昨晚凌晨收到新客戶的安全求助,說是阿里云短信提示,網(wǎng)站有webshell木馬文件被植入,我們SINE安全公司立即成立,安全應(yīng)急響應(yīng)小組,客戶提供了阿里云的賬號密碼,隨即登陸阿里云進(jìn)去查看到詳情,登陸云盾看到有這樣的一個安全提示“網(wǎng)站后門-發(fā)現(xiàn)后門(Webshell)文件”事件等級:緊急,影響資產(chǎn):阿里云ECS:ID,然后貼出了網(wǎng)站木馬文件的路徑地址:/www/wangzhan/safe/indnx.php。
網(wǎng)站安全事件說明:云盾檢測到當(dāng)成有異常進(jìn)程在嘗試向磁盤上寫入WEBSHELL后門文件,導(dǎo)致1次入侵,如果該行為不是您主動執(zhí)行,請及時刪除對應(yīng)文件。 阿里云解決方案:請及時排查WWW目錄下是否存在WEBSHELL,并及時清除。看到阿里云給的木馬路徑以及解決方案,隨即登陸客戶的linux服務(wù)器,查看到www目錄下確實多出一個indnx.php的文件,用SFTP下載下來這個文件并打開,看到是一些加密的代碼,一看就是木馬代碼,如下圖:
這些加密的字符,也就是webshell,那到底什么是webshell?我們SINE安全來給大家普及一下,就是網(wǎng)站木馬文件,相當(dāng)于咱電腦里的木馬病毒,可以對網(wǎng)站代碼進(jìn)行修改,上傳,下載等木馬功能。Webshell一般是asa,cer,asp,aspx,php,jsp,war等語言的腳本執(zhí)行文件命名的,也可以叫做是網(wǎng)站后門,攻擊者入侵網(wǎng)站后都會將webshell木馬后門文件上傳到服務(wù)器,以及網(wǎng)站的根目錄下,通過訪問特定的網(wǎng)址進(jìn)行訪問網(wǎng)站木馬,對網(wǎng)站進(jìn)行控制,任意篡改,說白了,就是你的網(wǎng)站被黑了。
根據(jù)阿里云云盾給出的木馬文件路徑地址,我們從瀏覽器里打開看下:
如上圖所示該網(wǎng)站木馬
可以看到網(wǎng)站根目錄,以及上傳文件,查看系統(tǒng)基本信息,執(zhí)行mysql命令,反彈提權(quán),文件下載,服務(wù)器端口掃描,批量掛馬,改名,刪除文件,打包文件等管理員的操作。功能太強大了,那么客戶的網(wǎng)站為何會被上傳了webshell呢?
一般都是網(wǎng)站存在漏洞,被攻擊者利用上傳了webshell的,像網(wǎng)站的上傳漏洞,SQL注入漏洞,XSS跨站漏洞,CSRF欺騙漏洞,遠(yuǎn)程代碼執(zhí)行漏洞,遠(yuǎn)程包含漏洞,PHP解析漏洞,都會被上傳網(wǎng)站木馬,我們SINE安全對客戶的網(wǎng)站代碼進(jìn)行人工安全檢測,以及網(wǎng)站漏洞檢測,全面的檢測下來,發(fā)現(xiàn)客戶網(wǎng)站存在遠(yuǎn)程代碼執(zhí)行漏洞,網(wǎng)站代碼里并沒有對SQL非法注入?yún)?shù)進(jìn)行全面的過濾,以及前端用戶提交留言欄目里的liuyan&這個值,在轉(zhuǎn)換賦值的過程中導(dǎo)致了遠(yuǎn)程代碼的執(zhí)行,可以偽造攻擊的語句進(jìn)行插入,導(dǎo)致服務(wù)器執(zhí)行了代碼,并上傳了一句話木馬后門。
對客戶的網(wǎng)站漏洞進(jìn)行修復(fù),清除掉網(wǎng)站的木馬后門,前端用戶的輸入進(jìn)行安全過濾,對變量賦值加強數(shù)字型強制轉(zhuǎn)換,網(wǎng)站安全部署,文件夾權(quán)限安全部署,圖片目錄,緩存文件目錄去掉腳本執(zhí)行權(quán)限。
如何解決阿里云提示發(fā)現(xiàn)后門(webshell)文件
1.針對阿里云云盾給出的后門文件路徑進(jìn)行強制刪除。
2.使用開源程序的CMS系統(tǒng),進(jìn)行升級,漏洞補丁修復(fù)。
3.對網(wǎng)站的漏洞進(jìn)行修復(fù),檢查網(wǎng)站是否存在漏洞,尤其上傳漏洞,以及SQL注入漏洞,嚴(yán)格過濾非法參數(shù)的輸入。
4.對網(wǎng)站的所有代碼進(jìn)行檢測,是否存在一句話木馬后門文件,可以對比之前備份的文件,一一對比,再一個查看文件的修改時間,進(jìn)行刪除。
5.對網(wǎng)站的后臺地址進(jìn)行更改,默認(rèn)都是admin,houtai,manage等的目錄,建議改成比較復(fù)雜的名字,即使利用sql注入漏洞獲取到的賬號密碼,不知道后臺在哪里也是沒用的。
6.網(wǎng)站的目錄權(quán)限的“讀”、“寫”、“執(zhí)行”進(jìn)行合理安全部署。如果您的網(wǎng)站一直被阿里云提示webshell,反復(fù)多次的那說明您的網(wǎng)站還是存在漏洞,如果對網(wǎng)站漏洞修復(fù)不是太懂的話,可以找專業(yè)的網(wǎng)站安全公司來解決阿里云webshell的問題。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!