• 網站建設 微信開發 小程序 案例 關于
    行業資訊

    百度快照被劫持跳轉到博彩網站

    時間:2018-07-03 瀏覽量:7025
    受世界杯的影響,我們成都網站建設影響力科技接過很多中小企業網站頻繁的被黑客入侵篡改了快照內容的網站安全問題導致打開網站被提示博彩頁面,在搜索引擎中會被提示百度網址安全中心提醒您:該頁面可能已被非法篡改! 主要客戶網站問題基本都是反復性質的篡改,手動清理刪除掉代碼只能解決當前問題,沒過幾天就又被篡改了內容,而且經常是篡改首頁頂部的代碼.
        網站快照被劫持問題分析與解決方案處理過程

        下面我們分析下客戶網站,客戶是Linux系統的單獨服務器,網站采用的是discuz論壇程序+uchome (PHP+mysql數據庫架構)由于客戶的網站在百度權重很高且權重為6,所以百度收錄頁面也是秒收的,網站關鍵詞的排名也很靠前。網站被篡改跳轉到博彩,以及收錄一些博彩內容快照的攻擊問題,困擾了客戶整整三年,總是反反復復的被篡改跳轉。而且這些網站篡改都是隱蔽性非常強的,從百度搜索引擎搜索過來的手機用戶,會直接跳轉到博彩網站,直接在輸入網址則不會跳轉。從我們這么多年網站安全維護的經驗來看,這個黑客是故意做了瀏覽器的判斷,來讓網站跳轉到博彩上去,讓網站的管理員無從下手尋找被跳轉的蹤跡,通過我們sinesafe的安全審計部門技術,對網站的全面安全檢測和代碼安全審計,發現客戶網站的代碼,存在任意文件上傳漏洞,導致可以繞過文件名的后綴格式,從而進行上傳網站腳本木馬,來、達到篡改網站內容的攻擊目的。網站上傳的木馬文件的代碼如下:

    百度快照被劫持跳轉到博彩網站

    在上傳的這段上傳代碼中可以看出,代碼并沒有對訪問用戶的上傳文件格式進行判斷,導致VIP用戶打開該頁面就可以上傳文件,在文件上傳的同時并沒有詳細的對上傳文件格式進行判斷,導致可以上傳PHP腳本執行文件。嚴格來講,這樣是可以上傳PHP腳本木馬上去,也叫webshell腳本木馬,Webshell通俗來講,就是一個可以控制網站所有內容的一個腳本木馬可以對代碼,進行讀寫,上傳以及篡改。通過上傳的網站后門文件發現網站2017年之前就被黑客入侵了,入侵的途徑就是通過任意上傳漏洞,上傳了PHP腳本木馬到網站里,并執行打開PHP木馬,有了網站的權限,進而對linux服務器進行提權,植入系統后門到系統的底層,達到隱藏的目的,肉眼察覺不到有任何異常,當黑客需要連接服務器的時候,該內核級的Linux后門就會啟動,并與黑客的IP進行TCP連接,黑客可以繞過ROOT權限,直接遠程修改服務器里的任何資料。
        我們在對其服務器深入安全檢測的同時,發現了apache任意查看網站目錄文件的漏洞,在之前對網站的安全檢測當中發現,網站存在二級目錄文件,可以任意查看文件目錄,包括敏感的后臺目錄文件,以及其他的相關敏感文件。
        查到的網站后門木馬,網站木馬代碼的路徑是:
        /ucenter/data/cache/app_bads1.php
        mysql連接木馬
        黑客可以通過該木馬后門,對網站的數據庫進行篡改.
        ucenter/data/avatar/000/61/78/z.php
        z.php Cdaiao函數調用的木馬后門。
        ucenter/data/tmp/upload71494.php
        劫持百度快照的木馬,打開代碼中ip的地址是時時彩以及賭博的內容。
        具體修復方法是:對所有代碼進行檢索,在網站的各項上傳功能檢測,發現該代碼編寫的時候沒有把上傳的文件格式進行嚴格的過濾與判斷,對代碼進行修復過濾PHP文件的上傳,或者設置白名單機制,只能TXT,jpg,mp3,RAR,等格式的文件。我們對上傳的目錄ND_data,部署了網站防篡改部署,禁止上傳PHP腳本文件,只能上傳TXT。
        以上內容由成都網站建設,成都網站設計,成都網站建設公司,成都網站制作,成都網頁設計,成都網頁制作,成都營銷型網站建設



    電話溝通 在線溝通 微信咨詢 聯系我們
    护士奶头又白又大又好模