2018年10月27日接到新客戶網站伺服器被上傳了webshell腳本木馬後門問題的求助,對此我們sine安全公司針對此阿裡雲提示的安全問題進行了詳細分析,ECS伺服器被阿裡雲提示異常網絡連接配接-可疑WebShell通信行為,還會伴有,網站後門-發現後門(Webshell)檔案,以及提示網站後門-一句話webshell的安全提示,但是大部分都是單獨伺服器ECS的使用者,具體被阿裡雲提示的截圖如下:
點開消息後的内容為:受影響資産 iZ2393mzrytZ 通路者IP
Webshell URL
事件說明:雲盾檢測到有疑似黑客正在通過Webshell通路該伺服器,可能是因為伺服器上網站存在漏洞被植Webshell或者因為已發現的Webshell未及時删除導緻黑客入侵。黑客可通過該Webshell竊取網站核心資料,篡改資料庫等危險操作。
解決方案:建議按照告警中提示URL查找網站對應磁盤檔案進行删除,并及時登入安騎士"網站後門"控制台,對未隔離的後門檔案進行及時隔離,避免更一步損失。
看到這些阿裡雲提示内容後,我們對客戶網站出現的問題進行分析,阿裡雲的提示是反複性的提醒客戶,比如9.26日被提示鍋2次,過了網站被上傳webshell檔案後,又被阿裡雲安全提示,首先我們要清楚為何會被提示可疑webshell通信行為以及網站後門-一句話webshell和發現後門webshell檔案,伺服器裡的網站程式存在漏洞導緻被黑客入侵上傳了webshell腳本後門檔案。
那麼什麼是阿裡雲提示的網站後門webshell檔案呢?
webshell檔案就是黑客通過網站的漏洞入侵并上傳了一個腳本檔案,而這個腳本檔案語言有很多種比如php檔案,asp檔案,aspx檔案,jsp檔案,具體什麼是webshell?通俗容易了解的意思就是這個腳本檔案是木馬後門,有強大的管理功能可以修改網站目錄下的所有檔案,如果伺服器中網站目錄安全權限設定的不當,可以浏覽整個伺服器裡的盤符,以及網站檔案任意修改,具體這個webshell檔案到底有多強大看下截圖就知道了,如圖:
一般這個後門腳本檔案的大小在50KB到150KB之間,具體這個後門webshell檔案的代碼内容是什麼呢那麼我來截圖給大家看下:
看到上述圖檔中的功能了嗎,這就是網站後門webshell檔案,這個木馬代碼可以對網站進行篡改,網站經常被篡改跳轉到博彩網站上去,以及資料被篡改,都是因為網站有漏洞才導緻被上傳了這些腳本後門webshell檔案。
那麼什麼是網站後門一句話webshell的呢?
上面第一個介紹了什麼是webshell檔案,大家了解後會對這個一句話webshell不太了解,那麼由我們sine安全通俗給大家來講就是用簡短的程式後門代碼構造成的腳本檔案就是一句話webshell檔案,具體事例如圖:
代碼很小,隻有一行的代碼,是以會被稱為一句話webshell,主要功能就是通過POST的方式去送出參數,并可以上傳任意檔案到網站的目錄下,而且這個webshell木馬,利于隐蔽或嵌入到任意程式檔案中來混淆,而且特殊隐蔽性質的一句話webshell是無法通過阿裡雲安全所掃描到而提示的。
接下來我們來了解一下可疑WebShell通信行為是什麼就會通過上述兩個問題的分析就會大體知道具體意思了。
那麼什麼是異常網絡連接配接-可疑WebShell通信行為呢?
就是通過網站漏洞上傳了後門webshell檔案後通過網址形式的通路并且操作了上傳或修改檔案的這個通信過程就會被提示為異常網絡連接配接-可疑WebShell通信行為。
如何解決總被上傳後門webshell檔案?
1.對網站進行詳細的網站安全檢測,以及網站漏洞的檢測對網站代碼的安全審計,比如對圖檔上傳進行擴充名的嚴格過濾以及對圖檔目錄進行腳本權限限制,對生成靜态檔案權限進行控制隻允許生成html和htm.
2.網站釋出檔案内容編輯器的使用一定要先驗證管理者權限才能使用編輯器,對網站的背景管理目錄千萬别用預設的檔案名為admin或guanli或manage等.
3.伺服器安全方面要加強對磁盤目錄的權限防止跨目錄浏覽和修改,以及網站iis程序或apache程序運作的賬戶進行單獨賬戶設定出來分别授予權限.
4.網站中要對sql注入攻擊進行防範,對送出中的内容進行過濾或轉義,對網站管理者的密碼進行加強設定為大小寫字母和數字加符号的組合最低12位以上。
5.盡量不要用開源的程式如dedecms,metinfo,WordPress,ecshop,zencat,Discuz,phpcms,帝國cms等等如果對程式代碼不熟悉的話建議找專業做網站安全公司來處理此問題,國内推薦Sine安全公司,綠盟,啟明星辰等等安全公司.
6.單獨伺服器linux系統和win2008,win2012系統的伺服器安全加強以及網站安全部署都要詳細的進行防護,因為即使網站程式再安全,伺服器不安全的話那麼照樣還是會被牽連,是以說知己知彼才能百戰百勝,希望各位有此問題的朋友多多了解這個問題的嚴重性以及問題的解決方案.