当前位置:首页 >  站长 >  建站经验 >  正文

阿里云短信提示网站发现后门(webshell)文件的解决过程分享

 2019-01-10 11:48  来源: 用户投稿   我来投稿 撤稿纠错

  【推荐】海外独服/站群服务器/高防

昨晚凌晨收到新客户的安全求助,说是阿里云短信提示,网站有webshell木马文件被植入,我们SINE安全公司立即成立,安全应急响应小组,客户提供了阿里云的账号密码,随即登陆阿里云进去查看到详情,登陆云盾看到有这样的一个安全提示“网站后门-发现后门(Webshell)文件”事件等级:紧急,影响资产:阿里云ECS:ID,然后贴出了网站木马文件的路径地址:/www/wangzhan/safe/indnx.php。

网站安全事件说明:云盾检测到当成有异常进程在尝试向磁盘上写入WEBSHELL后门文件,导致1次入侵,如果该行为不是您主动执行,请及时删除对应文件。 阿里云解决方案:请及时排查WWW目录下是否存在WEBSHELL,并及时清除。看到阿里云给的木马路径以及解决方案,随即登陆客户的linux服务器,查看到www目录下确实多出一个indnx.php的文件,用SFTP下载下来这个文件并打开,看到是一些加密的代码,一看就是木马代码,如下图:

这些加密的字符,也就是webshell,那到底什么是webshell?我们SINE安全来给大家普及一下,就是网站木马文件,相当于咱电脑里的木马病毒,可以对网站代码进行修改,上传,下载等木马功能。Webshell一般是asa,cer,asp,aspx,php,jsp,war等语言的脚本执行文件命名的,也可以叫做是网站后门,攻击者入侵网站后都会将webshell木马后门文件上传到服务器,以及网站的根目录下,通过访问特定的网址进行访问网站木马,对网站进行控制,任意篡改,说白了,就是你的网站被黑了。

根据阿里云云盾给出的木马文件路径地址,我们从浏览器里打开看下:

如上图所示该网站木马

可以看到网站根目录,以及上传文件,查看系统基本信息,执行mysql命令,反弹提权,文件下载,服务器端口扫描,批量挂马,改名,删除文件,打包文件等管理员的操作。功能太强大了,那么客户的网站为何会被上传了webshell呢?

一般都是网站存在漏洞,被攻击者利用上传了webshell的,像网站的上传漏洞,SQL注入漏洞,XSS跨站漏洞,CSRF欺骗漏洞,远程代码执行漏洞,远程包含漏洞,PHP解析漏洞,都会被上传网站木马,我们SINE安全对客户的网站代码进行人工安全检测,以及网站漏洞检测,全面的检测下来,发现客户网站存在远程代码执行漏洞,网站代码里并没有对SQL非法注入参数进行全面的过滤,以及前端用户提交留言栏目里的liuyan&这个值,在转换赋值的过程中导致了远程代码的执行,可以伪造攻击的语句进行插入,导致服务器执行了代码,并上传了一句话木马后门。

对客户的网站漏洞进行修复,清除掉网站的木马后门,前端用户的输入进行安全过滤,对变量赋值加强数字型强制转换,网站安全部署,文件夹权限安全部署,图片目录,缓存文件目录去掉脚本执行权限。

如何解决阿里云提示发现后门(webshell)文件

1.针对阿里云云盾给出的后门文件路径进行强制删除。

2.使用开源程序的CMS系统,进行升级,漏洞补丁修复。

3.对网站的漏洞进行修复,检查网站是否存在漏洞,尤其上传漏洞,以及SQL注入漏洞,严格过滤非法参数的输入。

4.对网站的所有代码进行检测,是否存在一句话木马后门文件,可以对比之前备份的文件,一一对比,再一个查看文件的修改时间,进行删除。

5.对网站的后台地址进行更改,默认都是admin,houtai,manage等的目录,建议改成比较复杂的名字,即使利用sql注入漏洞获取到的账号密码,不知道后台在哪里也是没用的。

6.网站的目录权限的“读”、“写”、“执行”进行合理安全部署。如果您的网站一直被阿里云提示webshell,反复多次的那说明您的网站还是存在漏洞,如果对网站漏洞修复不是太懂的话,可以找专业的网站安全公司来解决阿里云webshell的问题。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • 阿里云峰会发布《Well-Architected云卓越架构白皮书》:助力企业用好云管好云

    6月1日,2023阿里云峰会·粤港澳大湾区在广州举行,会上阿里云正式推出《云卓越架构白皮书》,为企业用云管云解决方案和产品化落地提供指引,助力企业构建更加安全、高效、稳定的云架构。本书由阿里云架构师团队、产品团队、全球交付团队等众多团队基于过去多年服务企业的经验总结共同撰写,从安全合规、稳定性、成本

    标签:
    阿里云
  • 性价比提升15%,阿里云发布第八代企业级计算实例g8a和性能增强型实例g8ae

    5月17日,2023阿里云峰会·常州站上,阿里云正式发布第八代企业级计算实例g8a以及性能增强性实例g8ae。两款实例搭载第四代AMDEPYC处理器,标配阿里云eRDMA大规模加速能力,网络延时低至8微秒。其中,g8a综合性价比平均提升15%以上,g8ae算力最高提升55%,在AI推理与训练、深度学

    标签:
    阿里云
  • 阿里云分拆上市,张勇发声了!

    5月18日晚,阿里巴巴集团董事会主席兼CEO、阿里云智能集团董事长兼CEO张勇向阿里云员工发出全员信。他表示,阿里云智能计划在未来12个月将从阿里集团完全分拆,并完成上市,在股权和公司治理上形成一家与阿里集团完全独立的新公司。同时,阿里云智能集团将引入外部战略投资者。据阿里巴巴集团最新财报,阿里云智

    标签:
    阿里云
  • 阿里云,在AI战场鸣枪

    文/零度出品/节点商业组阿里史上最大一次组织变革后,内部传达出一个信号:所有业务,只要干得好,都能独立融资上市。一时间,市场众说纷纭。对于谁将成为当前阶段阿里体系第一个独立上市的项目,大家都在猜测。由张勇带队的阿里云,成为市场最关注的独立业务线。两个线索,其一、阿里云已经在国内云服务第一的位置上良久

    标签:
    阿里云
  • 选择服务器托管应该注意哪些?

    托管服务提供商通常会提供硬件、软件和网络设施供您使用,使您免于投资和进行这些方面的管理。这些服务通常分为共享托管、虚拟私有服务器(VPS)和独立服务器。共享托管服务允许您和其他客户共享同一服务器资源,而VPS和独立服务器则允许您独占硬件资源,以便您可以更好地控制您的配置和安全。在选择托管服务提供商时

    标签:
    服务器安全

信息推荐