成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

阿里云短信提示網(wǎng)站發(fā)現(xiàn)后門(webshell)文件的解決過程分享

2024-01-02    分類: 網(wǎng)站建設(shè)

昨晚凌晨收到新客戶的安全求助,說是阿里云短信提示,網(wǎng)站有webshell木馬文件被植入,我們SINE安全公司立即成立,安全應(yīng)急響應(yīng)小組,客戶提供了阿里云的賬號(hào)密碼,隨即登陸阿里云進(jìn)去查看到詳情,登陸云盾看到有這樣的一個(gè)安全提示網(wǎng)站后門-發(fā)現(xiàn)后門(Webshell)文件事件等級(jí):緊急,影響資產(chǎn):阿里云ECS:ID,然后貼出了網(wǎng)站木馬文件的路徑地址:/www/wangzhan/safe/indnx.php。

網(wǎng)站安全事件說明:云盾檢測(cè)到當(dāng)成有異常進(jìn)程在嘗試向磁盤上寫入WEBSHELL后門文件,導(dǎo)致1次入侵,如果該行為不是您主動(dòng)執(zhí)行,請(qǐng)及時(shí)刪除對(duì)應(yīng)文件。 阿里云解決方案:請(qǐng)及時(shí)排查WWW目錄下是否存在WEBSHELL,并及時(shí)清除。看到阿里云給的木馬路徑以及解決方案,隨即登陸客戶的linux服務(wù)器,查看到www目錄下確實(shí)多出一個(gè)indnx.php的文件,用SFTP下載下來這個(gè)文件并打開,看到是一些加密的代碼,一看就是木馬代碼,

這些加密的字符,也就是webshell,那到底什么是webshell?我們SINE安全來給大家普及一下,就是網(wǎng)站木馬文件,相當(dāng)于咱電腦里的木馬病毒,可以對(duì)網(wǎng)站代碼進(jìn)行修改,上傳,下載等木馬功能。Webshell一般是asa,cer,asp,aspx,php,jsp,war等語言的腳本執(zhí)行文件命名的,也可以叫做是網(wǎng)站后門,攻擊者入侵網(wǎng)站后都會(huì)將webshell木馬后門文件上傳到服務(wù)器,以及網(wǎng)站的根目錄下,通過訪問特定的網(wǎng)址進(jìn)行訪問網(wǎng)站木馬,對(duì)網(wǎng)站進(jìn)行控制,任意篡改,說白了,就是你的網(wǎng)站被黑了。

網(wǎng)站木馬

可以看到網(wǎng)站根目錄,以及上傳文件,查看系統(tǒng)基本信息,執(zhí)行mysql命令,反彈提權(quán),文件下載,服務(wù)器端口掃描,批量掛馬,改名,刪除文件,打包文件等管理員的操作。功能太強(qiáng)大了,那么客戶的網(wǎng)站為何會(huì)被上傳了webshell呢?

一般都是網(wǎng)站存在漏洞,被攻擊者利用上傳了webshell的,像網(wǎng)站的上傳漏洞,SQL注入漏洞,XSS跨站漏洞,CSRF欺騙漏洞,遠(yuǎn)程代碼執(zhí)行漏洞,遠(yuǎn)程包含漏洞,PHP解析漏洞,都會(huì)被上傳網(wǎng)站木馬,我們SINE安全對(duì)客戶的網(wǎng)站代碼進(jìn)行人工安全檢測(cè),以及網(wǎng)站漏洞檢測(cè),全面的檢測(cè)下來,發(fā)現(xiàn)客戶網(wǎng)站存在遠(yuǎn)程代碼執(zhí)行漏洞,網(wǎng)站代碼里并沒有對(duì)SQL非法注入?yún)?shù)進(jìn)行全面的過濾,以及前端用戶提交留言欄目里的liuyan&這個(gè)值,在轉(zhuǎn)換賦值的過程中導(dǎo)致了遠(yuǎn)程代碼的執(zhí)行,可以偽造攻擊的語句進(jìn)行插入,導(dǎo)致服務(wù)器執(zhí)行了代碼,并上傳了一句話木馬后門。

對(duì)客戶的網(wǎng)站漏洞進(jìn)行修復(fù),清除掉網(wǎng)站的木馬后門,前端用戶的輸入進(jìn)行安全過濾,對(duì)變量賦值加強(qiáng)數(shù)字型強(qiáng)制轉(zhuǎn)換,網(wǎng)站安全部署,文件夾權(quán)限安全部署,圖片目錄,緩存文件目錄去掉腳本執(zhí)行權(quán)限。

如何解決阿里云提示發(fā)現(xiàn)后門(webshell)文件

1.針對(duì)阿里云云盾給出的后門文件路徑進(jìn)行強(qiáng)制刪除。

2.使用開源程序的CMS系統(tǒng),進(jìn)行升級(jí),漏洞補(bǔ)丁修復(fù)。

3.對(duì)網(wǎng)站的漏洞進(jìn)行修復(fù),檢查網(wǎng)站是否存在漏洞,尤其上傳漏洞,以及SQL注入漏洞,嚴(yán)格過濾非法參數(shù)的輸入。

4.對(duì)網(wǎng)站的所有代碼進(jìn)行檢測(cè),是否存在一句話木馬后門文件,可以對(duì)比之前備份的文件,一一對(duì)比,再一個(gè)查看文件的修改時(shí)間,進(jìn)行刪除。

5.對(duì)網(wǎng)站的后臺(tái)地址進(jìn)行更改,默認(rèn)都是admin,houtai,manage等的目錄,建議改成比較復(fù)雜的名字,即使利用sql注入漏洞獲取到的賬號(hào)密碼,不知道后臺(tái)在哪里也是沒用的。

6.網(wǎng)站的目錄權(quán)限的讀、寫、執(zhí)行進(jìn)行合理安全部署。如果您的網(wǎng)站一直被阿里云提示webshell,反復(fù)多次的那說明您的網(wǎng)站還是存在漏洞,如果對(duì)網(wǎng)站漏洞修復(fù)不是太懂的話,可以找專業(yè)的網(wǎng)站安全公司來解決阿里云webshell的問題。

文章題目:阿里云短信提示網(wǎng)站發(fā)現(xiàn)后門(webshell)文件的解決過程分享
文章源于:http://jinyejixie.com/news15/311615.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供用戶體驗(yàn)、App開發(fā)、網(wǎng)頁設(shè)計(jì)公司、微信公眾號(hào)靜態(tài)網(wǎng)站、品牌網(wǎng)站制作

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

成都seo排名網(wǎng)站優(yōu)化
涟源市| 连城县| 黄骅市| 兴安盟| 常宁市| 宝坻区| 永定县| 南陵县| 榆树市| 鄂伦春自治旗| 黔东| 丰原市| 崇信县| 民丰县| 开平市| 永新县| 唐山市| 措勤县| 晴隆县| 彭泽县| 留坝县| 太康县| 岱山县| 富民县| 高碑店市| 伊宁市| 金门县| 大荔县| 怀远县| 绥江县| 类乌齐县| 嵊州市| 汶上县| 黔西县| 镇安县| 长乐市| 青阳县| 临清市| 信丰县| 玉环县| 五台县|