域名預訂/競價，好“米”不錯過

臨近2019年底，網(wǎng)站安全事件頻發(fā)，攻擊者加大了對網(wǎng)站的攻擊力度，一定是在為過年錢做準備，大撈一把過個好年。就在最近，某客戶網(wǎng)站被入侵并被篡改了首頁代碼，網(wǎng)站從搜索引擎打開直接跳轉(zhuǎn)到了彩//piao網(wǎng)站上去了，通過朋友介紹找到我們SINESAFE做網(wǎng)站安全服務，防止網(wǎng)站被攻擊，恢復網(wǎng)站的正常訪問，關于此次安全事件的應急處理，以及如何做網(wǎng)站的安全加固，我們通過文章的形式記錄一下。

2019年12月18日晚10.00，剛準備收拾收拾下班，接到客戶的電話，說是公司網(wǎng)站被入侵了，網(wǎng)站首頁代碼的標題，描述，關鍵詞，都被篡改成加密的字符，從百度點擊進去直接跳轉(zhuǎn)到什么彩//piao，菠菜網(wǎng)站上去了，聽到客戶的這些網(wǎng)站被攻擊描述，可以確定網(wǎng)站被攻擊了，并被劫持到彩//piao網(wǎng)站上了，針對這一情況我們SINE安全立即啟動安全應急響應小組，對客戶的網(wǎng)站進行安全處理，防止攻擊擴大化。

客戶網(wǎng)站采用的是windows2012系統(tǒng)，php+mysql架構的thinkphp開發(fā)的網(wǎng)站，使用IIS作為網(wǎng)站的運行環(huán)境，像網(wǎng)站被入侵，服務器被攻擊，代碼篡改，網(wǎng)站被劫持跳轉(zhuǎn)等攻擊，我們SINE安全處理了十多年了，第一反應是客戶的服務器也被黑了，可能被提權加了管理員賬戶，又或者被植入了后門，導致網(wǎng)站一直處于被攻擊狀態(tài)。大體問題我們了解了，接下來就需要登錄服務器進行詳細的安全檢測，包括網(wǎng)站代碼的安全檢測與網(wǎng)站漏洞檢測，網(wǎng)站木馬后門清除等一系列的相關安全服務。

登錄服務器我們SINE安全技術發(fā)現(xiàn)服務器被植入了木馬后門，寫在了系統(tǒng)文件里，并鉤子關聯(lián)到啟動服務中，不管服務器如何重啟，還是會執(zhí)行攻擊者植入的木馬后門文件，我們隨即對后門進行了清除，對服務器的端口進行了安全策略，限制了站內(nèi)，站外的端口訪問，只開放了80，針對遠程端口做了IP白名單安全限制。緊接著最重要的安全問題就是客戶的網(wǎng)站還是一直跳轉(zhuǎn)，從百度點擊進去就會不停的跳轉(zhuǎn)，包括APP端也都一樣的攻擊癥狀，我們檢查了首頁代碼發(fā)現(xiàn)代碼被篡改了，截圖如下

在百度里搜索網(wǎng)站，網(wǎng)站的快照并被百度網(wǎng)址安全中心提醒您：該站點可能受到黑客攻擊，部分頁面已被非法篡改！客戶的網(wǎng)站還做的百度推廣，導致流量一直下滑，損失較大，我們對首頁代碼的篡改內(nèi)容進行了刪除，恢復正常的網(wǎng)站訪問，但問題并不是想象的那么簡單，刪除代碼后，跳轉(zhuǎn)的問題還是依舊，并沒有解決，根據(jù)我們SINE安全多年的安全經(jīng)驗來看，肯定是IIS被劫持了，也就是說IIS的配置文件可能被攻擊者篡改了。對服務器的IIS配置文件進行查看，檢查處理程序映射功能是否被植入惡意的DLL文件，仔細看了下，也沒發(fā)現(xiàn)問題，繼續(xù)追蹤安全分析，也對web.config檢查了，也沒發(fā)現(xiàn)URL偽靜態(tài)規(guī)則，看來攻擊者還是有點技術手段，那也沒有關系，既然問題確定在IIS里，肯定是寫在那個配置文件中，隨即我們對模塊功能進行檢查，發(fā)現(xiàn)了問題，被植入了惡意的DLL文件，導致該模塊被應用到了IIS8.0當中，找到問題根源，處理起來就比較容易了，隨即對該模塊進行了清除，并iisreset命令重啟了IIS環(huán)境，網(wǎng)站被入侵跳轉(zhuǎn)的問題沒有了。

接下來我們SINE安全開始對客戶網(wǎng)站的安全進行加固服務，仔細檢查了網(wǎng)站存在的漏洞，以及木馬后門，對thinkphp的每個文件代碼都進行了詳細的人工安全審計，發(fā)現(xiàn)thinkphp存在遠程代碼執(zhí)行漏洞，導致攻擊者無需任何權限，直接執(zhí)行漏洞生成網(wǎng)站木馬后門文件也叫webshell.在public目錄下發(fā)現(xiàn)一句話木馬后門，也叫PHP小馬，我們對其進行刪除，也對客戶網(wǎng)站漏洞進行了修復，客戶網(wǎng)站才得以安全。

有些客戶覺得刪除首頁跳轉(zhuǎn)代碼就能解決問題，可是過不了幾天網(wǎng)站又被攻擊，根源問題在于網(wǎng)站漏洞沒有修復，以及網(wǎng)站存在著webshell木馬后門文件，只有真正的從根源上去入手，才能防止網(wǎng)站被攻擊。如果自己對代碼不是太懂的話，建議找專業(yè)的網(wǎng)站安全公司來處理，國內(nèi)SINE安全，鷹盾安全，啟明星辰，綠盟，深信服，都是比較不錯的，網(wǎng)站安全了帶給客戶的也是利益上的共贏，能幫助客戶走多遠，自己才能走的更遠。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！