昨晚凌晨收到新客戶的安全求助,說是阿里雲短信提示,網站有webshell***文件被植入,我們SINE安全公司立即成立,安全應急響應小組,客戶提供了阿里雲的賬號密碼,隨即登陸阿里雲進去查看到詳情,登陸雲盾看到有這樣的一個安全提示“網站後門-發現後門(Webshell)文件”事件等級:緊急,影響資產:阿里雲ECS:ID,然後貼出了網站***文件的路徑地址:/www/wangzhan/safe/indnx.php。
網站安全事件說明:雲盾檢測到當成有異常進程在嘗試向磁盤上寫入WEBSHELL後門文件,導致1次***,如果該行爲不是您主動執行,請及時刪除對應文件。 阿里雲解決方案:請及時排查WWW目錄下是否存在WEBSHELL,並及時清除。看到阿里雲給的***路徑以及解決方案,隨即登陸客戶的linux服務器,查看到www目錄下確實多出一個indnx.php的文件,用SFTP下載下來這個文件並打開,看到是一些加密的代碼,一看就是***代碼,如下圖:
這些加密的字符,也就是webshell,那到底什麼是webshell?我們SINE安全來給大家普及一下,就是網站***文件,相當於咱電腦裏的***病毒,可以對網站代碼進行修改,上傳,下載等***功能。Webshell一般是asa,cer,asp,aspx,php,jsp,war等語言的腳本執行文件命名的,也可以叫做是網站後門,***者***網站後都會將webshell***後門文件上傳到服務器,以及網站的根目錄下,通過訪問特定的網址進行訪問網站***,對網站進行控制,任意篡改,說白了,就是你的網站被黑了。
根據阿里云云盾給出的***文件路徑地址,我們從瀏覽器裏打開看下:
如上圖所示該網站***
可以看到網站根目錄,以及上傳文件,查看系統基本信息,執行mysql命令,反彈提權,文件下載,服務器端口掃描,批量掛馬,改名,刪除文件,打包文件等管理員的操作。功能太強大了,那麼客戶的網站爲何會被上傳了webshell呢?
一般都是網站存在漏洞,被***者利用上傳了webshell的,像網站的上傳漏洞,SQL注入漏洞,XSS跨站漏洞,CSRF欺騙漏洞,遠程代碼執行漏洞,遠程包含漏洞,PHP解析漏洞,都會被上傳網站***,我們SINE安全對客戶的網站代碼進行人工安全檢測,以及網站漏洞檢測,全面的檢測下來,發現客戶網站存在遠程代碼執行漏洞,網站代碼裏並沒有對SQL非法注入參數進行全面的過濾,以及前端用戶提交留言欄目裏的liuyan&這個值,在轉換賦值的過程中導致了遠程代碼的執行,可以僞造***的語句進行插入,導致服務器執行了代碼,並上傳了一句話***後門。
對客戶的網站漏洞進行修復,清除掉網站的***後門,前端用戶的輸入進行安全過濾,對變量賦值加強數字型強制轉換,網站安全部署,文件夾權限安全部署,圖片目錄,緩存文件目錄去掉腳本執行權限。
如何解決阿里雲提示發現後門(webshell)文件
1.針對阿里云云盾給出的後門文件路徑進行強制刪除。
2.使用開源程序的CMS系統,進行升級,漏洞補丁修復。
3.對網站的漏洞進行修復,檢查網站是否存在漏洞,尤其上傳漏洞,以及SQL注入漏洞,嚴格過濾非法參數的輸入。
4.對網站的所有代碼進行檢測,是否存在一句話***後門文件,可以對比之前備份的文件,一一對比,再一個查看文件的修改時間,進行刪除。
5.對網站的後臺地址進行更改,默認都是admin,houtai,manage等的目錄,建議改成比較複雜的名字,即使利用sql注入漏洞獲取到的賬號密碼,不知道後臺在哪裏也是沒用的。
6.網站的目錄權限的“讀”、“寫”、“執行”進行合理安全部署。如果您的網站一直被阿里雲提示webshell,反覆多次的那說明您的網站還是存在漏洞,如果對網站漏洞修復不是太懂的話,可以找專業的網站安全公司來解決阿里雲webshell的問題。