通过对客户网站的所有代码的安全检测与代码的人工安全审计,发现网站首页index.html中的内容被篡改,并发现在dedecms模板目录文件下的index.htm文件也被篡改了。我们来打开index.htm模板文件,看下代码:
1.网站经过SINE安全技术的安全审计后,在安全的处理过程中发现网站根目录下的datas.php文件内容属于assert类型的一句话木马。
那么既然发现有一句话木马,那肯定是存在PHP脚本木马的,随即发现在css目录下有个文件是加密的代码,我们访问该木马地址,进行了访问发现的确是木马病毒的,所在图片如下:
该PHP脚本木马的操作权限实在是太大了,对文件的编辑以及改名,以及执行恶意的sql语句,查看服务器的系统信息都可以看的很清楚.对网站的所有程序代码,进行了木马特征扫描,发现了N个网站木马文件,怪不得客户自己说反反复复的出现被黑,网站被篡改的都快要吐血了。扫描到的木马病毒如下图所示:
这么多个脚本木马后门,我们安全技术直接进行了全部删除清理,由于客户网站用的是单独的服务器。那么对服务器的安全也要进行详细的安全加固和网站安全防护,查看到网站的mysql数据库,分配给网站使用的是root权限,(用root管理员权限会导致整个服务器都会被黑,增加了攻击风险)我们给客户服务器增加了一个普通权限的数据库账户分配给网站,数据库的端口3306以及135端口445端口139端口都进行了端口安全策略部署,杜绝外网一切连接,只允许内网连接,对服务器进行了详细的服务器安全设置和部署,后续我们对网站的所有文件,代码,图片,数据库里的内容,进行了详细的安全检测与对比,从SQL注入测试、XSS跨站安全测试、表单绕过、文件上传漏洞测试、文件包含漏洞检测、网页挂马、网页后门木马检测、包括一句话小马、aspx大马、脚本木马后门、敏感信息泄露测试、任意文件读取、目录遍历、弱口令安全检测等方面进行了全面的安全检测,与漏洞修复,至此客户网站被黑的问题才得以完美的解决。因为之前客户都是平均一天被篡改两三次,从做安全部署到今天20号,客户网站访问一切正常,没有被篡改。
1.定期的更新服务器系统漏洞(windows 2008 2012、linux centos系统),网站系统升级,尽量不适用第三方的API插件代码。2.如果自己对程序代码不是太了解的话,建去修复网站的漏洞,以及代码的安全检测与木马后门清除,国内推荐SINE、、启明星辰,做深入的网站安全服务,来保障网站的安全稳定运行,防止网站被挂马之类的安全问题。3.尽量不要把网站的后台用户的密码设置的太简单化,要符合10到18位的大小写字母+数字+符号组合。4.网站后台管理的路径一定不能用默认的admin或guanli或manage 或文件名为admin.asp的路径去访问。5.服务器的基础安全设置必须要详细的做好,端口的安全策略,注册表安全,底层系统的安全加固,否则服务器不安全,网站再安全也没用。
经常定期备份网站程序以及,把损失降到最低.