昨晚,我收到了一位新客户的安全请求。 这是一封来自阿里云的邮件。 据称该网站已被植入webshell木马文件。 我司赛纳保安公司立即成立了安全应急小组。 客户提供阿里云账号和密码,然后登录阿里巴巴。 我进去查看了详情。 登录云盾后,听到“网站侧门-发现侧门(Webshell)文件”之类的安全提示。 事件级别:紧急。 受影响资产:阿里云ECS:ID。 随后,网站木马文件被贴出。 路径地址:wwwwangzhansafeindnx.php。
网站安全事件说明:云盾检测到有异常进程试图将WEBSHELL侧门文件写入C盘,造成入侵。 如果该行为不是您本人所为,请及时删除相应文件。 阿里云解决方案:请及时检查WWW目录下是否存在WEBSHELL并及时清理。 看到阿里云提供的木马路径和解决方案后,我登录客户的Linux服务器,发现www目录下确实多了一个文件indnx.php。 我使用 SFTP 下载该文件并打开它。 我看到了一些加密的代码。 ,乍一看像是木马代码,如右图:
这种加密字符就是webshell。 那么 webshell 到底是什么? 我们赛能安全就为您介绍一下。 它们是网站木马文件,相当于我们笔记本电脑中的木马病毒。 他们可以更改、上传、下载网站代码等。 木马功能。 Webshell通常以asa、cer、asp、aspx、php、jsp、war等语言的脚本执行文件命名。 也可以称为网站侧门。 攻击者入侵网站后,webshell木马侧门文件会上传到服务器。 并在网站根目录下,通过访问特定URL来访问网站木马,控制网站,随意篡改。 说白了,你的网站被黑了。
根据阿里云盾给出的木马文件的路径地址,我们可以从浏览器中打开看一下:
如上图所示,该网站木马
可以查看网站根目录、上传文件、查看系统基本信息、执行mysql命令、打包文件、下载文件、扫描服务器端口、批量提权、改名、删除文件、打包文件等管理员操作。 功能这么强大,为什么还要把webshell上传到客户网站呢?
通常网站存在漏洞,攻击者利用网站上传漏洞、SQL注入漏洞、XSS跨站漏洞、CSRF误导漏洞、远程代码执行漏洞、远程包含漏洞、PHP解析漏洞等上传webshell,等木马会被上传到网站上。 我们赛纳安全对客户的网站代码进行了手动安全检查网站程序加后门,并进行了网站漏洞检查。 经过全面检查,我们发现客户网站存在远程代码执行漏洞。 未对网站代码中非法SQL注入参数进行全面检查。 过滤,以及后端用户提交的message列中的liuyan&值网站程序加后门,导致了形参转换过程中远程代码的执行。 攻击的句子可以被伪造和插入,导致服务器执行代码并上传句子。 木马侧门。
修补客户网站漏洞、清除网站木马侧门、对后端用户输入进行安全过滤、加强变量参数的数字强制转换、网站安全部署、文件夹权限安全部署、图像目录、缓存文件目录删除脚本执行权限。
阿里云提示找到侧门(webshell)文件如何解决
1、强制删除阿里云盾给出的侧门文件路径。
2.使用开源程序的CMS系统进行升级和修补漏洞。
3、修补网站的漏洞,检测网站是否存在漏洞,特别是上传漏洞和SQL注入漏洞,严格过滤非法参数的输入。
4、测量网站所有代码,查看是否存在一句话木马侧门文件。 您可以将之前备份的文件一一对比,然后查看文件的更改时间并将其删除。
5.修改网站后台地址。 默认是admin、houtai、manage等目录,建议改成更复杂的名字。 虽然通过SQL注入漏洞获取的账号和密码在不知道后端在哪里的情况下毫无用处。 的。
6、对网站目录权限的“读”、“写”、“执行”进行合理、安全的安排。 如果您的网站多次被阿里云提示需要webshell,则说明您的网站仍然存在漏洞。 如果你对修补网站漏洞不太了解,可以找专业的网站安全公司来解决阿里云webshell的问题。
