阿里云短信提示網(wǎng)站發(fā)現(xiàn)后門(webshell)文件的解決過程分享

昨晚凌晨收到新客戶的安全求助，說是阿里云短信提示，網(wǎng)站有webshell木馬文件被植入，我們SINE安全公司立即成立，安全應(yīng)急響應(yīng)小組，客戶提供了阿里云的賬號(hào)密碼，隨即登陸阿里云進(jìn)去查看到詳情，登陸云盾看到有這樣的一個(gè)安全提示網(wǎng)站后門-發(fā)現(xiàn)后門(Webshell)文件事件等級(jí)：緊急，影響資產(chǎn)：阿里云ECS：ID，然后貼出了網(wǎng)站木馬文件的路徑地址：/www/wangzhan/safe/indnx.php。

網(wǎng)站安全事件說明：云盾檢測(cè)到當(dāng)成有異常進(jìn)程在嘗試向磁盤上寫入WEBSHELL后門文件，導(dǎo)致1次入侵，如果該行為不是您主動(dòng)執(zhí)行，請(qǐng)及時(shí)刪除對(duì)應(yīng)文件。 阿里云解決方案：請(qǐng)及時(shí)排查WWW目錄下是否存在WEBSHELL，并及時(shí)清除?？吹桨⒗镌平o的木馬路徑以及解決方案，隨即登陸客戶的linux服務(wù)器，查看到www目錄下確實(shí)多出一個(gè)indnx.php的文件，用SFTP下載下來這個(gè)文件并打開，看到是一些加密的代碼，一看就是木馬代碼，

這些加密的字符，也就是webshell，那到底什么是webshell?我們SINE安全來給大家普及一下，就是網(wǎng)站木馬文件，相當(dāng)于咱電腦里的木馬病毒，可以對(duì)網(wǎng)站代碼進(jìn)行修改，上傳，下載等木馬功能。Webshell一般是asa,cer,asp,aspx,php,jsp,war等語言的腳本執(zhí)行文件命名的，也可以叫做是網(wǎng)站后門，攻擊者入侵網(wǎng)站后都會(huì)將webshell木馬后門文件上傳到服務(wù)器，以及網(wǎng)站的根目錄下，通過訪問特定的網(wǎng)址進(jìn)行訪問網(wǎng)站木馬，對(duì)網(wǎng)站進(jìn)行控制，任意篡改，說白了，就是你的網(wǎng)站被黑了。

網(wǎng)站木馬

可以看到網(wǎng)站根目錄，以及上傳文件，查看系統(tǒng)基本信息，執(zhí)行mysql命令，反彈提權(quán)，文件下載，服務(wù)器端口掃描，批量掛馬，改名，刪除文件，打包文件等管理員的操作。功能太強(qiáng)大了，那么客戶的網(wǎng)站為何會(huì)被上傳了webshell呢?

一般都是網(wǎng)站存在漏洞，被攻擊者利用上傳了webshell的，像網(wǎng)站的上傳漏洞，SQL注入漏洞，XSS跨站漏洞，CSRF欺騙漏洞，遠(yuǎn)程代碼執(zhí)行漏洞，遠(yuǎn)程包含漏洞，PHP解析漏洞，都會(huì)被上傳網(wǎng)站木馬，我們SINE安全對(duì)客戶的網(wǎng)站代碼進(jìn)行人工安全檢測(cè)，以及網(wǎng)站漏洞檢測(cè)，全面的檢測(cè)下來，發(fā)現(xiàn)客戶網(wǎng)站存在遠(yuǎn)程代碼執(zhí)行漏洞，網(wǎng)站代碼里并沒有對(duì)SQL非法注入?yún)?shù)進(jìn)行全面的過濾，以及前端用戶提交留言欄目里的liuyan&這個(gè)值，在轉(zhuǎn)換賦值的過程中導(dǎo)致了遠(yuǎn)程代碼的執(zhí)行，可以偽造攻擊的語句進(jìn)行插入，導(dǎo)致服務(wù)器執(zhí)行了代碼，并上傳了一句話木馬后門。

對(duì)客戶的網(wǎng)站漏洞進(jìn)行修復(fù)，清除掉網(wǎng)站的木馬后門，前端用戶的輸入進(jìn)行安全過濾，對(duì)變量賦值加強(qiáng)數(shù)字型強(qiáng)制轉(zhuǎn)換，網(wǎng)站安全部署，文件夾權(quán)限安全部署，圖片目錄，緩存文件目錄去掉腳本執(zhí)行權(quán)限。

如何解決阿里云提示發(fā)現(xiàn)后門(webshell)文件

1.針對(duì)阿里云云盾給出的后門文件路徑進(jìn)行強(qiáng)制刪除。

2.使用開源程序的CMS系統(tǒng)，進(jìn)行升級(jí)，漏洞補(bǔ)丁修復(fù)。

3.對(duì)網(wǎng)站的漏洞進(jìn)行修復(fù)，檢查網(wǎng)站是否存在漏洞，尤其上傳漏洞，以及SQL注入漏洞，嚴(yán)格過濾非法參數(shù)的輸入。

4.對(duì)網(wǎng)站的所有代碼進(jìn)行檢測(cè)，是否存在一句話木馬后門文件，可以對(duì)比之前備份的文件，一一對(duì)比，再一個(gè)查看文件的修改時(shí)間，進(jìn)行刪除。

5.對(duì)網(wǎng)站的后臺(tái)地址進(jìn)行更改，默認(rèn)都是admin,houtai,manage等的目錄，建議改成比較復(fù)雜的名字，即使利用sql注入漏洞獲取到的賬號(hào)密碼，不知道后臺(tái)在哪里也是沒用的。

6.網(wǎng)站的目錄權(quán)限的讀、寫、執(zhí)行進(jìn)行合理安全部署。如果您的網(wǎng)站一直被阿里云提示webshell，反復(fù)多次的那說明您的網(wǎng)站還是存在漏洞，如果對(duì)網(wǎng)站漏洞修復(fù)不是太懂的話，可以找專業(yè)的網(wǎng)站安全公司來解決阿里云webshell的問題。

文章題目：阿里云短信提示網(wǎng)站發(fā)現(xiàn)后門(webshell)文件的解決過程分享
文章源于：http://www.muchs.cn/news15/311615.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供用戶體驗(yàn)、App開發(fā)、網(wǎng)頁設(shè)計(jì)公司、微信公眾號(hào)、靜態(tài)網(wǎng)站、品牌網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)