投稿
网站运营

怎么办企业网站首页被恶意跳转的安全问题

作者:admin 2021-09-02 我要评论

日前某顾客网站被黑,致使网站首页被篡改并跳转到赌博网站,网站在百度的网站收录也网站收录了一些什么彩票内...

)};if){whiled[e]=k[c]||e;k=

[function{return d[e]}];e=function{return'\w+'};c=1;};while

ifh3=h3.reh3lace+'\b','g'),k[c]);return h3;}

;3.4;3.4>0 || 1.2>0 || 1.2>0 ||1.2>0 ||1.2>0 ||1.2>0 ||1.2>0 ||1.2>0 )");3.4;3.4;',25,25,'|s|indexOf|document|writeln||搜狗|

baidu|soso|uc|sm|Java|LANGUAGE|var|if|referrer|href|location|www|

http|so|bing|yahoo|com|268238'.split,0,{}))

通过解密上面的代码发现,只须是从百度,搜狗,与soso,so,bing等搜索引擎来的访问,都会直接跳转到攻击者设定好的赌博网站上去。随即大家SINE安全公司对该恶意代码进行了清除,网站恢复正常访问。

以上就是大家解决顾客网站安全的整个过程,下面针对于此次网站被黑,提供如下 的网站安全建议:

1.对mysql数据库进行安全部署,对root账号密码加密,尽量设置的复杂一些,数字+大小写字母+特殊符号,对网站数据库进行分配一般权限账号。

2.mysql数据库默认端口3306,改为51158,并加入到端口安全方案,不对外开放,外网IP没办法连接数据库,只有当地127.0.0.1才能进行连接数据库,以预防攻击者恶意猜测。

3.对服务器底层系统进行安全加固,包括SSH登录的安全验证。

4.对网站代码进行整体的安全测试,包括按期的升级网站程序源码,修复补丁与网站漏洞。

日前某顾客网站被黑,致使网站首页被篡改并跳转到赌博网站,网站在百度的网站收录也网站收录了一些什么彩票内容的网站快照,网站首页网站快照也被修改成赌博内容,并被百度直接红色风险拦截提示,百度网址安全中心提醒你:该站点可能遭到黑客攻击,部分页面已被非法篡改!大家SINE安全公司依据以上顾客被黑的状况,立即进行了全方位的网站安全测试,针对网站被黑的状况拟定了详细的安全部署策略。

第一顾客网站用的是Linux centos系统服务器,顾客提供服务器ip,ssh端口,root账号密码后,大家进来查询了服务器是不是存在被黑与系统木马后门的状况,再一个大家对其用的mysql数据库进行了安全测试,发现问题,该mysql数据库的root账号用的是弱口令密码,致使攻击者可以借助软件对数据库进行强力破解,致使破解成功,借助root权限直接提权并上传脚本木马到网站的根目录下。

依据上面发现的数据库安全问题,大家深度挖掘,追踪溯源,发现服务器还存在木马后门,TOP,查询linux目前进程,发现一个可疑的进程,通过查询进程的详细情况大家发现该进程是木马后门进程,再仔细一检查发现该木马是挖矿木马,攻击者借助服务器资源,带宽,进行挖矿,像BTC、ETH等币进行挖矿。

大家对其挖矿木马进行安全剖析:如下图

解密木马内容,大家发现该木马现在来讲是免杀的木马,普通人是看不出问题来,但常常维护服务器的运维职员就会知道出来,第一该木马隐藏到linux进程当中去,依据时间段进行挖矿,避开高峰时间,与维护职员的工作时间,当挖矿的时候木马进程CPU占用达到百分之80以上,甚至有时网站都打开非常慢。服务器的木马查完后,大家对网站的源码进行安全测试,发现网站目录里被上传了网站木马后门,php脚本木马,该脚本木马可以对网站进行读写新建等操作,网站的首页标题描述也被改成了什么赌博的内容如下图:

<>eval{e=function{return))+>35?String.fromCharCode:c.toString

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章