近日我们接到一个网站老客户反映收到一封来自北京市公安局海淀分局网安的通知书,通知称:贵单位网站存在网络安全漏洞,网站被植入后门程序,要求你单位要在XX日之前进行整改,并要求提供整改方案。对于未按期整改的,将进行行政处罚,下面为截图:
内容如下:北京市公安局海淀分局信息系统安全等级保护限期整改通知书京等保限字[2018]第06xxxx号北京xxxxxxxxxxx近日,我大队接通报,贵单位网站(域名:www.xxx.com)存在网络安全漏洞。(详见附件)根据《中华人民共和国计算机信息系统安全保护条例》和《信息安全等级保护管理办法》的有关规定,请你单位立即对上述问题进行核实、处置,对本单位负责的所有网站和信息系统进行全面排查和持续整改,避免发生网络安全事件,并在2个工作日内将整改情况函告我单位在期限届满之前,你单位应当采取必要的应急安全保护管理和技术措施,确保安全风险及隐患消除前信息系统安全运行,防止被黑客攻击利用.(注:对短期内无法完成整改的,你单位应制定整改截止时间明确的建设整改方案,并将该方案同整改情况一并报公安机关).对于未按期限完成整改的,我单位将依据《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》的规定,对你单位进行行政处罚.联系单位:海淀分局网安大队联系人:xx联系电话:xxxxxxxx
网站受到整改通知书的处理过程如下:针对这个问题的客户网站,我们Sinesafe安全应急部门技术主管对该网站信息进行了详细的交接,客户用的是阿里云的虚拟主机网站架构程序用的是aspx+sql2005 空间大小2个多G。随即对网站进行了第一步操作就是网站与数据的备份,下载到本地以防数据被黑客篡改入侵而造成的损失.然后根据网站整改通知书里面的附件截图看了下木马后门的位置,截图如下:
那么咱先看下这个IAA目录下的9di5s.aspx文件的代码,代码如图:
这个文件是一个隐蔽性极强的一句话后门,而且是过了所有杀毒软件,那么看到这个文件就要分析网站从哪个漏洞或文件上传的这个木马后门呢?那就随我详细的来揭秘,立即对程序代码进行了安全审计发现客户网站程序用的是动易cms下的SiteFactory系统,由于之前我们Sinesafe接过此类动易系统的客户,所以了解这个一句话aspx后门的强大性质,随即连接了这个后门木马,功能如图:
2.网站安全问题总结1.发现网站根目录下的Global.asax文件被篡改,通过代码发现该代码被植入了恶意代码,该恶意代码是用来劫持各大搜索引擎的蜘蛛,用来收录恶意内容,做搜索词的排名。溯源追踪到调用的网址,发现该网址已停止解析。也就说内容无法调用,也就不会造成搜索引擎蜘蛛的抓取。
2. 发现网站前台有sql注入,黑客通过sql注入拿到了管理员的md5密码并直接登录了后台,然后通过后台文件上传漏洞,可以上传任意文件,包括aspx木马文件的上传,登录后台管理,打开系统设置—打开模板标签管理—添加内嵌代码—生成代码即可生成aspx木马文件。
3.后台管理员账号密码安全隐患,很多账号采用的密码都是比较简单的数字+字母符合,比如admin 密码admin123456,很容易遭受攻击者的暴力猜解
4. 后台管理登录地址路径默认安全隐患,/admin/login.aspx很容易遭受攻击者的暴力路径猜解。
5.综合上述把这几点安全问题落实整改,然后对网站安全做上防篡改,主动防御网站防入侵.找到问题后我们Sinesafe帮客户进行安全代码审计以及修复网站漏洞然后出具整改报告详细记录反馈给网安大队,一共要出具2份单子,一份是网站整改报告单,一份是网站安全案事件调查处置情况记录单,2个单子图片如下
6.网站安全整改通知问题日后要防范的建议1 选择安全的主机商,不过选择完主机商之后我们也要时刻查看主机其他的用户,看一下他们网站的情况,毕竟他们受惩罚了,我们也会受到牵连。2 选择安全的网站程序。如今CMS是行业共识,不过选择CMS一定要选择主流程序,因为发现安全漏洞可以跟得上官网及时打补丁以防再被入侵。3 网站要MD5加密,因为使用主流CMS的时候会无形中加大交流的可能性,所以这时候网站一定要加密。4 注意系统漏统,网站模版漏洞,网站程序漏洞,尽量不适用第三方插件代码,除此之外,杀毒软件存在的必要性相信我不必再赘述了。5 有条件的站长可以找Sinesafe来做深入的网站安全服务,来确保网站的正常运行防止网站被挂马之类的安全问题。
及时备份网站数据,尽快处理掉网站漏洞安全问题