書》:助力企業(yè)用好云管好云

    6月1日,2023阿里云峰會·粵港澳大灣區(qū)在廣州舉行,會上阿里云正式推出《云卓越架構(gòu)白皮書》,為企業(yè)用云管云解決方案和產(chǎn)品化落地提供指引,助力企業(yè)構(gòu)建更加安全、高效、穩(wěn)定的云架構(gòu)。本書由阿里云架構(gòu)師團隊、產(chǎn)品團隊、全球交付團隊等眾多團隊基于過去多年服務(wù)企業(yè)的經(jīng)驗總結(jié)共同撰寫,從安全合規(guī)、穩(wěn)定性、成本

    標(biāo)簽:
    阿里云
  • 性價比提升15%,阿里云發(fā)布第八代企業(yè)級計算實例g8a和性能增強型實例g8ae

    5月17日,2023阿里云峰會·常州站上,阿里云正式發(fā)布第八代企業(yè)級計算實例g8a以及性能增強性實例g8ae。兩款實例搭載第四代AMDEPYC處理器,標(biāo)配阿里云eRDMA大規(guī)模加速能力,網(wǎng)絡(luò)延時低至8微秒。其中,g8a綜合性價比平均提升15%以上,g8ae算力最高提升55%,在AI推理與訓(xùn)練、深度學(xué)

    標(biāo)簽:
    阿里云
  • 阿里云分拆上市,張勇發(fā)聲了!

    5月18日晚,阿里巴巴集團董事會主席兼CEO、阿里云智能集團董事長兼CEO張勇向阿里云員工發(fā)出全員信。他表示,阿里云智能計劃在未來12個月將從阿里集團完全分拆,并完成上市,在股權(quán)和公司治理上形成一家與阿里集團完全獨立的新公司。同時,阿里云智能集團將引入外部戰(zhàn)略投資者。據(jù)阿里巴巴集團最新財報,阿里云智

    標(biāo)簽:
    阿里云
  • 阿里云,在AI戰(zhàn)場鳴槍

    文/零度出品/節(jié)點商業(yè)組阿里史上最大一次組織變革后,內(nèi)部傳達(dá)出一個信號:所有業(yè)務(wù),只要干得好,都能獨立融資上市。一時間,市場眾說紛紜。對于誰將成為當(dāng)前階段阿里體系第一個獨立上市的項目,大家都在猜測。由張勇帶隊的阿里云,成為市場最關(guān)注的獨立業(yè)務(wù)線。兩個線索,其一、阿里云已經(jīng)在國內(nèi)云服務(wù)第一的位置上良久

    標(biāo)簽:
    阿里云
  • 選擇服務(wù)器托管應(yīng)該注意哪些?

    托管服務(wù)提供商通常會提供硬件、軟件和網(wǎng)絡(luò)設(shè)施供您使用,使您免于投資和進(jìn)行這些方面的管理。這些服務(wù)通常分為共享托管、虛擬私有服務(wù)器(VPS)和獨立服務(wù)器。共享托管服務(wù)允許您和其他客戶共享同一服務(wù)器資源,而VPS和獨立服務(wù)器則允許您獨占硬件資源,以便您可以更好地控制您的配置和安全。在選擇托管服務(wù)提供商時

    標(biāo)簽:
    服務(wù)器安全

熱門排行

信息推薦