域名預訂/競價，好“米”不錯過

2018.6.19當天接到一位新客戶反映自己的網站被黑了,網站首頁也被黑客篡改了，網站首頁被加了一些與網站不相符的內容與加密的代碼,導致百度網址安全中心提醒您：該頁面可能存在木馬病毒！網站在百度的收錄與快照也被劫持成什么世界杯投注，以及*，賭博等等的內容，根據(jù)以上客戶給我們反映的網站被黑的問題，我們Sine安全公司立即安排安全技術人員對客戶網站被黑的情況進行了詳細的網站安全檢測與代碼的人工安全審計,發(fā)現(xiàn)客戶網站首頁之前是經常的被篡改,客戶只能刪除掉首頁文件，然后重新生成首頁，實在是反復被篡改的沒辦法了，才找到我們SINE安全公司來處理網站的安全問題。

一.網站被黑的狀況分析

1.客戶的網站采用的是，織夢DEDECMS系統(tǒng)（PHP+MYSQL數(shù)據(jù)庫架構）,dedecms漏洞在近幾年實在是爆出了太多,但是現(xiàn)在用dedecms做網站以及平臺的也很多,一般企業(yè)站或做優(yōu)化排名的網站都是用這個織夢的程序來做,優(yōu)化快,訪問速度也快,全站可以靜態(tài)文件生成，方便管理更新文章，方便網站打開的速度，以及關鍵詞方面的優(yōu)化與提升。通過與客戶的溝通了解，發(fā)現(xiàn)客戶的網站，只要是發(fā)布新的文章，并在后臺生成新的html頁面，或者生成首頁index.html,就會被攻擊者直接增加了一些加密的代碼與賭博的內容,圖片如下：

網站被篡改的內容都是加了一些什么，極速賽車，賭博，*、*，世界杯投注的與網站不相關的內容,而且這個網站代碼還做了JS判斷跳轉，針對于Baidu搜索來的客戶，會直接跳轉到這個極速賽車、賭博、*的頁面，導致360提示*網站攔截,百度提示風險攔截的圖片如下：

網站在百度的搜索中會直接風險提示：百度網址安全中心提醒你：該頁面可能存在木馬病毒。

通過對客戶網站的所有代碼的安全檢測與代碼的人工安全審計，發(fā)現(xiàn)網站首頁index.html中的內容被篡改，并發(fā)現(xiàn)在dedecms模板目錄文件下的index.htm文件也被篡改了。

我們來打開index.htm模板文件，看下代碼：

極速賽車計劃軟件app下載_極速賽車开獎直播_極速賽車注冊登錄-極速賽車官網平臺。  

下面的這一段代碼是加密的JS跳轉代碼，是根據(jù)百度搜索等相應的條件，進行判斷，然后跳轉，直接輸入網站域名不會跳轉。

上面查到一些加密的代碼，用編碼的解密查到，是一些*與*相關的內容，我們把生成首頁后被篡改的內容直接刪除掉，然后對其網站里留存下來的木馬病毒，以及木馬后門進行清除，并做好網站的漏洞檢測與漏洞修復，部署網站防篡改方案。

二.網站被黑的清理過程記錄

1.網站經過SINE安全技術的安全審計后，在安全的處理過程中發(fā)現(xiàn)網站根目錄下的datas.php文件內容屬于assert類型的一句話木馬。

那么既然發(fā)現(xiàn)有一句話木馬，那肯定是存在PHP腳本木馬的，隨即發(fā)現(xiàn)在css目錄下有個文件是base64加密的代碼,我們訪問該木馬地址，進行了訪問發(fā)現(xiàn)的確是木馬病毒的，所在圖片如下：

該PHP腳本木馬的操作權限實在是太大了,對文件的編輯以及改名，以及執(zhí)行惡意的sql語句，查看服務器的系統(tǒng)信息都可以看的很清楚.對網站的所有程序代碼，進行了木馬特征掃描，發(fā)現(xiàn)了N個網站木馬文件,怪不得客戶自己說反反復復的出現(xiàn)被黑，網站被篡改的都快要吐血了。掃描到的木馬病毒如下圖所示：

這么多個腳本木馬后門，我們安全技術直接進行了全部刪除清理,由于客戶網站用的是單獨的服務器。那么對服務器的安全也要進行詳細的安全加固和網站安全防護,查看到網站的mysql數(shù)據(jù)庫，分配給網站使用的是root權限，（用root管理員權限會導致整個服務器都會被黑，增加了攻擊風險）我們給客戶服務器增加了一個普通權限的數(shù)據(jù)庫賬戶分配給網站，數(shù)據(jù)庫的端口3306以及135端口445端口139端口都進行了端口安全策略部署，杜絕外網一切連接，只允許內網連接，對服務器進行了詳細的服務器安全設置和部署，后續(xù)我們對網站的所有文件，代碼，圖片，數(shù)據(jù)庫里的內容，進行了詳細的安全檢測與對比，從SQL注入測試、XSS跨站安全測試、表單繞過、文件上傳漏洞測試、文件包含漏洞檢測、網頁掛馬、網頁后門木馬檢測、包括一句話小馬、aspx大馬、腳本木馬后門、敏感信息泄露測試、任意文件讀取、目錄遍歷、弱口令安全檢測等方面進行了全面的安全檢測，與漏洞修復，至此客戶網站被黑的問題才得以完美的解決。因為之前客戶都是平均一天被篡改兩三次，從做安全部署到今天20號，客戶網站訪問一切正常，沒有被篡改。

三.針對于網站被黑的防護建議 

1.定期的更新服務器系統(tǒng)漏洞（windows 2008 2012、linux centos系統(tǒng)），網站系統(tǒng)升級，盡量不適用第三方的API插件代碼。

2.如果自己對程序代碼不是太了解的話，建議找網站安全公司去修復網站的漏洞，以及代碼的安全檢測與木馬后門清除，國內推薦SINE安全公司、綠盟安全公司、啟明星辰等的網站安全公司，做深入的網站安全服務,來保障網站的安全穩(wěn)定運行，防止網站被掛馬之類的安全問題。

3.盡量不要把網站的后臺用戶的密碼設置的太簡單化,要符合10到18位的大小寫字母+數(shù)字+符號組合。

4.網站后臺管理的路徑一定不能用默認的admin或guanli或manage 或文件名為admin.asp的路徑去訪問。

5.服務器的基礎安全設置必須要詳細的做好,端口的安全策略，注冊表安全，底層系統(tǒng)的安全加固否則服務器不安全,網站再安全也沒用。

本文來源：http://www.sinesafe.com/article/20180620

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！