从黑产中学习和成长

之前做了几个网站,管理员反馈网站除了首页,啥页面都点击不进去了。疑似被攻击

网站首页看似毫无破绽,点看源代码

HTML源代码

首页备注里一些base64编码的文案,用搜索引擎搜索网站地址,得到如下的

搜索引擎内容

得到的结论是:被黑产注入了代码来获取该网站的搜索引起流量。(情况非常严重)

开始排除问题:

  1. 先备份代码和数据库
  2. 重装系统(这是防止黑客在服务器上面留了后门,先绝后患)
  3. 用的是阿里云服务器,近期并没有收到异常登陆服务器的通知,基本排除黑客是通过登陆服务器方式来安装木马的
  4. 从上传的目录里面找问题。很快就定位了,public的上传文件里面有一个异常的PHP文件
  5. 该文件是一个加密的PHP文件(运行起来如下)

WEB 越权攻击界面

该界面功能之全,覆盖之广,真是令人震惊。我将会在后面几天文章的重点讲解这个工具的使用和原理。

只有知道那敌人的招数之后,我们才能有效的防御。并且从中学习和成长

造成漏洞的原因:文件上传被黑客利用,并且通过管理后台的编辑器上传了PHP文件,该PHP文件有调用了一些系统函数获取了系统的权限对原本的首页文件进行了修改。

解决办法:

1. 先关闭该文件中提到的所有的系统级函数(PHP安装的时候配置文件默认的不够,具体信息下一篇文章会调到)

2. 关闭PHP通过URL操作文件的权限(这个很重要)

3. 修改管理后台附件上传组件,严格现在上传文件类型。

分享到:

发表评论

电子邮件地址不会被公开。 必填项已用*标注

无觅相关文章插件,快速提升流量