1. 树叶网络科技
  2. 新闻圈子
  3. 阿里云短信提示网站发现后门(webshell)文件的解决过程分享

阿里云短信提示网站发现后门(webshell)文件的解决过程分享

2019-01-10 12:08 / 树叶网络科技/ 技术分享

昨晚凌晨收到新客户的安全求助,说是阿里云短信提示,网站有webshell木马文件被植入,我们SINE安全企业立即成立,安全应急响应小组,客户提供了阿里云的账号密码,随即登陆阿里云进去查看到详情,登陆云盾看到有这样的一个安全提示“网站后门-发现后门(Webshell)文件”事件等级:紧急,影响资产:阿里云ECS:ID,然后贴出了网站木马文件的路径地址:/center">如上图所示该网站木马

可以看到网站根目录,以及上传文件,查看系统基本信息,执行mysql命令,反弹提权,文件下载,服务器端口扫描,批量挂马,改名,删除文件,打包文件等管理员的操作。功能太强大了,那么客户的网站为何会被上传了webshell呢?

一般都是网站存在漏洞,被攻击者利用上传了webshell的,像网站的上传漏洞,SQL注入漏洞,XSS跨站漏洞,CSRF欺骗漏洞,远程代码执行漏洞,远程包含漏洞,PHP解析漏洞,都会被上传网站木马,我们SINE安全对客户的网站代码进行人工安全检测,以及网站漏洞检测,全面的检测下来,发现客户网站存在远程代码执行漏洞,网站代码里并没有对SQL非法注入参数进行全面的过滤,以及前端用户提交留言栏目里的liuyan&这个值,在转换赋值的过程中导致了远程代码的执行,可以伪造攻击的语句进行插入,导致服务器执行了代码,并上传了一句话木马后门。

对客户的网站漏洞进行修复,清除掉网站的木马后门,前端用户的输入进行安全过滤,对变量赋值加强数字型强制转换,网站安全部署,文件夹权限安全部署,图片目录,缓存文件目录去掉脚本执行权限。

如何解决阿里云提示发现后门(webshell)文件

1.针对阿里云云盾给出的后门文件路径进行强制删除。

2.使用开源程序的CMS系统,进行升级,漏洞补丁修复。

3.对网站的漏洞进行修复,检查网站是否存在漏洞,尤其上传漏洞,以及SQL注入漏洞,严格过滤非法参数的输入。

4.对网站的所有代码进行检测,是否存在一句话木马后门文件,可以对比之前备份的文件,一一对比,再一个查看文件的修改时间,进行删除。

5.对网站的后台地址进行更改,默认都是admin,houtai,manage等的目录,建议改成比较复杂的名字,即使利用sql注入漏洞获取到的账号密码,不知道后台在哪里也是没用的。

6.网站的目录权限的“读”、“写”、“执行”进行合理安全部署。假如您的网站一直被阿里云提示webshell,反复多次的那说明您的网站还是存在漏洞,假如对网站漏洞修复不是太懂的话,可以找专业的网站安全企业来解决阿里云webshell的问题。

扫一扫关注树叶网络科技公众号

扫一扫关注树叶网络科技公众号

相关文章

【树叶科技与众不同】凭借对设计的热爱和执着,互联网营销趋势的敏锐洞察和深刻理解,与众多同行不同的是,树叶科技更注重与客户互促共生,价值同在。
本圈子所有内容若需转载请 联系我们。

客服中心

(点击按钮可通过QQ进行沟通,请确认启动QQ。)

关闭
业务相关,请咨询售前客服。为避免丢失消息,请尽量添加好友
周经理:
13559621427

处理:投诉、建议、代理、大客户

我们会全力以赴满足您的服务请求

公司地址:泉州市晋江青阳街道顶立大厦3楼
电话:0595-22519051

Hi,您需要什么服务?我来帮您!

Hi,Are you ready?

准备好开始了吗?
那就与我们取得联系吧

有一个互联网项目想和我们谈谈吗?您可以填写右边的表格,让我们了解您的项目需求,这是一个良好的开始,我们将会尽快与你取得联系。当然也欢迎您给我们写信或是打电话,让我们听到你的声音!

SHUYE NET 树叶网络互联网整合解决方案

地址:泉州市晋江青阳街道顶立大厦3楼

业务热线:0595-22519051

大客户专线:13559621427

售前QQ:有问题请联系我 有问题请联系我 有问题请联系我 有问题请联系我

E-mail:Admin@0595zx.net

合作意向表

您希望我们为您提供什么服务?

预算