網站被***導致百度快照被劫持跳轉到×××頁面的解決辦法
1.網站快照被劫持問題分析與解決方案處理過程
下面我們分析下客戶網站,客戶是Linux系統的單獨服務器,網站采用的是discuz論壇程序+uchome (PHP+mysql數據庫架構)由於客戶的網站在百度權重很高且權重為6,所以百度收錄頁面也是秒收的,網站關鍵詞的排名也很靠前。網站被篡改跳轉到×××,以及收錄一些×××內容快照的×××問題,困擾了客戶整整三年,總是反反復復的被篡改跳轉。而且這些網站篡改都是隱蔽性非常強的,從百度搜索引擎搜索過來的手機用戶,會直接跳轉到×××網站,直接在輸入網址則不會跳轉。從我們這麽多年網站安全維護的經驗來看,這個×××是故意做了瀏覽器的判斷,來讓網站跳轉到×××上去,讓網站的管理員無從下手尋找被跳轉的蹤跡,通過我們sinesafe的安全審計部門技術,對網站的全面安全檢測和代碼安全審計,發現客戶網站的代碼,存在任意文件上傳漏洞,導致可以繞過文件名的後綴格式,從而進行上傳網站腳本×××,來、達到篡改網站內容的×××目的。網站上傳的×××文件的代碼如下:
在上傳的這段上傳代碼中可以看出,代碼並沒有對訪問用戶的上傳文件格式進行判斷,導致VIP用戶打開該頁面就可以上傳文件,在文件上傳的同時並沒有詳細的對上傳文件格式進行判斷,導致可以上傳PHP腳本執行文件。嚴格來講,這樣是可以上傳PHP腳本×××上去,也叫webshell腳本×××,Webshell通俗來講,就是一個可以控制網站所有內容的一個腳本×××可以對代碼,進行讀寫,上傳以及篡改。通過上傳的網站後門文件發現網站2017年之前就被×××***了,***的途徑就是通過任意上傳漏洞,上傳了PHP腳本×××到網站裏,並執行打開PHP×××,有了網站的權限,進而對linux服務器進行提權,植入系統後門到系統的底層,達到隱藏的目的,肉眼察覺不到有任何異常,當×××需要連接服務器的時候,該內核級的Linux後門就會啟動,並與×××的IP進行TCP連接,×××可以繞過ROOT權限,直接遠程修改服務器裏的任何資料。
我們在對其服務器深入安全檢測的同時,發現了apache任意查看網站目錄文件的漏洞,在之前對網站的安全檢測當中發現,網站存在二級目錄文件,可以任意查看文件目錄,包括敏感的後臺目錄文件,以及其他的相關敏感文件。
查到的網站後門×××,網站×××代碼的路徑是:
/ucenter/data/cache/app_bads1.php
mysql連接×××,如下圖:
×××可以通過該×××後門,對網站的數據庫進行篡改.
ucenter/data/avatar/000/61/78/z.php
z.php Cdaiao函數調用的×××後門。
ucenter/data/tmp/upload71494.php
劫持百度快照的×××,打開代碼中ip的地址是時時彩以及×××的內容。看下網站之前的收錄情況,看到網站也收錄了時時彩相關的內容:
網站被收錄了很多時時彩頁面,導致網站權重迅速下降!對客戶的影響也非常大。
2.網站快照被劫持問題之網站漏洞修復方案與防範
對網站的安全檢測後,發現了非常重要的2個網站漏洞,我們Sinesafe安全技術對網站漏洞進行了修復與加固,具體修復方法是:對所有代碼進行檢索,在網站的各項上傳功能檢測,發現該代碼編寫的時候沒有把上傳的文件格式進行嚴格的過濾與判斷,對代碼進行修復過濾PHP文件的上傳,或者設置白名單機制,只能TXT,jpg,mp3,RAR,等格式的文件。我們對上傳的目錄ND_data,部署了網站防篡改部署,禁止上傳PHP腳本文件,只能上傳TXT。
apache任意查看網站目錄文件的漏洞修復:
在之前對網站的安全檢測當中發現,網站存在二級目錄文件,可以任意查看文件目錄,包括敏感的後臺目錄文件,以及其他的相關敏感文件。
網站漏洞修復:.htaccess文件
寫入以下內容即可。
<Files *>
Options -Indexes
</Files>
1、定期檢查服務器日誌,檢查是否有可疑的針對非前臺頁面的訪問。
2、經常檢查網站文件是否有不正常的修改或者增加。
3、關註操作系統,以及所使用程序的官方網站。如果有安全更新補丁出現,應立即部署,不使用官方已不再積極維護的版本,如果條件允許,建議直接更新至最新版;關註建站程序方發布的的安全設置準則。
4、系統漏洞可能出自第三方應用程序,如果網站使用了這些應用程序,建議仔細評估其安全性。
5、修改開源程序關鍵文件的默認文件名,×××通常通過自動掃描某些特定文件是否存在的方式來判斷是否使用了某套程序。
6、修改默認管理員用戶名,提高管理後臺的密碼強度,使用字母、數字以及特殊符號多種組合的密碼,並嚴格控制不同級別用戶的訪問權限。
7、選擇有實力保障的主機服務提供商。
8、關閉不必要的服務,以及端口。
9、關閉或者限制不必要的上傳功能。
10、設置防火墻等安全措施。
11、若被黑問題反復出現,建議重新安裝服務器操作系統,並重新上傳備份的網站文件。
12、對於缺乏專業維護人員的網站,建議向專業安全公司咨詢,國內推薦Sinesafe,綠盟等比較專業。
網站被***導致百度快照被劫持跳轉到×××頁面的解決辦法