- A+
今天接到一客户说自己接到短信通知服务器被挂马了,联系我们,检查后发现该客户网站还不少, 登陆宝塔一检查好家伙总共98个网站,其中60多个已经沦陷了。
我们大概检查了一下,挂马方式大概两种:
第1种是:直接修改了首页入口文件,这个入口文件伪装的还是不错的,它抓取了我原来的首页文件,然后替换掉了我入口文件的内容,只不过把首页标题修改了,大家都知道php文件里边直接放html也是可以的吗。这个修改标题的方法还是比较高明的,因为打开网站看标题栏是看不到标题被修改的,一看源代码,不简单啊,先把我title标签的内容改了,然后再用一段js代码修改回来,让你防不胜防。
第2种是:修改了不少的js的文件,这是在我替换完首页入口文件后发现的,一打开网站发现部分特效不管用了,然后逐一排查下部分js文件被加入了跳转代码跳到了一个网站,这个js的跳转还是根据来源跳的,只有从搜索引擎打开的网站才会跳转,直接打开网址是不起作用的。
客户自己检查了一遍,所有挂马文件用脚本查了好几遍,以为没问题了。。。。
结果第二天起来一看,我去,昨天的情况再次出现,只不过这次比昨天还要多几乎全部的网站都沦陷了。
我们360°网站安全加固技术 就重新捋了一遍,
客户描述 “环境是 nginx + php5.5 运行了好几年了,期间也出现过几次搜索引擎劫持,但都是小状况一两个网站,改回来了也就没事了,但是这次是为什么呢,这让我想起了不就前,转过来了十几个网站,这十几个网站是老板哥们公司转过来的,因为业务不做了,剩了一些网站省的请运维干脆转给了我们,这些网站大概使用了2个框架,大部分phpcms 小部分是dedecms ,这2个可是业界有名的漏洞大王。当时转的时候我还留意了一下有没有木马,没想到现在复发了 ”
宝塔防火墙,nginx防火墙,系统密码,宝塔密码,ftp密码,就连腾讯云的高级防御和防篡改我都开了一个月,然并卵第二天仍然全部沦陷。我心想不应该呀,就算是那几个网站漏洞多,我其他的网站是没事的呀,我其他的网站95%用的都是我自己开发的cmd后台,连框架都没用,七八年了没出过问题,其他几个网站用的thinkphp6.0也不应该这样啊。
这时候我们就开始考虑是不是跨站攻击,但是我自己写脚本测试了一下,的确是跨不了站点的,其他站点的文件都读不到。
没办法了挨个查文件读日志吧,这一查查出来好几个大马,将近有一半是同一个马,这个马还不知道被加密成了什么编码,编辑器打开是乱码的,懒得折腾,先看看那些可以打开的吧,打开一下需要密码,这标题写的太目中无人了吧,好吧接着看base64_decode解密一下代码,密码是md5加密的一串替换了一下,进去以后豁然开朗,截图我放到了下面。然而这里边的功能其实也没什么,跨站的目录它也是读不到的,只不过文件管理功能挺强大的.....
最后我们给客户的方案:
1.网站上线前,对自己的项目用常用的一些工具进行程序漏洞安全扫描,并且做多份备份;
2.为了安全起见,网站后台管理地址经常改,改完做多份纪录保存,并且做好历史修改记录;
3.默认数据库名称要改,能复杂尽量复杂,用好复制粘贴按键;
4.后台启用验证码登录模块,不要怕麻烦,人家弄您网站的人都不嫌麻烦;
5.做好网站防护,比如非法上传文件、会员上传恶意文件的功能等;
6.服务器主机的ssh能不开就不能,尽量少使用root用户登录;即使登录也做好登录限制为仅允许自己的ip,高强度复杂的密码是第一必设项;
7.做好修复后的加固防御就能避免类似事情发生
- 微信 wzgj360
- 联系免费答疑
- QQ 613049615
- 联系免费答疑