最近網站有幾次被黑的經歷,攻擊者上傳了木馬,並針對搜索引擎更改了網站首頁的內容。

如何排查網站漏洞的所在?

要不,請我們來幫你排查?

好的,不皮了,說正經的!

  1. 分析系統和伺服器的日誌,看看是否有異常;
  2. 網站文件是否被修改;
  3. 檢查是否被插入了暗鏈或者是未知的JS;
  4. 使用一些漏洞掃描工具進行排查;(有哪些開源web應用漏洞掃描工具?)

經過排查之後把洞補上就可以啦~如果需要的話還可以做一些網站的防護措施。

歡迎訪問我們:

漏洞掃描

知道創宇雲安全

首先,非常高興能受邀回答問題。

網站被黑的原因有多種多樣,比較複雜,並且安全永遠是相對的,沒有絕對的,所以建議從以下兩個常見的點入手。1、伺服器配置漏洞:文件上傳等。2、代碼漏洞:如跨站或注入漏洞。

而如何排查的方法可以使用在線的或終端的,建議你從小黑客的角度來考慮,使用小黑客們用得最多的工具:

1、AcunetixWebVulnerabilityScanner 2、pangolin 3、Appscan

把這三個工具掃出來的漏洞補上,可以保證你不被99%的黑客入侵。

核心的操作點在於伺服器端以及網站本身的安全設置,其方法包括但不限於以下幾種:

1:伺服器日誌的定期查看,主要看是否有可疑的針對網站頁面的訪問。

2:通過ftp查看網站文件的修改時間,看時間上是否有異常。

3:核查網站程序是否需要更新,如果有,可第一時間更新到最新版本。

4:如果網站使用了第三方插件,請確認其來源,同時評估這些插件的安全性能。

5:修改建站程序重要的文件名稱,修改默認的後台登錄地址,防止黑客利用軟體自動掃描特定文件以獲取相應許可權。

6:將ftp,域名,空間,網站後台登錄的用戶名以及密碼設置得儘可能複雜,萬不可使用弱口令。

7:選擇口碑好,技術強的伺服器空間服務商如萬網。

8:如有可能,儘可能關閉不需要的埠,限制不必要的上傳功能。

9:伺服器端設置防火牆等,通常需要與空間服務商溝通,讓其代為設置。

建議找專業的安全公司來解決,國內也就Sinesafe和綠盟等安全公司 比較專業.

我們需要做的就是讓網站自身的安全性更高,防止黑客獲取我們網站相關的許可權。

前段時間有個客戶網站伺服器被黑,和題主遇到的問題一樣,針對搜索引擎修改網站首頁內容,客戶的網站是從搜索引擎進入會直接跳到菠菜網站,直接地址欄輸入訪問網站就會正常,網站首頁被插入惡意JS代碼,我的整個排查過程大致就是:

1,一開始是部分網站強制跳轉菠菜,先找客戶問了具體環境,被黑時間和被黑表現,網站程序等,得知客戶使用阿里雲伺服器,客戶網站多為dedecms和帝國cms

2,然後查看系統日誌,系統賬戶,iis日誌。系統日誌並沒有發現異常登陸IP,系統賬戶也沒有額外添加,由於客戶沒有開啟iis日誌,所以只清理了木馬無法得知具體怎麼入侵的,但是他的dede版本是老版本,網傳0day甚多,客戶又說不方便升級網站,所以初步懷疑是0day入侵,我開啟了iis日誌後續查看

3,過了幾天網站再次被黑,這次是所有網站被強制跳轉,原因是客戶安全狗忘了打開(開了安全狗絕大部分的「腳本小子」是搞不進你伺服器的),然後我進入伺服器,查看系統日誌發現伺服器直接被建立了隱藏賬戶(隱藏賬戶cmd查不到,需要在系統用戶管理查看),程序日誌發現果然是0day入侵,和客戶要了阿里雲賬號還有安全狗賬號,發現阿里雲和安全狗雲端早就報警,只是客戶一直沒注意,0day針對的是dedecms,接下來就是刪除隱藏賬號,重裝系統(很多文件感染,懷疑入侵者直接進了伺服器放了exe馬),清理木馬,恢復網站,然後打開狗,另外加了文件監視,設置了網站目錄許可權等

如果是知名cms那麼一般應該是通過針對某個cms的0day直接入侵,小眾cms漏洞一般很多,可能是通過sql,跨站等漏洞一步一步滲透你網站然後入侵傳shell,日誌一定要開啟,遇到問題查看日誌然後根據日誌解決問題。

一. Windows 伺服器

1. 查看用戶的登陸信息,是否存在可疑用戶

2. 查看文件操作記錄,是否存在遺留的shell

3. 查看網路信息,是否存在非法的連接

4. 根據日誌查找問題

二. Linux 伺服器

1. 查看是否有可疑的進程

2. 是否存在可疑的網路連接

3. SSH登陸信息

4. 查看敏感目錄尋找shell

5. 根據日誌查找問題

根據題主所說的多次被攻擊的情況,可能黑客已經在伺服器上留下了shell,應該首先清除shell並且將主機斷網,再根據日誌逐一排查可疑操作,當然這個前提是日誌文件沒有被清理過。如果發現日誌文件被清理了建議尋找專業人員對你的伺服器進行全方位的滲透測試。

@雲舒 的方法是從入侵角度來寫的,我來換個角度。

首先,查看被修改文件的最後修改者角色,如果是web容器所為,不用說,基本就是腳本入侵,找文件修改時間然後回溯web日誌找ip然後根據這個ip在web日誌里找入侵者到過哪些頁面依次排查。

以上不包括拿到root許可權甚者內核許可權後偽造信息和日誌。

如果文件操作者是來自於非web容器的角色(如資料庫甚至是ftp等),檢查對應程序是否有已知漏洞或者因為配置不當引起的許可權泄露等等。資料庫比較特殊,可能也是腳本入侵後直接驅動資料庫的擴展去讀寫的,還要追溯資料庫日誌去和web日誌對一下。

如果真的讀寫者是高許可權的比如是日常維護帳號甚至是root/system帳號,除了檢查是否存在人為有意或無意泄露密碼之外,去看看報錯日誌什麼的,溢出可能性比較大,如果涉及提權,檢查是從哪裡得到shell的,提權不少是某模塊業務邏輯漏洞或者溢出了。

對日誌的依賴性來自於相信它沒被篡改過。被rootkit了很多動作都不可信了,拆硬碟下來從到乾淨的OS後面分析吧手機答到這了
可以使用漏洞掃描工具,安全寶提供了多家掃描引擎,註冊帳號後,可獲得完整掃描報告http://lucky.anquanbao.com/。 網站漏洞一般分為兩種:伺服器自身設置存在缺陷,網站代碼存在漏洞。 1、針對伺服器自身設置缺陷,最好安裝殺毒軟體或防火牆,並且進行嚴格許可權管理。

2、針對代碼漏洞,主要是對用戶請求的數據(通過POST、GET或者HEAD方式)進行嚴格的過濾。簡單起見,一旦用戶提交容易引起SQL注入、SHELL注入和跨站腳本攻擊的字元串(這些字元串可以網上搜索,當然還要考慮轉義字元、URL編碼後的字元)就停止對其響應。如果沒有惡意代碼檢測模塊,那就試試將網站安全問題託管給安全寶吧,免費ing http://www.anquanbao.com

1、第一步應該是查看日誌,看系統登錄日誌、應用伺服器日誌、防火牆及IDS的日誌,看看攻擊者是否留下蛛絲馬跡

2、模擬滲透測試查找問題所在。用nessus、AWVS等漏洞掃描工具查找安全漏洞,開展滲透測試查找網站潛在的惡意攻擊點

3、根據滲透測試結果和日誌分析發現黑客入侵的路徑。也可以通過文件時間戳比對查找黑客入侵的痕迹

1.用web漏掃工具,掃描一遍,修復漏洞。

2.用漏掃工具,掃描一遍網站伺服器,修復漏洞並且對系統進行安全配置優化。

3.如有必要,可以請專業人士幫你修復web代碼漏洞。

4.對網站伺服器物理環境進行安全加固,提升物理安全。

推薦閱讀:
相关文章