域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

2018年6月，我們接到一位來(lái)自北京的新客戶反映，說(shuō)是他們單位收到一封來(lái)自北京市公安局海淀分局網(wǎng)安大隊(duì)的通知書(shū)，通知稱：貴單位網(wǎng)站存在網(wǎng)絡(luò)安全漏洞,網(wǎng)站被植入后門(mén)程序，要求你單位要在XX日之前，對(duì)網(wǎng)站進(jìn)行安全整改，并要求提供完整的整改方案。對(duì)于未按期整改的，將被予以進(jìn)行行政處罰，如下圖所示：

網(wǎng)安大隊(duì)的限期整改通知書(shū)，內(nèi)容如下：

北京市公安局海淀分局

信息系統(tǒng)安全等級(jí)保護(hù)限期整改通知書(shū)

京等保限字[2018]第06xxxx號(hào)

北京xxxxxxxxxxx

近日,我網(wǎng)監(jiān)大隊(duì)接通報(bào),貴單位網(wǎng)站(域名:www.xxx.com)存在網(wǎng)絡(luò)安全漏洞。(詳見(jiàn)附件)根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》和《信息安全等級(jí)保護(hù)管理辦法》的有關(guān)規(guī)定,請(qǐng)你單位立即對(duì)上述問(wèn)題進(jìn)行核實(shí)、處置,對(duì)本單位負(fù)責(zé)的所有網(wǎng)站和信息系統(tǒng)進(jìn)行全面排查和持續(xù)整改,避免發(fā)生網(wǎng)絡(luò)安全事件,并在2個(gè)工作日內(nèi)將整改情況函告我單位在期限屆滿之前,你單位應(yīng)當(dāng)采取必要的應(yīng)急安全保護(hù)管理和技術(shù)措施,確保安全風(fēng)險(xiǎn)及隱患消除前信息系統(tǒng)安全運(yùn)行,防止被黑客攻擊利用.(注:對(duì)短期內(nèi)無(wú)法完成整改的,你單位應(yīng)制定整改截止時(shí)間明確的建設(shè)整改方案,并將該方案同整改情況一并報(bào)公安機(jī)關(guān))。

對(duì)于未按期限完成整改的,我單位將依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《信息安全等級(jí)保護(hù)管理辦法》的規(guī)定,對(duì)你單位進(jìn)行行政處罰.

聯(lián)系單位:海淀分局網(wǎng)安大隊(duì)

聯(lián)系人:xx

聯(lián)系電話:xxxxxxxx

根據(jù)上述網(wǎng)警提供的網(wǎng)絡(luò)安全技術(shù)保護(hù)措施限期整改通知書(shū)，我們發(fā)現(xiàn)客戶網(wǎng)站的問(wèn)題，簡(jiǎn)單明了的指明了該新客戶的網(wǎng)站存在安全漏洞，被植入了木馬后門(mén)程序，黑鏈，跳轉(zhuǎn)到惡意網(wǎng)站。

針對(duì)客戶的網(wǎng)站安全問(wèn)題，我們SINE安全公司立即組織網(wǎng)絡(luò)安全部門(mén)，成立信息系統(tǒng)安全等級(jí)保護(hù)小組，對(duì)該客戶的網(wǎng)站進(jìn)行全面的網(wǎng)站安全檢測(cè)，網(wǎng)站漏洞檢測(cè)，網(wǎng)絡(luò)安全漏洞測(cè)試，首先我們來(lái)介紹下客戶網(wǎng)站的信息系統(tǒng)事發(fā)情況:

該網(wǎng)站采用的asp .net語(yǔ)言開(kāi)發(fā)，數(shù)據(jù)庫(kù)類型是SQL Server 2008，SiteFactory動(dòng)易CMS系統(tǒng)，使用阿里云的虛擬主機(jī) G享主機(jī)-G1型號(hào)，來(lái)運(yùn)行網(wǎng)站，網(wǎng)站的所有數(shù)據(jù)大小，包括程序代碼，圖片，數(shù)據(jù)庫(kù)總共占用2.3G。我們首先對(duì)網(wǎng)站進(jìn)行安全備份，以防數(shù)據(jù)丟失，避免造成更大的經(jīng)濟(jì)損失。

客戶提供了網(wǎng)監(jiān)大隊(duì)的漏洞詳情附件，我們對(duì)其查看發(fā)現(xiàn)，附件里指出網(wǎng)站的IAA目錄存在木馬后門(mén)文件，隨即我們立即登錄FTP，進(jìn)行查看，確實(shí)發(fā)現(xiàn)有這么一個(gè)文件，對(duì)其人工安全審計(jì)發(fā)現(xiàn)該代碼是aspx一句話木馬后門(mén)。

這個(gè)代碼是一個(gè)隱蔽性極強(qiáng)的一句話后門(mén),而且是過(guò)了所有殺毒軟件的查殺,一句話aspx后門(mén)的強(qiáng)大功能，可以對(duì)其網(wǎng)站進(jìn)行全面的控制，上傳，下載，修改，都可以。

事發(fā)前網(wǎng)站系統(tǒng)，一切正常運(yùn)行并沒(méi)有發(fā)現(xiàn)任何篡改的痕跡，網(wǎng)站首頁(yè)沒(méi)有被惡意跳轉(zhuǎn)以及百度快照劫持篡改等相關(guān)的問(wèn)題。后續(xù)我們對(duì)網(wǎng)站的所有文件，代碼，圖片，數(shù)據(jù)庫(kù)里的內(nèi)容，進(jìn)行了詳細(xì)的安全檢測(cè)與對(duì)比，從SQL注入測(cè)試、XSS跨站安全測(cè)試、表單繞過(guò)、文件上傳漏洞測(cè)試、文件包含漏洞檢測(cè)、網(wǎng)頁(yè)掛馬、網(wǎng)頁(yè)后門(mén)木馬檢測(cè)、包括一句話小馬、aspx大馬、腳本木馬后門(mén)、敏感信息泄露測(cè)試、任意文件讀取、目錄遍歷、弱口令安全檢測(cè)等方面進(jìn)行了全面的安全檢測(cè)。

那么看到這個(gè)文件就要分析網(wǎng)站到底是因?yàn)槟切┞┒炊簧蟼髁四抉R文件的呢？

我們把檢測(cè)出來(lái)的信息系統(tǒng)安全漏洞進(jìn)行了總結(jié)：

1.檢測(cè)發(fā)現(xiàn)網(wǎng)站根目錄下的Global.asax文件被篡改，通過(guò)代碼發(fā)現(xiàn)該代碼被植入了惡意代碼，該惡意代碼是用來(lái)劫持各大搜索引擎的蜘蛛，用來(lái)收錄惡意內(nèi)容，做搜索詞的排名。溯源追蹤到調(diào)用的網(wǎng)址，發(fā)現(xiàn)該網(wǎng)址已停止解析。也就說(shuō)內(nèi)容無(wú)法調(diào)用，也就不會(huì)造成搜索引擎蜘蛛的抓取。

2.檢測(cè)發(fā)現(xiàn)網(wǎng)站后臺(tái)文件上傳漏洞，可以上傳任意文件，包括aspx木馬文件的上傳，登錄后管理，打開(kāi)系統(tǒng)設(shè)置—打開(kāi)模板標(biāo)簽管理—添加內(nèi)嵌代碼—生成代碼即可生成aspx木馬文件。

3.后臺(tái)管理員賬號(hào)密碼安全隱患，很多賬號(hào)采用的密碼都是比較簡(jiǎn)單的數(shù)字+字母符合，比如LEO 密碼LEO2011，很容易遭受攻擊者的暴力猜解。

4.后臺(tái)管理登錄地址路徑默認(rèn)安全隱患漏洞，http://www.******.com/adm/login.aspx很容易遭受攻擊者的暴力路徑猜解。

信息系統(tǒng)安全漏洞修復(fù)加固：

我們對(duì)其以上的網(wǎng)站漏洞，進(jìn)行了全面的安全修復(fù)與加固，刪除IAA目錄下的9di5s.ashx木馬后門(mén)文件，以及根目錄下的Global.asax文件，并對(duì)相應(yīng)的網(wǎng)站目錄設(shè)置了無(wú)腳本執(zhí)行權(quán)限，Images js PlugIns sjwskin temp UploadFiles wk wl wwwlogs 這些目錄不允許執(zhí)行腳本文件，包括aspx,ashx,asp,asa,等腳本文件。 針對(duì)于上傳漏洞，我們限制了上傳目錄的腳本執(zhí)行權(quán)限，即使上傳木馬文件，也無(wú)法執(zhí)行。對(duì)網(wǎng)站的管理員密碼進(jìn)行了更改，數(shù)字+大小寫(xiě)字母+特殊符號(hào)，滿足13位密碼，加強(qiáng)了密碼的猜解程度，對(duì)網(wǎng)站的默認(rèn)后臺(tái)地址進(jìn)行更改(只有內(nèi)部人員知道)，以防止被攻擊者猜解到。

至此我們整理了詳細(xì)的信息系統(tǒng)安全等級(jí)保護(hù)整改報(bào)告 ，以及網(wǎng)站安全案事件調(diào)查處置情況記錄單，一并交給客戶，客戶再轉(zhuǎn)交給北京市公安局海淀分局網(wǎng)監(jiān)大隊(duì)。問(wèn)題得以圓滿的解決，也由衷的希望大家重視起網(wǎng)絡(luò)安全，不容忽視。

如何寫(xiě)信息系統(tǒng)安全等級(jí)保護(hù)限期整改通知書(shū)以及網(wǎng)站安全的防護(hù)措施

1、選擇安全、穩(wěn)定的主機(jī)服務(wù)器商，選擇好主機(jī)服務(wù)器商之后，我們也要時(shí)刻查看主機(jī)服務(wù)器上的其他網(wǎng)站，看一下他們網(wǎng)站的安全情況，如果他們網(wǎng)站也被入侵了，我們也會(huì)受到牽連，可能會(huì)造成自己網(wǎng)站被攻擊。

2、如果自己對(duì)程序代碼編程不太了解的話，建議找網(wǎng)絡(luò)安全公司去修復(fù)網(wǎng)站的漏洞，以及寫(xiě)信息系統(tǒng)安全等級(jí)保護(hù)限期整改通知書(shū)，國(guó)內(nèi)推薦，SINE安全公司、綠盟安全公司、啟明星辰等等的網(wǎng)站安全公司，做深入的網(wǎng)站安全服務(wù),來(lái)保障網(wǎng)站的安全穩(wěn)定運(yùn)行，防止網(wǎng)站被掛馬之類的安全問(wèn)題。

3、網(wǎng)站的密碼使用MD5增強(qiáng)加密，以及設(shè)置密碼的時(shí)候盡可能的設(shè)置12位以上的密碼，數(shù)字+大小寫(xiě)字符+特殊符號(hào)組合。

4、定期的更新服務(wù)器系統(tǒng)漏統(tǒng)(windows 2008 2012、linux centos系統(tǒng))，網(wǎng)站模版漏洞，網(wǎng)站程序漏洞，盡量不適用第三方的API插件代碼，除此之外，服務(wù)器上的殺毒軟件存在的必要性相信我不必再敘述了。

5、選擇代碼安全的網(wǎng)站系統(tǒng)，目前CMS系統(tǒng)是移動(dòng)互聯(lián)網(wǎng)的主流趨勢(shì)(PHP+Mysql數(shù)據(jù)庫(kù)開(kāi)發(fā))，選擇CMS系統(tǒng)，一定要選擇比較主流的系統(tǒng)，開(kāi)發(fā)商的修復(fù)漏洞以及更新補(bǔ)丁速度會(huì)很高效，售后也跟的上。

本文來(lái)源http://www.sinesafe.com/article/20180614

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！