早上剛上班就有新客戶咨詢我們Sinesafe安全公司反映說收到一條阿裡雲的短信過來,内容為:網站木馬檔案提醒
2018-06-20 09:20:49
尊敬的***網:
您的虛拟主機中有檔案觸發了安全防護報警規則,可能存在webshell網頁木馬,您可以登入虛拟主機控制台-對應主機的"管理"檔案管理-網站木馬清除功能确認是否為惡意檔案,相關幫助文檔請參考網站木馬清除幫助。
具體存在挂馬的主機清單如下:IP位址域名
webshell網頁木馬
一、什麼是網站後門檔案webshell網頁木馬呢?
其實網站webshel網頁木馬l就是一個asp腳本或php腳本木馬後門,黑客在入侵了一個網站後,常常會在将這些 asp或php木馬後門檔案放置在網站伺服器的web目錄中,與正常的網頁檔案混在一起。然後黑客就可以用web的方式,通過asp或php木馬後門控制網站伺服器,包括上傳下載下傳編輯以及篡改網站檔案代碼、檢視資料庫、執行任意程式指令拿到伺服器權限等。阿裡雲的主機管理控制台中的提示圖:
阿裡雲控制台提示存在網站後門檔案
二、網站後門檔案webshell網頁木馬是如何出現的呢?
1)通過網站自身的程式漏洞如上傳圖檔功能或留言功能,本身網站的程式用的就是開源的,而且還是經過網站開發公司在這個開源程式基礎進行的二次開發,而且網站本身就留了後門,因為開源的程式作者不是傻瓜,肯定有利益可突的。
2)黑客通過sql注入擷取管理者的背景密碼,登陸到背景系統,利用背景的管理工具向配置檔案寫入WebShell木馬,或者黑客私自添加上傳類型,允許腳本程式類似asp、php的格式的檔案上傳。
3)利用背景功能的資料庫備份與恢複功能擷取webshell。如備份時候把備份檔案的字尾改成asp。或者背景有mysql資料查詢功能,黑客可以通過執行select..in To outfile 查詢輸出php檔案,然後通過把代碼插入到mysql,進而導緻生成了webshell的木馬。
4)伺服器裡其他站點被攻擊牽扯到自己的站點被跨目錄上傳了網站木馬,或者伺服器上還搭載了ftp伺服器,ftp伺服器被攻擊了,然後被注入了webshell的木馬,然後網站系統也被感染了。
5)黑客直接攻擊拿到了伺服器權限,如果黑客利用溢出漏洞或其他的系統漏洞攻擊了伺服器,那麼黑客擷取了其伺服器的管理者權限,就可以在任意網站站點目錄裡上傳webshell木馬檔案。
網站後門檔案
三、如何防止系統被上傳WebShell網頁木馬?
1 )網站伺服器方面,開啟系統自帶的防火牆,增強管理者賬戶密碼強度等,更改遠端桌面端口,定期更新伺服器更新檔和防毒軟體。
2)定期的更新伺服器系統漏洞(windows 2008 2012、linux centos系統),網站系統更新,盡量不适用第三方的API插件代碼。
3)如果自己對程式代碼不是太了解的話,建議找網站安全公司去修複網站的漏洞,以及代碼的安全檢測與木馬後門清除,國内推薦SINE安全公司、綠盟安全公司、啟明星辰等的網站安全公司,做深入的網站安全服務,來保障網站的安全穩定運作,防止網站被挂馬之類的安全問題。
4)盡量不要把網站的背景使用者的密碼設定的太簡單化,要符合10到18位的大小寫字母+數字+符号組合。
5)網站背景管理的路徑一定不能用預設的admin或guanli或manage 或檔案名為admin.asp的路徑去通路。
6)伺服器的基礎安全設定必須要詳細的做好,端口的安全政策,系統資料庫安全,底層系統的安全加強,否則伺服器不安全,網站再安全也沒用。