2018年8月份初正值炎热酷暑的夏天,我们sine安全公司接到新客户的安全反映,说是他们公司网站首页标题被黑客篡改成赌博的内容,导致网站在百度搜索里红色风险提示,百度快照搜索关键词显示:百度网址安全中心提醒您:该页面可能存在钓鱼欺诈信息!而且网站在百度收录里,收录了许多赌博,*内容的百度快照,直接导致网站被主机服务商,给拦截阻断提示,直接打不开网站了,要求该客户自行检查网站的内容以及违规内容生成的文件和目录.
网站收录图片如下:
网站的用户搜索公司产品关键词的时候,直接搜索显示:百度网址安全中心提醒您:该页面可能存在钓鱼欺诈信息! 查看详情 您正在访问:该页面可能存在虚假信息,可能会骗取您的手续费,窃取您的个人信息,或提供没有质量保证的商品和服务。为避免造成财产损失,建议您谨慎访问。
导致访问公司网站的用户,第一反应就是这家公司网站竟然是欺诈信息的网站,导致用户对该公司网站的整体印象非常差,因此对公司的形象以及名誉非常的不利,给公司带来了不必要的经济损失以及声誉损失,客户的公司网站在百度推广以及360推广,sogou推广都有做竞价推广。
自从网站被入侵篡改后,百度推广服务和360推广服务直接就给停止推广了,导致公司的经济利益和意向客户流失,给公司带来的经济损失很大,为此公司的BOSS很重视这个网站安全问题,随即我们sine安全技术团队进行了详细的网站ftp信息以及网站后台的账户密码信息对接。
发现这个问题并不是发生过一次二次了,而是很多次的反复被篡改,尤其网站的首页文件内容被篡改次数最多。
原先该公司负责网站的技术,每次都是清除这个恶意代码后没过几天,首页就又被篡改了,而且是顽固性质的,搞的网站技术人员,晚上睡觉都睡不安稳,实在是没有办法,不能眼睁睁的看着网站,以及公司的利益下滑,最终才找到我们网站安全公司来进行全面的网站安全部署,下面几张图是用户从百度点击关键词后被提示的图片以及首页文件内容被篡改添加的一些加密跳转代码:
网站首页index.html文件被攻击者入侵添加的加密内容,这些代码就是图一收录的内容以及网站从百度点击后被跳转到赌博,*的页面代码,经过我们安全技术的分析与解密,该代码是根据判断用户来路:如baidu,soso,sogou,bing等等这些搜索引擎的来路来进行的网站跳转,直接输入公司网址是不会跳转的,所以网站管理员肉眼是无法察觉到的。
我们对客户的网站,进行漏洞修复以及网站木马后门清理和网站安全加固服务
收到客户的FTP账号密码以及网站后台的用户密码和后台地址,我们Sine安全公司立即展开了全面的网站代码的安全审计,客户网站用的程序架构是PHP+Mysql数据库架构,网站源代码大小规模在500M以内,我们安全技术对代码审计的工时为48到72小时之间,我们要对程序里的每一个代码,每一行代码,都要进行详细的安全审计,找出网站漏洞所在以及网站木马后门的存在,通过一系列的网站安全检测,发现该公司网站存在严重的SQL注入漏洞和图片绕过上传格式直接上传脚本木马漏洞,以及变量函数GETSHELL直接写入到网站程序缓存文件夹cache和data目录,后台地址存在默认管理地址Admin,一句话变量加密函数后门达数十个,我们再对网站进行漏洞修复,加强前端用户输入的安全判断,与过滤,对网站目录文件夹权限进行安全设置,网站代码防篡改部署,才得以使客户的网站恢复正常,并安全稳定的运行。
关于百度网址安全中心提醒您:该页面可能存在钓鱼欺诈信息!百度红色风险提示的解除
给客户网站做好安全后,我们立即提交到百度网址中心,并人工电话通知到了百度安全中心那面,对客户公司网站进行了风险解除,随即对网站的主机商也提交了工单,说明了网站安全问题的存在以及安全处理情况,过了大约2个小时后主机商那边直接解封了网站阻断提示,并恢复了网站的正常访问,而百度那边也是在提交后的立即解除了百度风险拦截提示。
网站安全防范以及部署方法
1.网站的后台地址以及管理员信息一定要复杂一些,不要使用一些默认的信息如admin。
2.对网站的上传图片进行脚本权限控制,指定上传后缀,控制上传权限只允许后台用户上传。
3.要时常备份网站程序和数据库,发生问题后首先先对比下备份文件看看哪里有改动和出入的地方然后直接用备份文件覆盖。
4.如果对程序代码不熟悉的话可以找找专业做网站安全的公司来处理国内推荐Sine 安全公司和绿盟安全公司。
5.针对网站的程序代码进行防sql注入过滤提交的函数以及关键词的过滤防护。
本文来源:http://www.sinesafe.com/article/20180806