如何解決網站首頁老被×××篡改並被百度安全中心攔截提示 該頁面存在×××病毒的實戰過程
一.網站被黑的狀況分析
1.客戶的網站采用的是,織夢DEDECMS系統(PHP+MYSQL數據庫架構),dedecms漏洞在近幾年實在是爆出了太多,但是現在用dedecms做網站以及平臺的也很多,一般企業站或做優化排名的網站都是用這個織夢的程序來做,優化快,訪問速度也快,全站可以靜態文件生成,方便管理更新文章,也方便網站打開的速度,以及關鍵詞方面的優化與提升。通過與客戶的溝通了解,發現客戶的網站,只要是發布新的文章,並在後臺生成新的html頁面,或者生成首頁index.html,就會被×××者直接增加了一些加密的代碼與×××的內容,圖片如下:
網站被篡改的內容都是加了一些什麽,極速賽車,×××,×××、×××,世界杯投註的與網站不相關的內容,而且這個網站代碼還做了JS判斷跳轉,針對於Baidu搜索來的客戶,會直接跳轉到這個極速賽車、×××、×××的頁面,導致360提示×××網站攔截,百度提示風險攔截的圖片如下:
網站在百度的搜索中會直接風險提示:百度網址安全中心提醒你:該頁面可能存在×××病毒。
通過對客戶網站的所有代碼的安全檢測與代碼的人工安全審計,發現網站首頁index.html中的內容被篡改,並發現在dedecms模板目錄文件下的index.htm文件也被篡改了。
我們來打開index.htm模板文件,看下代碼:
下面的這一段代碼是加密的JS跳轉代碼,是根據百度搜索等相應的條件,進行判斷,然後跳轉,直接輸入網站域名不會跳轉。
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]"\x77\x72\x69\x74\x65";
上面查到一些加密的代碼,用編碼的解密查到,是一些×××與×××相關的內容,我們把生成首頁後被篡改的內容直接刪除掉,然後對其網站裏留存下來的×××病毒,以及×××後門進行清除,並做好網站的漏洞檢測與漏洞修復,部署網站防篡改方案。
二.網站被黑的清理過程記錄
1.網站經過SINE安全技術的安全審計後,在安全的處理過程中發現網站根目錄下的datas.php文件內容屬於assert類型的一句話×××。
那麽既然發現有一句話×××,那肯定是存在PHP腳本×××的,隨即發現在css目錄下有個文件是加密的代碼,我們訪問該×××地址,進行了訪問發現的確是×××病毒的,所在圖片如下:
該PHP腳本×××的操作權限實在是太大了,對文件的編輯以及改名,以及執行惡意的sql語句,查看服務器的系統信息都可以看的很清楚.對網站的所有程序代碼,進行了×××特征掃描,發現了N個網站×××文件,怪不得客戶自己說反反復復的出現被黑,網站被篡改的都快要吐血了。掃描到的×××病毒如下圖所示:
這麽多個腳本×××後門,我們安全技術直接進行了全部刪除清理,由於客戶網站用的是單獨的服務器。那麽對服務器的安全也要進行詳細的安全加固和網站安全防護,查看到網站的mysql數據庫,分配給網站使用的是root權限,(用root管理員權限會導致整個服務器都會被黑,增加了×××風險)我們給客戶服務器增加了一個普通權限的數據庫賬戶分配給網站,數據庫的端口3306以及135端口445端口139端口都進行了端口安全策略部署,杜絕外網一切連接,只允許內網連接,對服務器進行了詳細的服務器安全設置和部署,後續我們對網站的所有文件,代碼,圖片,數據庫裏的內容,進行了詳細的安全檢測與對比,從SQL註入測試、XSS跨站安全測試、表單繞過、文件上傳漏洞測試、文件包含漏洞檢測、網頁掛馬、網頁後門×××檢測、包括一句話小馬、aspx大馬、腳本×××後門、敏感信息泄露測試、任意文件讀取、目錄遍歷、弱口令安全檢測等方面進行了全面的安全檢測,與漏洞修復,至此客戶網站被黑的問題才得以完美的解決。因為之前客戶都是平均一天被篡改兩三次,從做安全部署到今天20號,客戶網站訪問一切正常,沒有被篡改
三.針對於網站被黑的防護建議
1.定期的更新服務器系統漏洞(windows 2008 2012、linux centos系統),網站系統升級,盡量不適用第三方的API插件代碼。
2.如果自己對程序代碼不是太了解的話,建議找網站安全公司去修復網站的漏洞,以及代碼的安全檢測與×××後門清除,國內推薦SINE安全公司、綠盟安全公司、啟明星辰等的網站安全公司,做深入的網站安全服務,來保障網站的安全穩定運行,防止網站被掛馬之類的安全問題。
3.盡量不要把網站的後臺用戶的密碼設置的太簡單化,要符合10到18位的大小寫字母+數字+符號組合。
4.網站後臺管理的路徑一定不能用默認的admin或guanli或manage 或文件名為admin.asp的路徑去訪問。
5.服務器的基礎安全設置必須要詳細的做好,端口的安全策略,註冊表安全,底層系統的安全加固,否則服務器不安全,網站再安全也沒用。
如何解決網站首頁老被×××篡改並被百度安全中心攔截提示 該頁面存在×××病毒的實戰過程